wsadmin コマンド行ユーティリティーを使用した SAML ID プロバイダー (IdP) パートナー・メタデータのインポート

wsadmin コマンド・ライン・ユーティリティーを使用して、SAML IdP メタデータ・ファイルを使用することにより、SAML トラスト・アソシエーション・インターセプター (TAI) のシングル・サインオン (SSO) サービス・プロバイダー・パートナーの IdP 構成をインポートできます。

事前処理

wsadmin importSAMLIdpMetaData コマンドを使用する前に、管理コンソールまたは addSAMLTAISSO コマンドを使用して、少なくとも 1 つの SSO パートナーで SAML TAI を構成する必要があります。

importSAMLIdpMetaData コマンドを実行する前に考慮すべき事項は、以下のとおりです。

  • トラストストア:
    • SSO パートナーでカスタム・トラストストアを使用する場合は、このコマンドを実行する前に、トラストストア名を sso_<ssoId>.sp.trustStore プロパティーの値として構成する必要があります。 sso_<ssoId>.sp.trustStore プロパティーがない場合は、デフォルトのトラストストアが使用されます。
    • signingCertAlias パラメーターに指定された値と同じ別名を持つ証明書がトラストストアに存在する場合、その証明書は、このコマンドで取得される IdP 証明書に置き換えられます。
    • IdP メタデータ内の署名証明書が、 signingCertAlias パラメーターに指定された値とは異なる別名を持つトラストストアにある場合、証明書は新しい別名でトラストストアに入れられません。既存の証明書の別名を含む通知メッセージがログに出力されます。
  • sso_<ssoId>.idp_<idpId>.SingleSignOnUrl プロパティー:
    • sso_<ssoId>.idp_<idpId>.SingleSignOnUrl プロパティーとして SAML TAI 構成に配置される IdP HTTP-POST バインディング Location は、 IdP が SP 開始ログインに対して許可する URL です。
      • ほとんどの SAML TAI シナリオでは、ログインのためにユーザーをこの URL にリダイレクトすることはできません。
      • このプロパティーは、 sso_<id>.sp.login.error.page プロパティーが、ID プロバイダー・マッピング用に com.ibm.wsspi.security.web.saml.IdentityProviderMapping を実装するクラス、または SP 開始 SSO 用に com.ibm.wsspi.security.web.saml.AuthnRequestProvider を実装するクラスに設定されている場合に使用されます。
      • このプロパティーは、 IdP開始 SSO またはブックマーク・スタイル SP 開始ログイン・フローの実行時には使用されません。
      • SSO サービス・プロバイダー・パートナー用に構成された sso_<ssoId>.idp_<idpId>.SingleSignOnUrl のリストは、実行時に sso_<id>.sp.login.error.page プロパティーで指定されたカスタム・クラスに渡されます。
      • シナリオに sso_<id>.sp.login.error.page プロパティーのカスタム・クラスの構成が含まれていない場合、 importSAMLIdpMetaData コマンドは、 IdP 署名証明書をインポートするためにのみ使用されます。 IdPを使用する SSO サービス・プロバイダー・パートナーの数に関係なく、 IdP メタデータ XML ファイルごとにこのコマンドを複数回実行する必要はありません。

このタスクの概要

importSAMLIdpMetaData コマンドは、SAML TAI SSO サービス・プロバイダー・パートナーの IdP メタデータ・ファイルから HTTP-POST バインディングの IdP 構成をインポートします。 importSAMLIdpMetaData コマンドは、以下の IdP パートナー・データをインポートします。

  • sso_<ssoId>.idp_<idpId>.SingleSignOnUrlとしての SingleSignOnService HTTP-POST バインディング Location
  • トラストストアへの IDPSSODescriptor X509 署名証明書。
トラブルの回避: これらのプロパティーのいずれかが IdP メタデータ・ファイルから欠落している場合、コマンドは警告メッセージをログに記録します。

手順

  1. WebSphere Application Server を始動します。
  2. コマンド wsadmin -lang jythonを入力して、 app_server_root/bin ディレクトリーから wsadmin コマンド・ユーティリティーを開始します。
  3. wsadmin プロンプトで、次のコマンドを入力します。
    AdminTask.importSAMLIdpMetadata('-idpMetadataFileName /tmp/idpdata.xml
                                 -idpId 1 -ssoId 1 -signingCertAlias idpcert')
    このコマンドでは、以下のパラメーターを使用できます。
    表 1. importSAMLIdpメタデータ・パラメーター
    パラメーター 説明
    -ssoId SAML TAI 構成に SSO サービス・プロバイダー・パートナーが 1 つしかない場合、このパラメーターはオプションです。 SSO サービス・プロバイダー・パートナーが複数である場合は、このパラメーターは必須です。 SSO サービス・プロバイダー・パートナーに関連付けられているカスタム・プロパティーのグループを識別する整数。
    -idpId このパラメーターはオプションです。 このパラメーターを指定しなかった場合は、未使用の ID が割り当てられます。 このコマンドで定義されるカスタム・プロパティーのグループを識別する整数。
    -signingCertAlias IdP パートナー・メタデータ・ファイルに署名証明書がない場合、このパラメーターはオプションです。 IdP パートナー・メタデータ・ファイルに署名証明書がある場合、このパラメーターは必須です。 このパラメーターは、トラストストアで証明書に名前を付ける別名を指定します。

    SSO サービス・プロバイダー・パートナーに対して sso_<ssoId>.sp.trustStore プロパティーが定義されている場合は、そのトラストストアが使用されます。 それ以外の場合は、デフォルトのトラストストアが使用されます。 単一サーバー上ではデフォルトのトラストストアは NodeDefaultTrustStore であり、その他の場合は CellDefaultTrustStore です。
    -idpMetadataFileName このパラメーターは必須です。 SAML IdP パートナー・メタデータの完全修飾ファイル名を指定するストリング。
    -securityDomainName このパラメーターはオプションです。 値を指定しない場合は、グローバル・セキュリティー構成が使用されます。 対象のセキュリティー・ドメインの名前を指定するストリング。

結果

当該 WebSphere Application Server の SAML TAI に、IdP パートナー・プロパティーが追加されました。

以下の例では、署名証明書別名 idp1CertAlias を使用して、グローバル・セキュリティー SAML TAI SSO サービス・プロバイダー・パートナー 1 に SAML IdP パートナー 1 メタデータをインポートします。
AdminTask.importSAMLIdpMetadata('-idpMetadataFileName /tmp/myIdPmetadata.xml 
                                 -ssoId 1 -idpId 1 -signingCertAlias idp1CertAlias')
以下の例では、署名証明書別名 idp1CertAlias を使用して、セキュリティー・ドメイン myDomain1 SAML TAI SSO サービス・プロバイダー・パートナー 1 に、SAML IdP パートナー 1 メタデータをインポートします。
AdminTask.iportSAMLIdpMetadata('-idpMetadataFileName /tmp/myIdPmetadata.xml
                                -ssoId 1 -idpId 1 -signingCertAlias idp1CertAlias -securityDomainName myDomain1')