在 websphere SAML SSO 中,我们将“com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor”配置为 TAI 类。
根据我对 TAI 类的理解,步骤 1)SAML TAI 从 SAML 响应中推断出用户名。并对 SP 应用程序断言相同。说它断言用户“kaushik”实际上不存在于应用程序中。步骤 2) SP 应用程序然后检查用户是否存在于 SP 应用程序中步骤 3) 如果用户不存在于应用程序中,我们将被重定向到错误页面(配置为 sso_1.sp.acsErrorPage )
现在我的问题:- 1)我的理解正确吗?2)如果是正确的,当SP没有所需用户时,控制如何回到TAI类?3) 包含“com.ibm.ws.security.web.saml.ACSTrustAssociationInterceptor”的 jar 是什么?4) WAS AppServer 中的jar 位置是什么。我在任何地方都找不到
你的理解并不完全正确。在第 1 步中,SAML TAI 确实从 SAML 响应中推断出用户名。它以由SAML TAI 自定义属性确定的方式执行此操作。第 2 步是我相信你开始迷路的地方。“应用程序”这个词在这里太笼统了。idMap如果您将定制属性配置为 ,SAML TAI 会检查为现有用户的安全域配置的 WAS 注册表localRealm。否则,假设会idAssertion创建一个临时用户,它存在于 JAAS 主题中但不存在于注册表中。
我不记得哪个 WAS 应用程序库包含 SAML TAI 代码。使用 SAML TAI 不需要这些知识。如果您打算反向编译 SAML TAI 代码以澄清您的理解,我想鼓励您首先研究一篇关于 SAML TAI 的 developerWorks 文章,该文章介绍了使用 WAS 的常见基于 Web 的 SSO 场景。它描述了如何配置 SAML TAI 自定义属性来处理各种用例。它还讨论了 SAML TAI 如何利用新的通用 TAI 功能,使其能够在多个阶段与安全模型挂钩。