Vous devez créer une chaîne d'accréditation et configurer ses propriétés pour la délégation contrainte
Kerberos à l'aide de l'assistant de chaîne d'accréditation.
Avant de commencer
Le domaine doit contenir une instance du module de service d'accréditation pour la délégation contrainte Kerberos avant que la chaîne d'accréditation ne soit créée. Si vous n'avez pas encore créé d'instance, procédez à cette opération maintenant. Voir
Création d'une instance de module de délégation contrainte Kerberos.
Pourquoi et quand exécuter cette tâche
Pour configurer correctement la chaîne d'accréditation, vous devez vous assurer que les propriétés sont alignées sur les propriétés de configuration WebSEAL. Avant d'exécuter l'assistant de chaîne d'accréditation, il convient de d'accomplir les tâches suivantes :
Procédure
- Connectez-vous à la console WebSphere.
- Cliquez sur . Le portlet
Chaînes du service d'accréditation s'affiche.
- Cliquez sur Créer. L'assistant de configuration s'ouvre.
- Cliquez sur Suivant. Le panneau Identification du mappage de chaîne s'ouvre.
- Entrez les valeurs demandées.
- Entrez un nom dans la zone Nom du mappage de chaîne.
- Si vous le souhaitez, vous pouvez ajouter une description dans la zone Description.
- Ne sélectionnez pas la zone Créer une chaîne dynamique
- Cliquez sur Suivant. Le panneau Recherche de mappage de chaîne s'ouvre.
- Entrez les valeurs demandées.
- Définissez le Type de requête sur Emettre URI Oasis.
La valeur d'URI du type de requête correspondante est automatiquement entrée par l'assistant.
- Définissez l'option Type de recherche sur Utiliser les éléments WS-Trust habituels (AppliesTo, Issuer et TokenType).
- Entrez des valeurs dans la section AppliesTo.
Pour obtenir de l'aide, voir Planification de configuration de la chaîne d'accréditation.
- Entrez des valeurs dans la section Emetteur.
- Dans la zone Adresse, entrez :
amwebrte-sts-client
- N'indiquez aucune valeur dans les zones Nom du service et Type de port.
- Pour le Type de jeton, sélectionnez Kerberos GSS V5.
- Cliquez sur Suivant.
Le panneau Identification de chaîne s'affiche.
- Ne sélectionnez pas l'option Initialiser la chaîne au démarrage de l'exécution. Cliquez sur Suivant.
Le panneau Assemblage de chaîne s'ouvre.
- Créez la chaîne d'accréditation :
- Pour l'instance de module, sélectionnez l'option Jeton IVCred par défaut.
- Pour le mode, choisissez validation
- Cliquez sur Ajouter l'instance de module sélectionnée à la chaîne.
- Pour l'instance de module, sélectionnez le nom d'instance de module que vous avez spécifié à la rubrique Création d'une instance de module de délégation contrainte Kerberos. Par exemple :
Jonction Kerberos
- Pour le mode, choisissez émission
- Cliquez sur Ajouter l'instance de module sélectionnée à la chaîne.
- Cliquez sur Suivant.
L'écran Configuration du module de droits d'accès Access Manager (IVCred) s'affiche.
- Ne sélectionnez pas l'option Activer la validation des signatures.
Cliquez sur Suivant.
Le panneau Configuration du module de délégation Kerberos s'affiche.
- Si nécessaire, définissez le nom principal du service cible par défaut ou changez les options relatives à l'ajout d'un suffixe au nom d'utilisateur Tivoli Access Manager pour l'authentification Kerberos.
- Cliquez sur Suivant. Le panneau Récapitulatif s'affiche.
- Cliquez sur Terminer.
- Dans le portlet Domaine en cours, cliquez sur Charger les modifications de configuration dans l'environnement d'exécution de Tivoli Federated Identity Manager.
Résultats
La configuration de la chaîne d'accréditation est à présent terminée.