在websphere SAML SSO中,我们将“com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor”配置为TAI类。
根据我对TAI课程的不足, 步骤1)SAML TAI从SAML响应中推断出用户名。并且对SP应用程序断言。说它声称用户“kaushik”实际上不存在于应用程序中。 步骤2)SP应用程序然后检查SP应用程序中是否存在用户 步骤3)如果用户在应用程序中不存在,我们将被重定向到错误页面(配置为sso_1.sp.acsErrorPage)
现在我的问题: - 1)我的理解是否正确? 2)如果它是正确的,当SP没有所需的用户时,控制如何回到TAI类? 3)什么是包含“com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor”的jar? 4)WAS AppServer中的jar位置是什么。我无法在任何地方找到它
答案 0 :(得分:1)
您的理解并不完全正确。在步骤1中,SAML TAI确实从SAML响应中推断出用户名。它以SAML TAI custom properties确定的方式执行此操作。第二步是我相信你开始流浪的地方。这里的术语“应用”过于笼统。如果将idMap自定义属性配置为localRealm,SAML TAI将检查为现有用户配置的安全域的WAS注册表。否则,假设是idAssertion,它会创建一个临时用户,一个存在于JAAS主题中但不存在于注册表中。
我不记得哪个WAS应用程序库包含SAML TAI代码。使用SAML TAI不需要这些知识。如果您打算反向编译SAML TAI代码以澄清您的理解,我建议您首先研究一个developerWorks article on the SAML TAI,其中介绍了使用WAS的常见基于Web的SSO方案。它描述了如何配置SAML TAI自定义属性以承担各种用例。它还讨论了SAML TAI如何利用新的通用TAI功能,使其能够在多个阶段挂钩安全模型。