开始之前
在可以使用此命令之前,必须先通过
addSAMLTAISSO 命令使用至少一个单点登录 (SSO) 伙伴来配置安全性断言标记语言 (SAML) 信任关联拦截器 (TAI)。
如果创建您自己的信任库,那么必须在
sso_<ID>.sp.trustStore 条目中指定该信任库。
如果不指定
sp.trustStore 属性,那么将使用缺省信任库。身份提供程序 (IdP) 和服务提供程序的所有证书都保存在相同的信任库中。
关于此任务
可以使用
wsadmin 命令行实用程序将 SAML IdP 伙伴导入 WebSphere Application Server 的安全性配置中的 SAML TAI。此命令将导入以下 IdP 伙伴数据:
- 实体标识
- 签名证书
- SingleSignOnService HTTP-POST 绑定
避免故障: 如果缺少上面的任何属性,那么该命令将记录警告消息。
gotcha
过程
- 启动 WebSphere Application Server。
- 通过输入以下命令来从 app_server_root/bin 目录启动 wsadmin 命令实用程序:wsadmin -lang jython。
- 在 wsadmin 提示符下,输入以下命令:
AdminTask.importSAMLIdpMetadata('-idpMetadataFileName /tmp/idpdata.xml
-idpId 1 -ssoId 1 -signingCertAlias idpcert')
可以将以下参数用于此命令:
表 1. importSAMLIdpMetaData 参数参数 |
描述 |
-ssoId |
如果只有一个 SSO 服务提供程序伙伴,那么此参数是可选参数。如果有多个 SSO 服务提供程序伙伴,那么此参数是必需参数。该参数是与 SSO 服务提供程序伙伴相关联的定制属性组的标识。此参数以整数形式进行指定。 |
-idpId |
此参数是可选的。它是将使用此命令定义的一组定制属性的 IdP 标识。如果未指定该参数,那么将指定未使用的标识。此参数以整数形式进行指定。 |
-signingCertAlias |
如果没有签名证书,那么此参数是可选参数。如果有签名证书,那么此参数是必需的。此参数指定在当前密钥库中要对该证书指定的别名。此参数以布尔值形式进行指定。 |
-idpMetadataFileName |
此参数是必需的。指定 SAML IdP 伙伴元数据的标准文件名。此参数以字符串形式进行指定。 |
-securityDomainName |
此参数指定相关安全域的名称。如果未对此参数指定值,那么命令将使用全局安全性配置。此参数以字符串形式进行指定。 |
结果
现在,已为 WebSphere Application Server 将 IdP 伙伴属性添加到 SAML TAI。
示例
以下示例使用签名证书别名
idp1CertAlias 将 SAML IdP 伙伴 1 元数据导入全局安全性 SAML TAI SSO 服务提供程序伙伴 1:
AdminTask.importSAMLIdpMetadata('-idpMetadataFileName /tmp/myIdPmetadata.xml
-ssoId 1 -idpId 1 -signingCertAlias idp1CertAlias')
以下示例使用签名证书别名
idp1CertAlias 将 SAML IdP 伙伴 1 元数据导入安全域
myDomain1 SAML TAI SSO 服务提供程序伙伴 1:
AdminTask.iportSAMLIdpMetadata('-idpMetadataFileName /tmp/myIdPmetadata.xml
-ssoId 1 -idpId 1 -signingCertAlias idp1CertAlias -securityDomainName myDomain1')