Pour garantir l'authentification, Access Manager et OSP doivent partager la racine approuvée de leurs certificats SSL. Cette section vous aide à créer un nouveau certificat pour Access Manager et à vous assurer que les Truststores disposent des certificats adéquats.
Access Manager ne peut pas utiliser son certificat SSL par défaut, test-connector, pour communiquer avec Identity Manager. Au lieu de cela, vous devez créer un certificat qui comprend le nom d'hôte dans l'objet du certificat et l'assigner à Access Manager.
Pour plus d'informations, reportez-vous à la section Security and Certificate Management (Sécurité et gestion des certificats) dans le manuel NetIQ Access Manager Administration Console Guide (Guide de la console d'administration de NetIQ Access Manager).
Ouvrez la console d'administration d'Access Manager.
Cliquez sur Sécurité > Certificats.
Cliquez sur Nouveau.
Spécifiez un nom pour le nouveau certificat. Par exemple : nom_hôte_ssl.
Cliquez sur le bouton d'édition du côté droit de la fenêtre.
Pour Nom commun, indiquez le nom DNS du serveur qui héberge Access Manager, puis cliquez sur OK.
Pour Months valid (Mois valides), indiquez une valeur inférieure ou égale à 99.
Pour Key size (Taille de clé), entrez 2048.
Sélectionnez le certificat que vous venez de créer, puis cliquez sur Actions > Add certificate to Keystores... (Opérations > Ajouter le certificat aux fichiers Keystore...).
Cliquez sur le bouton d'édition à droite de Keystores (Fichiers Keystore).
Sélectionnez SSL connector (Connecteur SSL) et cliquez sur OK.
Cliquez sur OK.
Installez le nouveau certificat dans le Truststore OSP. Pour plus d'informations, reportez-vous à la Section 18.2.2, Installation du certificat Access Manager dans le Truststore Identity Manager.
Le Truststore OSP doit inclure le certificat de sécurité d'Access Manager.
Pour exporter le nouveau certificat SSL, procédez comme suit :
Sous Security (Sécurité) > Trusted Roots (Racines approuvées) dans la console d'administration d'Access Manager, exportez le certificat racine du certificat SSL. Nommez le certificat racine configCA.
Exportez le certificat du serveur SSL.
Pour plus d'informations, reportez-vous à la section Managing Trusted Roots and Trust Stores (Gestion des racines approuvées et des Truststores) du manuel NetIQ Access Manager Administration Console Guide (Guide de la console d'administration de NetIQ Access Manager).
Copiez le certificat exporté sur le serveur où s'exécute OSP.
Utilisez l'utilitaire keytool disponible avec Java pour importer le fichier dans le fichier Keystore cacerts du JRE.
Par exemple : /opt/netiq/common/jre/bin/keytool -importcert -trustcacerts -alias <cert_NAM> -keystore /opt/netiq/common/jre/lib/security -storepass <mot_de_passe> -file custom_location/<fichier_exporté>
Installez le certificat OSP dans le Truststore Access Manager.
Pour plus d'informations, reportez-vous à la Section 18.2.3, Installation du certificat du serveur SSL dans le Truststore Access Manager.
Le Truststore Access Manager doit inclure le certificat de sécurité d'OSP. Pour plus d'informations, reportez-vous à la section Managing Trusted Roots and Trust Stores (Gestion des racines approuvées et des Truststores) du manuel NetIQ Access Manager Administration Console Guide (Guide de la console d'administration de NetIQ Access Manager).
Obtenez le certificat de serveur SSL utilisé par l'instance Tomcat exécutant OSP.
Copiez le certificat du serveur SSL de l'instance Tomcat qui héberge OSP sur le serveur où vous avez installé Access Manager.
Ouvrez la console d'administration d'Access Manager.
Pour importer le certificat, cliquez sur Security > NIDP Trust Store (Sécurité > Truststore NIDP).
Cliquez sur Ajouter.
Dans la boîte de dialogue Add (Ajouter) > Import (Importer), sélectionnez Trusted Root (Racine approuvée).
Sélectionnez le certificat de racine que vous souhaitez importer, puis cliquez sur OK.
Assurez-vous qu'OSP reconnaît les assertions d'authentification provenant de SAML.
Pour plus d'informations, reportez-vous à la Section 18.4.2, Création d'un ensemble d'attributs pour SAML.