密钥对

　　要建立 WebLogic Server 和 IIS间的信任关系，必须生成不对称的密钥对并将这些密钥加载进 WebLogic Server 和Windows 密钥库。为了方便起见，本教程已经随附了一对密钥： saml_dsa.pfx 包含专用密钥，saml_dsa.cer 包含其对应的证书。

　　为了让 ASP.NET 应用程序可以使用此专用密钥，需要完成如下两个操作：

　　专用密钥必须加载到 Windows 密钥库。

　　为此，执行如下步骤：

　　双击 LocalMachineKeyStore.msc。

　　在左边的树中，展开CertificatesPersonalCertificates。

　　右击 Certificates，然后在All tasks，选择 Import。

　　单击 Next。

　　将文件类型改为 "Personal Information Exchange," ，然后选择 saml_dsa.pfx。

　　单击 Next。

　　不输入密码，只单击 Next。

　　单击 Finish。

　　拥有ASP.NET过程的用户 "ASPNET" 应该被授予访问专用密钥的权限。可使用winhttpcertcfg -g -c LOCAL_MACHINEMy -s "saml_dsa" -a ASPNET 实现此目的。此实用工具可以在 这里下载。

　　客户证书必须要加载到 WebLogic Server。这由 WLST 脚本 setup_script.py 自动实现。请将此脚本的运行推迟到下一节。

　　密钥对用来验证断言的真实性。IIS 将使用密钥对来登录所生成的断言。WebLogic Server 将使用证书来验证 IIS 的签名。

　　配置 WebLogic Server

　　本例中所有配置WebLogic Server以使用 SAML 所需的步骤都可由随附的 WLST 脚本 setup_script.py 自动完成。在进一步处理之前，运行 wlst setup_script.py。这将创建启用了SAML的 WebLogic Server 域。启动这个管理服务器并转到控制台来观察它是如何配置的。无需任何手工配置步骤。

　　为启用 SAML，这个脚本配置了两个主要组件：SAML Identity Asserter 和 SAML Destination Site。

　　接下来，让我们来详细看看这两个组件。