配置 SAML Web 入站 TAI

您可配置 SAML Web 入站信任关联拦截器 (TAI),以认证并验证在 Web 请求的请求头中发送的 SAML 令牌。

开始之前

复查您必须为 SAML Web 入站信任关联拦截器配置的定制属性,请参阅 SAML Web 入站 TAI 定制属性

关于此任务

为 WebSphere® 配置信任关联拦截器 (TAI),以便处理在 Web 请求的请求头中发送的 SAML 令牌。SAML 令牌必须以 Base-64 或 UTF-8 编码,并可以采用 GZIP 格式进行压缩。HTTP 请求中的 SAML 令牌头可以采用下列其中一种格式:
  • Authorization=[<headerName>=<SAML_HERE>]
  • Authorization=[<headerName>="<SAML_HERE>"]
  • Authorization=[<headerName> <SAML_HERE>]
  • <headerName>=[<SAML_HERE>]

过程

  1. 从 WebSphere 管理控制台中,选择安全性 > 全局安全性 > Web 和 SIP 安全性 > 信任关联
  2. 选择拦截器
  3. 选择新建以添加新拦截器。
  4. 输入拦截器类名:com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI
  5. 为您的环境添加定制属性,请参阅 SAML Web 入站 TAI 定制属性以获取属性列表。
  6. 应用并保存配置更新。
    注: 在不应用更改的情况下保存将废弃定制属性。
  7. 返回至安全性 > 全局安全性,然后选择定制属性
  8. 选择新建,并为“常规属性”定义以下定制属性信息:
    Name: com.ibm.websphere.security.InvokeTAIbeforeSSO
    Value: com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI
    注: 如果已定义此属性,请将 com.ibm.ws.security.web.inbound.saml.WebInboundSamlTAI 添加到现有的值中(以逗号分隔以创建列表)。
  9. 将 SAML 签发者的签署者证书导入到 WebSphere Application Server 的信任库中。
    1. 在管理控制台中,单击安全性SSL 证书和密钥管理密钥库和证书NodeDefaultTrustStore签署者证书。对于 Deployment Manager,请使用 CellDefaultTrustStore,而不要使用 NodeDefaultTrustStore
    2. 单击添加
    3. 填写证书信息,然后单击应用
  10. 将 SAML 签发者名称、realmName 的值或者已配置的 realmIdentifier 的属性值添加到入站可信领域列表中。对于每个与 WebSphere Application Server 服务提供程序配合使用的 SAML 签发者,必须向该 SAML 签发者使用的所有领域授予入站信任。您可使用管理控制台向 SAML 签发者授予入站信任。
    1. 单击全局安全性
    2. 对于用户帐户存储库,单击配置
    3. 单击可信认证领域 - 入站
    4. 单击添加外部领域
    5. 填写外部领域名。
    6. 单击确定并将更改保存到主配置。
  11. 重新启动 WebSphere Application Server。

结果

这些步骤将建立为 WebSphere Application Server 配置信任关联拦截器(以使其能够处理在入站 Web 请求的请求头中发送的 SAML 令牌)所需的最低限度配置。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_config_saml_web_inbound_tai
文件名:twbs_config_saml_web_inbound_tai.html