允许系统使用 SAML Web 单点登录 (SSO) 功能

开始之前

此项任务假设您熟悉 SAML SSO 功能。

关于此任务

在可以使用 SAML Web SSO 功能之前,必须先安装 SAML 声明使用者服务 (ACS) 并启用 SAML TAI。如果规划将业务应用程序用作 SAML ACS 应用程序,那么不需要在第一步中安装 SAML ACS 应用程序。而是应该为 acsUrl 值指定该业务应用程序的 URL。
避免故障 避免故障: 应该将 SAML ACS 应用程序安装到已配置为或将配置为接受来自 IdP 的 SAMLResponses 的每个应用程序服务器。将在 sso_.sp.acsUrl SAML TAI 定制属性上指定的 URL 上引用这些服务器。gotcha

过程

  1. 安装 SAML ACS 应用程序。 选择下列其中一种方法:
    • 使用管理控制台将 app_server_root/installableApps/WebSphereSamlSP.ear 文件安装到应用程序服务器或集群。
    • 使用 Python 脚本来安装 SAML ACS 应用程序。
      1. 浏览至 app_server_root/bin 目录。
      2. 运行 installSamlACS.py 脚本。
        wsadmin -f installSamlACS.py install <nodeName> <serverName>
        或者
        wsadmin -f installSamlACS.py install <clusterName>
        其中 nodeName 是目标应用程序服务器的节点名称,serverName 是目标应用程序服务器的服务器名称,clusterName 是应用程序服务器集群的名称。
  2. 启用 SAML TAI。 您可以使用 wsadmin 命令实用程序或管理控制台来启用 SAML TAI。
    • 使用 wsadmin 命令实用程序启用 SAML TAI。
      1. 启动 WebSphere Application Server。
      2. 通过输入以下命令来从 app_server_root/bin 目录启动 wsadmin 命令实用程序:wsadmin -lang jython
      3. 在 wsadmin 提示符处,输入以下命令:AdminTask.addSAMLTAISSO('-enable true -acsUrl https://<hostname>:<sslport>/samlsps/<any URI pattern string>'),其中 hostname 是在其中安装 WebSphere 应用程序的系统的主机名,sslport 是 Web 服务器 SSL 端口号 (WC_defaulthost_secure)。
      4. 通过输入以下命令来保存配置:AdminConfig.save()
      5. 通过输入以下命令来退出 wsadmin 命令实用程序:quit
      6. 重新启动 WebSphere Application Server。
    • 使用管理控制台启用 SAML TAI。
      1. 登录 WebSphere Application Server 管理控制台。
      2. 单击安全性全局安全性
      3. 展开 Web 和 SIP 安全性,然后单击信任关联
      4. 常规属性标题下,选中启用信任关联复选框,然后单击拦截器
      5. 单击新建,然后在拦截器类名称字段中输入 com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor
      6. 定制属性下,填写以下定制属性信息:名称:sso_1.sp.acsUrl 和值:https://<hostname>:<sslport>/samlsps/<any URI pattern string>,其中 hostname 是在其中安装 WebSphere 应用程序的系统的主机名,sslport 是 Web 服务器 SSL 端口号 (WC_defaulthost_secure)。
        注: 如果需要有适用于 SAML 工作流程的多个类似入口点,那么您可以在指定的 URL 末尾处指定通配符值(而不是特定的 URI 模式字符串)作为此属性的值。指定通配符作为此属性值的一部分将不需要独立地配置每一个类似的入口点。

        以下是包括通配符作为此属性值的一部分的一些有效方式示例:

        https://<server>/<context_root>/ep1/path1/p*
        https://<server>/<context_root>/ep1/path1/*
        https://<server>/<context_root>/ep1/*

        避免故障 避免故障: 如果正使用元数据配置 SSO,那么无法在 acsUrl 定义中使用通配符。gotcha
      7. 单击新建,然后输入以下定制属性信息:名称 sso_1.sp.idMap 和值 idAssertion
      8. 单击确定
      9. 返回至安全性全局安全性,然后单击定制属性
      10. 单击新建,然后在常规属性下定义下列定制属性信息:名称 com.ibm.websphere.security.DeferTAItoSSO 和值 com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor
        避免故障 避免故障: com.ibm.websphere.security.DeferTAItoSSO 属性先前用在所有已安装服务器的缺省配置中。现在,它仅用作 SAML 配置的一部分。因此,即使此属性仍存在于您的系统配置中,您也必须将其值更改为 com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor。不能为此属性指定以逗号分隔的多个值。必须将其设置为单个 SAML TAI。gotcha
      11. 单击新建,然后在常规属性下定义下列定制属性信息:名称 com.ibm.websphere.security.InvokeTAIbeforeSSO 和值 com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor
      12. 单击确定
      13. 重新启动 WebSphere Application Server。

结果

现在,已为 WebSphere Application Server 启用了 SAML TAI。

下一步做什么

启用 SAML Web SSO 功能之后,必须配置 WebSphere Application Server 作为服务提供程序 (SP) 伙伴才能参与包含其他身份提供程序的 IdP 启动的单点登录方案。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_enablesamlsso
文件名:twbs_enablesamlsso.html