为 SAML 不记名令牌配置客户机和提供程序绑定
SAML 不记名令牌是使用不记名主体集确认方法的 SAML 令牌。在载体主体集确认方法中,SOAP 消息的发送方不需要建立用于将 SAML 令牌与包含 SOAP 消息的内容进行绑定的连接。可以为 SAML 不记名令牌配置客户机和提供程序策略集附件与绑定。
开始之前
含有 SAML 的 WebSphere® Application Server 提供了许多缺省 SAML 令牌应用程序策略集和几个常规客户机与提供程序绑定样本。在可以为 SAML 不记名令牌配置客户机和提供程序绑定之前,必须先执行以下操作:
- 创建一个或多个包括 SAML 配置设置的新服务器概要文件,或者将 SAML 配置设置添加到现有概要文件。 有关如何将 SAML 配置设置添加到概要文件的更多信息,请参阅关于设置 SAML 配置的内容。
- 导入下列其中一个缺省策略集:
- SAML20 Bearer WSHTTPS default
- SAML20 Bearer WSSecurity default
- SAML11 Bearer WSHTTPS default
- SAML11 Bearer WSSecurity default
SAML11 策略集与 SAML20 策略集大致相同,但 SAML20 策略集支持 SAML V2.0 令牌类型,而 SAML11 策略集支持 V1.1 令牌类型。
两个缺省策略集是必需的。因此,必须导入 Username WSHTTPS default 策略集以及下列其中一个不记名策略集。请确保您导入的不记名策略集对应于您的方案;例如 SAML 1.1 或 2.0 以及 HTTPS 或非 HTTPS。- 适用于使用 HTTPS 的 SAML 1.1 令牌的 SAML11 Bearer WSHTTPS default
- 适用于使用 HTTPS 的 SAML 1.1 令牌的 SAML20 Bearer WSHTTPS default
- 适用于使用 HTTP 的 SAML 2.0 令牌的 SAML20 Bearer WSSecurity default
- 适用于使用 HTTP 的 SAML 2.0 令牌的 SAML11 Bearer WSSecurity default
要导入这些策略集,请在管理控制台中执行下列操作:- 单击服务 > 策略集 > 应用程序策略集。
- 单击导入。
- 选择从缺省存储库。
- 选择两个必需的缺省策略集。
本步骤中选择的 SAML 缺省策略集指的是以下过程步骤中相应的 SAML 策略。
- 单击确定以导入策略集,然后单击保存以保存更改。
- 如果 SAML 声明将由 STS 进行签署并且您将需要对发布者(签署者)进行信任评估,那么必须有密钥库文件可用,该密钥库文件可用于对发布者的 X.509 证书进行信任评估。此密钥库可以包含发布者的公用证书或者构建证书路径需要的所有信息。受支持的密钥库类型包括:jks、jceks 和 pkcs12。 此文件将指的是以下过程中的信任库文件。
- Username WSHTTPS default 策略将用来与 STS 通信。如果尚未将与 SSL 配合使用的 STS 发布者证书导入 NodeDefaultSSLSettings,请参阅“从远程 SSL 端口检索签署者”主题以获取如何导入此证书的描述。还可以审阅“SSL 中客户机签署者检索的安全安装”主题以获取 STS 发布者证书的相关常规信息。
关于此任务
SAML 令牌策略由应用程序服务器中的 CustomToken 扩展进行定义。要创建 CustomToken 扩展,必须使用客户机与提供程序绑定文档中的定制属性来定义 SAML 令牌配置参数。常规绑定的“Saml Bearer 客户机样本”和“Saml Bearer 提供程序样本”包含定制属性的主要配置。
客户机和提供程序样本绑定包含 SAML11 和 SAML20 令牌类型配置信息。这些样本可同时与 SAML11 及 SAML20 策略集配合使用。根据您计划实现 SAML 令牌的方式,必须修改已安装绑定样本中的属性值。属性及属性值的示例在以下过程中予以提供。
如以下过程所示,要修改绑定样本,必须先配置 Web Service 客户机策略集连接,然后修改 Web Service 提供程序策略集连接。该过程所提供的示例使用样本 Web Service 应用程序 JaxWSServicesSamples。