要求オブジェクトからSAML応答を取得し、そこからユーザープロファイル属性を抽出する必要があるカスタムWebアプリケーション(WAR)を開発しました。 WebSphere(サービスプロバイダ)以下のアプローチを実装しようとSSI中にTAIとACSがSAML応答を処理した後にSAML応答にアクセスする方法
に同じ展開前記:: - OneLogin(IDプロバイダ)SAMLレスポンスとリレーの状態 送信 - SAML応答は、ACSアプリケーション によって処理されるが - ACSアプリケーションはユーザをカスタムWebアプリケーション(IdPのRelayStateで設定)にリダイレクトします - このアプリケーションは要求からSAML応答オブジェクトを取得し、動的キャッシュにユーザプロファイル属性を設定し、ユーザをメインアプリケーションのホームページにリダイレクトします。
現在、ACSがカスタムWebアプリケーション(リレー・ステートに設定)にリダイレクトすると、SAML応答(WebSphere TAIおよびACSアプリケーションによって一度受信され、処理されます)は使用できないようです。 ACSアプリケーションのSAML応答を保存してカスタムWebアプリケーションに渡すことは可能ですか?
助けていただけたら助かりますか?
暖かいよろしく、 Ekansh
ありがとうございます。 Userが両端に存在する場合(IdPとSP)、SAMLトークンからSAML属性を抽出できます。しかし、SPエンドでユーザーが存在し、作成する必要があるシナリオはどうでしょうか。このようなシナリオでは、ACSがアクセスを許可されていない場合でも、SAMLトークンは存在しますか。 SAMLトークンにはユーザー固有の情報(例:ユーザー名、電子メールなど)が存在するため、そのようなシナリオでは新しいユーザーを即座に作成する必要があります。 –
WebSphere SAML SPには2つの構成オプションがあります。デフォルトでは、ユーザーはSPに存在する必要はなく、サブジェクトは信頼できるSAMLトークンから作成されます。もう1つの選択肢は、ユーザーがSPにいなければならないということです。ユーザーがSPにいる必要があり、ユーザーがまだSPにいない場合は、件名を作成する前にユーザーアカウントを作成するためのSPIを提供します。ユーザー・アカウントを作成するには、com.ibm.wsspi.security.web.saml.NameIDMappingインターフェースを実装します。実装では、必要に応じてSAMLトークンからユーザーエントリを作成します。 TAI構成では、sso_1.sp.userMapImpl =を追加することによって、このSPIを構成するためにpropertyを使用します。 – Chunlong
ありがとうございますChunlong。しかし、私はこれについての質問があります。現在WAS 8.0.0.4を使用しています。あなたが言及した "DEFAULT CONFIGURATION OPTION"は、 "sso_ .sp.idMap"ですか? –