wsadmin コマンド行ユーティリティーを使用した SAML ID プロバイダー (IdP) パートナー・メタデータのインポート
wsadmin
コマンド・ライン・ユーティリティーを使用して、SAML IdP メタデータ・ファイルを使用することにより、SAML トラスト・アソシエーション・インターセプター (TAI) のシングル・サインオン (SSO) サービス・プロバイダー・パートナーの IdP 構成をインポートできます。
事前処理
wsadmin
importSAMLIdpMetaData
コマンドを使用する前に、管理コンソールまたは addSAMLTAISSO
コマンドを使用して、少なくとも 1 つの SSO パートナーで SAML TAI を構成する必要があります。
importSAMLIdpMetaData
コマンドを実行する前に考慮すべき事項は、以下のとおりです。
- トラストストア:
- SSO パートナーでカスタム・トラストストアを使用する場合は、このコマンドを実行する前に、トラストストア名を
sso_<ssoId>.sp.trustStore
プロパティーの値として構成する必要があります。sso_<ssoId>.sp.trustStore
プロパティーがない場合は、デフォルトのトラストストアが使用されます。 signingCertAlias
パラメーターに指定された値と同じ別名を持つ証明書がトラストストアに存在する場合、その証明書は、このコマンドで取得される IdP 証明書に置き換えられます。- IdP メタデータ内の署名証明書が、
signingCertAlias
パラメーターに指定された値とは異なる別名を持つトラストストアにある場合、証明書は新しい別名でトラストストアに入れられません。既存の証明書の別名を含む通知メッセージがログに出力されます。
- SSO パートナーでカスタム・トラストストアを使用する場合は、このコマンドを実行する前に、トラストストア名を
sso_<ssoId>.idp_<idpId>.SingleSignOnUrl
プロパティー:sso_<ssoId>.idp_<idpId>.SingleSignOnUrl
プロパティーとして SAML TAI 構成に配置される IdPHTTP-POST
バインディングLocation
は、 IdP が SP 開始ログインに対して許可する URL です。- ほとんどの SAML TAI シナリオでは、ログインのためにユーザーをこの URL にリダイレクトすることはできません。
- このプロパティーは、
sso_<id>.sp.login.error.page
プロパティーが、ID プロバイダー・マッピング用にcom.ibm.wsspi.security.web.saml.IdentityProviderMapping
を実装するクラス、または SP 開始 SSO 用にcom.ibm.wsspi.security.web.saml.AuthnRequestProvider
を実装するクラスに設定されている場合に使用されます。 - このプロパティーは、 IdP開始 SSO またはブックマーク・スタイル SP 開始ログイン・フローの実行時には使用されません。
- SSO サービス・プロバイダー・パートナー用に構成された
sso_<ssoId>.idp_<idpId>.SingleSignOnUrl
のリストは、実行時にsso_<id>.sp.login.error.page
プロパティーで指定されたカスタム・クラスに渡されます。 - シナリオに
sso_<id>.sp.login.error.page
プロパティーのカスタム・クラスの構成が含まれていない場合、importSAMLIdpMetaData
コマンドは、 IdP 署名証明書をインポートするためにのみ使用されます。 IdPを使用する SSO サービス・プロバイダー・パートナーの数に関係なく、 IdP メタデータ XML ファイルごとにこのコマンドを複数回実行する必要はありません。
このタスクの概要
importSAMLIdpMetaData
コマンドは、SAML TAI SSO サービス・プロバイダー・パートナーの IdP メタデータ・ファイルから HTTP-POST バインディングの IdP 構成をインポートします。 importSAMLIdpMetaData
コマンドは、以下の IdP パートナー・データをインポートします。
sso_<ssoId>.idp_<idpId>.SingleSignOnUrl
としてのSingleSignOnService
HTTP-POST
バインディングLocation
。- トラストストアへの
IDPSSODescriptor
X509 署名証明書。
トラブルの回避: これらのプロパティーのいずれかが IdP メタデータ・ファイルから欠落している場合、コマンドは警告メッセージをログに記録します。
手順
結果
例
idp1CertAlias
を使用して、グローバル・セキュリティー SAML TAI SSO サービス・プロバイダー・パートナー 1 に SAML IdP パートナー 1 メタデータをインポートします。AdminTask.importSAMLIdpMetadata('-idpMetadataFileName /tmp/myIdPmetadata.xml
-ssoId 1 -idpId 1 -signingCertAlias idp1CertAlias')
以下の例では、署名証明書別名
idp1CertAlias
を使用して、セキュリティー・ドメイン myDomain1
SAML TAI SSO サービス・プロバイダー・パートナー 1 に、SAML IdP パートナー 1 メタデータをインポートします。AdminTask.iportSAMLIdpMetadata('-idpMetadataFileName /tmp/myIdPmetadata.xml
-ssoId 1 -idpId 1 -signingCertAlias idp1CertAlias -securityDomainName myDomain1')