samlWebSso20 - SAML Web SSO 2.0 hitelesítés (samlWebSso20)

A Biztonság érvényesítési jelölőnyelv (SAML) webes SSO 2.0 mechanizmus működését szabályozza.

NameTypeDefaultDescription
idkaraktersorozatEgyedi konfigurációazonosító.
httpsRequiredlogikaitrueSSL kommunikáció használatának kikényszerítése SAML WebSSO szolgáltató végpontok (például ac-k vagy metaadatok) elérésekor.
inboundPropagation
  • none
  • required
noneA Biztonság érvényesítési jelölőnyelv (SAML) Web SSO 2.0 működését szabályozza a webszolgáltatási mechanizmus bejövő terjesztéshez.
none
%inboundPropagation.none
required
%inboundPropagation.required
wantAssertionsSignedlogikaitrueAzt a követelményt jelzi, hogy a szolgáltató által fogadott <saml:Assertion> elemeknek az igazolást aláíró Aláírás elemet kell tartalmazniuk.
signatureMethodAlgorithm
  • SHA256
  • SHA1
  • SHA128
SHA256A szolgáltató által igényelt algoritmust jelzi.
SHA256
SHA-256 aláírási algoritmus
SHA1
SHA-1 aláírási algoritmus
SHA128
%signatureMethodAlgorithm.SHA128
createSessionlogikaitrueAdja meg, hogy kell-e Http munkamenetet létrehozni, ha az aktuális HttpSession nem létezik.
authnRequestsSignedlogikaitrueJelzi, hogy a szolgáltató által küldött <samlp:AuthnRequest> üzenetek alá lesznek-e írva.
includeX509InSPMetadatalogikaitrueMegadja, hogy bele kell-e foglalni az x509 tanúsítványt a Liberty SP metaadataiba.
forceAuthnlogikaifalseAzt jelzi, hogy az IdP részéről ismételt hitelesítésre kell-e kényszeríteni a felhasználót.
isPassivelogikaifalseJelzi, hogy az IdP nem veheti át a végfelhasználói felület vezérlését.
allowCreatelogikaiEngedélyezi, hogy az IdP létrehozzon egy új felhasználói fiókot, ha a kérő felhasználónak nincs fiókja.
authnContextComparisonType
  • better
  • exact
  • maximum
  • minimum
exactAz authnContextClassRef paraméter megadása esetén beállítható az authnContextComparisonType paraméter.
better
Jobb. A hitelesítési utasításban szereplő hitelesítési kontextusnak erősebbnek kell lennie a megadott hitelesítési kontextusoknál.
exact
Pontos. A hitelesítési utasításban szereplő hitelesítési kontextusnak pontosan olyan erősnek kell lennie, mint a megadott hitelesítési kontextusok egyike.
maximum
Maximális. A hitelesítési utasításban szereplő hitelesítési kontextusnak a lehető legerősebbnek kell lennie, de nem haladhatja meg a megadott hitelesítési kontextusok egyikének erősségét sem.
minimum
Minimális. A hitelesítési utasításban szereplő hitelesítési kontextusnak legalább olyan erősnek kell lennie, mint a megadott hitelesítési kontextusok egyike.
nameIDFormat
  • windowsDomainQualifiedName
  • encrypted
  • unspecified
  • transient
  • x509SubjectName
  • kerberos
  • persistent
  • customize
  • email
  • entity
emailA SAML központi specifikációban meghatározott névazonosítónak megfelelő URI hivatkozást adja meg.
windowsDomainQualifiedName
urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName
encrypted
urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
transient
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
x509SubjectName
urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName
kerberos
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
customize
Személyre szabott névazonosító formátum.
email
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
entity
urn:oasis:names:tc:SAML:2.0:nameid-format:entity
customizeNameIDFormatstringA SAML központi specifikációban meg nem határozott névazonosítónak megfelelő egyéni URI hivatkozást adja meg.
idpMetadatastring${server.config.dir}/resources/security/idpMetadata.xmlMegadja az IdP metaadatfájlt.
keyStoreRefHivatkozás a felső szintű keyStore elemre (karaktersorozat).Az AuthnRequest aláírásához és az EncryptedAssertion elem visszafejtéséhez használt privát kulcsot tartalmazó kulcstároló. Az alapértelmezés a kiszolgáló alapértéke.
keyAliasstringA privát kulcs kereséshez aláíráskor és visszafejtéskor használt kulcsálnév. Ez elhagyható, ha a kulcstároló pontosan egy kulcsbejegyzést tartalmaz, vagy egyetlen kulcsot tartalmaz, amelynek álneve: 'samlsp'.
