使用 WebLogic Server9.2 中的 SAML 配置单点登录
页面： 1, 2, 3, 4, 5

步骤七：配置源站点SAML

在这个步骤中，我们将对运行应用程序 appA的服务器实例配置各种联邦服务源站点设置。这些设置将使运行在 domainA上的服务器实例成为SAML源站点，定义源站点URI及服务URI，添加证书以对断言进行签名并配置检索断言的SSL。

1. 在管理控制台中的Domain Structure窗口中选择Environment，然后选择Servers。
2. 选择AdminServer，然后在Settings for AdminServer中，单击SAML 1.1 Source Site选项卡上的Federation Services，如图６所示。

图6. 源站点的配置

3. 如表４所示设置源站点的各种值。

表 4. 源站点的各种值

步骤八：配置SAML目标站点 domainB

下面将开始配置SAML目标站点。在这个步骤中，将首先创建并配置一个SAML Identity Assertion Provider V2实例。作为SAML安全断言的使用者，SAML Identity Assertion提供者使得WebLogic Server成为使用SAML实现单点登录的目标站点。SAML Identity Assertion提供者通过核对签名并根据提供者维护的证书登记处验证该证书是否可信，从而对SAML断言进行验证。首先要做的是创建一个SAML Identity Assertion Provider V2实例，并将步骤四中所生成的证书导入到提供者的证书登记处。

导入证书：

1. 将前面生成的密匙文件（testalias.der）复制到D:\bea\weblogic92\server\lib目录下。
2. 登录到 domainB的WebLogic Server Administration Console。
3. 选择安全域myrealm。
4. 选择Providers选项卡，然后选择Authentication选项卡。
5. 若SAMLIdentityAsserter不存在，则先创建一个新的SAMLIdentityAsserter，如图７所示。身份断言程序允许WebLogic Server通过验证用户来建立信任。

图7. 创建新的身份断言程序

6. 单击SAMLIdentityAsserter中的Management选项卡，然后单击Certificates。
7. 单击Certificates对话框中的New，如图８所示。

图 8. 创建新的身份断言程序证书

8. 在Alias字段中输入该证书的名称。推荐做法是使用创建证书时使用的名称。
9. 在Certificate File Name字段中输入证书的路径。
10. 单击Finish。若已成功，则会显示“The certificate has been successfully registered.”消息。

步骤九：配置断言方属性

在该步骤中，将创建并配置断言方。当用户将WebLogic Server配置为SML安全断言的使用者时，您需要注册将提供SAML断言的断言方。对于SAML断言方，可以指定以下几项：所使用SAML配置文件、断言方的详细信息以及期望断言方提供的断言中的特性。

断言方断言用户已通过身份验证并对其授予相关特性。例如，用户ssouser通过密码机制通过了该域的身份验证。断言方亦称为 SAML权威。

1. 单击Management选项卡上的Asserting Parties。
2. 单击Asserting Parties表中的New。
3. 在Profile下拉菜单中，选择Browser/POST。在Description字段中输入名称demoSAML来识别断言方，如图９所示。

图 9. 创建新的断言方

4. 设置断言方的各种值，如表５所示。

表 5. 断言方(ap_00001)的各种值