用于 SAML 的缺省策略集和样本绑定

安装了 SAML 功能时,提供了特定于 SAML 的缺省策略集和常规绑定。这些策略集和样本常规绑定用于从外部安全性令牌服务 (STS) 请求 SAML 令牌,以及传播 SAML 令牌以传输 Web service。

SAML 缺省策略集

具有 SAML 的 WebSphere® Application Server 提供八个缺省策略集以及若干样本常规绑定,其支持 OASIS Web Service 安全性 SAML 令牌概要文件 1.1 标准。 您必须导入 SAML 缺省策略集,然后才可以予以使用。 您可以将这些 SAML 策略集和样本绑定附加到 Web service 然后开始使用 SAML 功能,而不必编写任何附加代码。 但是,您需要在样本绑定文档中设置一些配置参数,然后予以使用。这些参数包括外部 STS URL,以及 SAML 令牌签发者 X.509 证书。 有关更多信息,请阅读关于为 SAML bearer 令牌以及 SAML holder-of-key (HoK) 对称密钥令牌配置客户机和提供程序绑定的资料。

SAML 功能安装包括用户名 WSHTTPS 缺省应用程序策略集,其向外部 STS 发送信任请求。安全性令牌服务 (STS) 是特殊用途 web service。您可以使用任何缺省 WebSphere Application Server 策略集来与 STS 通信。但是,用户名 WSHTTPS 缺省策略集在 SOAP 消息中发送“用户名”令牌,然后使用安全套接字层 (SSL) 来保护该消息。您必须在绑定文档中配置用户名和密码才能使用此策略集。有关逐步的指示信息,请阅读关于配置策略集和绑定来与 STS 通信的资料。

作为 SAML 功能安装的一部分,提供了四个 SAML 1.1 缺省策略集和四个 SAML 2.0 策略集。如主题中所述,设置 SAML 配置,您必须将这些策略集添加到现有概要文件,或者在安装 WebSphere Application Server 之后新建概要文件,然后您才可以将其使用。存在以下 SAML 策略集:
  • SAML11 Bearer WSHTTPS default:在 SOAP 消息中使用 bearer 确认方法来发送 SAML 令牌,然后使用 SSL 保护 SOAP 消息
  • SAML11 Bearer WSSecurity default:在 SOAP 消息中使用 bearer 确认方法来发送 SAML 令牌,然后使用 X.509 签名和加密来保护 SOAP 消息
  • SAML11 HoK Public WSSecurity default:使用 holder-of-key 确认方法以 SAML 令牌中的客户机 X.509 证书发送 SAML 令牌,然后使用 SAML 令牌中的客户机证书以及接收方的 X.509 证书来保护 SOAP 消息
  • SAML11 HoK Symmetric WSSecurity default:使用 holder-of-key 确认方法以接收方公用密钥加密的共享密钥发送 SAML 令牌,然后使用用于签名和加密的共享密钥来保护 SOAP 消息。
  • SAML20 Bearer WSHTTPS default
  • SAML20 Bearer WSSecurity default
  • SAML20 HoK Public WSSecurity default
  • SAML20 HoK Symmetric WSSecurity default
SAML 1.1 策略集与 SAML 2.0 策略集之间的唯一差异是 SAML 令牌名称空间。

SAML 样本绑定

提供两对样本绑定来支持使用对称密钥的 SAML 不记名令牌和 SAML holder-of-key 令牌。
  • Saml Bearer 客户机样本
  • Saml Bearer 提供程序样本
  • Saml HoK 对称客户机样本
  • Saml HoK 对称提供程序样本

您可以将 Saml Bearer 客户机样本和 Saml Bearer 提供程序样本与任何 SAML 不记名令牌缺省策略集一起使用。您可以将 Saml HoK 对称客户机样本和 Saml HoK 对称提供程序样本用于 SAML HoK 对称密钥缺省策略集之一:SAML11 HoK Symmetric WSSecurity default 或 SAML20 HoK Symmetric WSSecurity default。

信任客户机绑定

具有 SAML 的 WebSphere Application Server 支持信任客户机策略集的特定于应用程序绑定和常规绑定。此外,如果应用程序在服务器环境中运行,将支持缺省绑定。在瘦客户机环境中不支持缺省绑定。

只能在策略集连接点处创建特定于应用程序的绑定。这些绑定特定于策略的特征并根据该策略的特征进行定义。特定于应用程序的绑定可以为高级策略需求(例如,多个签名)提供配置;然而,这些绑定只能在应用程序中复用。而且,特定于应用程序的绑定在策略集之间具有有限的复用。您为策略集创建特定于应用程序的绑定时,绑定以未配置状态开始。您必须添加所需要的每个策略(例如 WS-Security 或 HTTP 传输)以覆盖缺省绑定,然后完全配置添加的每个策略的绑定。有关为 SAML 配置信任客户机绑定的更多信息,请参阅“配置策略集和绑定来与 STS 通信”。

可以配置常规绑定以在一定范围的策略集内使用,且可以跨应用程序予以复用并用于信任服务附加点。虽然,常规绑定可以经常重复使用,但他们不提供高级策略需求配置,例如多个签名。有两种类型的常规绑定:常规提供程序策略集绑定和常规客户机策略集绑定。

如果您没有为信任客户机绑定指定 wstrustClientBindingScope 属性,那么系统首先在应用程序中搜索具有您指定的绑定名称的特定于应用程序的绑定。如果找到绑定,将该绑定用于信任客户机请求。如果没有找到特定于应用程序的绑定,那么系统将搜索可用的常规绑定以查找具有您指定的名称的绑定。如果找到常规绑定,那么该绑定用于信任客户机请求。如果未找到具有您指定的名称的绑定,那么使用来自服务器环境的缺省绑定。仅在应用程序在服务器环境中运行时,才使用缺省绑定。如果应用程序在瘦客户机环境中运行,没有指定 wstrustClientBindingScope 属性,且没有找到特定于应用程序的或常规的绑定,那么没有使用绑定,因为瘦客户机不支持缺省绑定。


指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_samldefaultpsbindings
文件名:cwbs_samldefaultpsbindings.html