Création d'une chaîne d'accréditation pour la délégation contrainte Kerberos

Vous devez créer une chaîne d'accréditation et configurer ses propriétés pour la délégation contrainte Kerberos à l'aide de l'assistant de chaîne d'accréditation.

1. Connectez-vous à la console WebSphere.
2. Cliquez sur Tivoli Federated Identity Manager > Configurer Service d'accréditation > Chaînes du service d'accréditation. Le portlet Chaînes du service d'accréditation s'affiche.
3. Cliquez sur Créer. L'assistant de configuration s'ouvre.
4. Cliquez sur Suivant. Le panneau Identification du mappage de chaîne s'ouvre.
5. Entrez les valeurs demandées.
   1. Entrez un nom dans la zone Nom du mappage de chaîne.
   2. Si vous le souhaitez, vous pouvez ajouter une description dans la zone Description.
   3. Ne sélectionnez pas la zone Créer une chaîne dynamique
      
   4. Cliquez sur Suivant. Le panneau Recherche de mappage de chaîne s'ouvre.
6. Entrez les valeurs demandées.
   1. Définissez le Type de requête sur Emettre URI Oasis.

      La valeur d'URI du type de requête correspondante est automatiquement entrée par l'assistant.

   2. Définissez l'option Type de recherche sur Utiliser les éléments WS-Trust habituels (AppliesTo, Issuer et TokenType).
   3. Entrez des valeurs dans la section AppliesTo.
      • Entrez une adresse.
        Par exemple :

        http://websealhost.example.com/krbjct

      • Entrez le nom du service.

        Définissez par exemple les deux zones avec un astérisque (*).

      • Ne renseignez pas les zones Type de port.

      Pour obtenir de l'aide, voir Planification de configuration de la chaîne d'accréditation.

   4. Entrez des valeurs dans la section Emetteur.
      • Dans la zone Adresse, entrez :

        amwebrte-sts-client

      • N'indiquez aucune valeur dans les zones Nom du service et Type de port.
   5. Pour le Type de jeton, sélectionnez Kerberos GSS V5.
   6. Cliquez sur Suivant.

      Le panneau Identification de chaîne s'affiche.

7. Ne sélectionnez pas l'option Initialiser la chaîne au démarrage de l'exécution. Cliquez sur Suivant.

   Le panneau Assemblage de chaîne s'ouvre.

8. Créez la chaîne d'accréditation :
   1. Pour l'instance de module, sélectionnez l'option Jeton IVCred par défaut.
   2. Pour le mode, choisissez validation
   3. Cliquez sur Ajouter l'instance de module sélectionnée à la chaîne.
   4. Pour l'instance de module, sélectionnez le nom d'instance de module que vous avez spécifié à la rubrique Création d'une instance de module de délégation contrainte Kerberos. Par exemple :

      Jonction Kerberos

   5. Pour le mode, choisissez émission
   6. Cliquez sur Ajouter l'instance de module sélectionnée à la chaîne.
9. Cliquez sur Suivant.
   Remarque : Un avertissement s'affiche pour vous signaler qu'un module est manquant dans votre chaîne en mode mappage. Vous pouvez ignorer cet avertissement. Pour plus d'informations, voir Planification de configuration de la chaîne d'accréditation.

   L'écran Configuration du module de droits d'accès Access Manager (IVCred) s'affiche.

10. Ne sélectionnez pas l'option Activer la validation des signatures. Cliquez sur Suivant.

    Le panneau Configuration du module de délégation Kerberos s'affiche.

11. Si nécessaire, définissez le nom principal du service cible par défaut ou changez les options relatives à l'ajout d'un suffixe au nom d'utilisateur Tivoli Access Manager pour l'authentification Kerberos.
    Remarque : Dans la plupart des cas, vous pouvez laisser cette zone vide et conserver la sélection par défaut de ces options. Voir Planification de configuration de la chaîne d'accréditation.
12. Cliquez sur Suivant. Le panneau Récapitulatif s'affiche.
13. Cliquez sur Terminer.
14. Dans le portlet Domaine en cours, cliquez sur Charger les modifications de configuration dans l'environnement d'exécution de Tivoli Federated Identity Manager.