loginPageURLstringMegadja a SAML IdP bejelentkezési alkalmazás URL címét, amelyre a hitelesítetlen kérések át vannak irányítva. Ez az attribútum aktiválja az IdP által kezdeményezett egypontos bejelentkezést (SSO), és csak IdP által kezdeményezett SSO esetén szükséges.
errorPageURLstringMegad egy hibaoldalt, amely a SAML érvényesítés meghiúsulásakor jelenik meg. Ha az attribútum nincs megadva, és a fogadott SAML érvénytelen, akkor a felhasználó vissza lesz irányítva a SAML IdP felületre az SSO újrakezdéséhez.
clockSkewIdőtartam ezredmásodperces pontossággal5mPercekben megadja az engedélyezett óraeltérést a SAML token érvényesítésekor. Adjon meg egy egész számot, amelyet egy időegység követ, amely lehet óra (ó), perc (p), másodperc (s), vagy ezredmásodperc (ms). Az 500 ezredmásodpercet adja meg például 500ms formában. Egyetlen bejegyzésbe több értéket is belefoglalhat. Például 1s500ms egyenértékű 1,5 másodperccel.
tokenReplayTimeoutIdőtartam ezredmásodperces pontossággal30mEz a tulajdonság adja meg, hogy a Liberty SP mennyi ideig akadályozza meg a token újraküldését. Adjon meg egy egész számot, amelyet egy időegység követ, amely lehet óra (ó), perc (p), másodperc (s), vagy ezredmásodperc (ms). Az 500 ezredmásodpercet adja meg például 500ms formában. Egyetlen bejegyzésbe több értéket is belefoglalhat. Például 1s500ms egyenértékű 1,5 másodperccel.
sessionNotOnOrAfterIdőtartam ezredmásodperces pontossággal120mA SAML munkamenet időtartamának felső határát jelzi, amelynek eltelte után a Liberty SP kötelezően felkéri a felhasználót az IdP rendszerben történő ismételt hitelesítésre. Ha az IdP által visszaadott SAML token nem tartalmaz sessionNotOnOrAfter igazolás, akkor az ezen attribútumban megadott érték kerül felhasználásra. Ez a tulajdonság, csak akkor kerül felhasználásra, ha a disableLtpaCookie=true. Az alapértelmezett érték igaz. Adjon meg egy egész számot, amelyet egy időegység követ, amely lehet óra (ó), perc (p), másodperc (s), vagy ezredmásodperc (ms). Az 500 ezredmásodpercet adja meg például 500ms formában. Egyetlen bejegyzésbe több értéket is belefoglalhat. Például 1s500ms egyenértékű 1,5 másodperccel.
userIdentifierstringMeghatározza a tárgyban felhasználói azonosítónévként felhasználásra kerülő SAML attribútumot. Ha nincs megadva érték, akkor a NameID SAML érvényesítési elem értéke kerül felhasználásra.
groupIdentifierstringMeghatározza az azon csoport neveként felhasználásra kerülő SAML attribútumot, amelynek a hitelesített azonosító tagja. Nincs alapértelmezett érték.
userUniqueIdentifierstringMeghatározza az egyedi felhasználónévként felhasználásra kerülő SAML attribútumot, amely a tárgyban szereplő WSCredential értékre vonatkozik. Az alapértelmezés megegyezik a userIdentifier attribútum értékével.
realmIdentifierstringA tartománynévként használt SAML attribútumot határozza meg. Ha nincs megadva érték, akkor az Issuer SAML érvényesítési elem értéke kerül felhasználásra.
includeTokenInSubjectlogikaitrueMeghatározza, hogy SAML igazolást kell-e foglalni a tárgyba.
mapToUserRegistry
  • No
  • Group
  • User
NoMeghatározza, hogyan kell az azonosságot nyilvántartásban szereplő felhasználóra leképezni. A lehetőségek: No (nem), User (felhasználó) és Group (csoport). Az alapérték: No (nem), a felhasználói nyilvántartás nem kerül felhasználásra a felhasználó tárgy létrehozásához.
No
Ne legyen a SAML azonosság leképezve nyilvántartásban szereplő felhasználóra vagy csoportra
Group
SAML azonosság leképezése felhasználói nyilvántartásban meghatározott csoportra
User
SAML azonosság leképezése nyilvántartásban meghatározott felhasználóra
authFilterRefHivatkozás a felső szintű authFilter elemre (karaktersorozat).A hitelesítési szűrő referenciát adja meg.
disableLtpaCookielogikaitrueNe hozzon létre LTPA tokent a SAML igazolás feldolgozásakor. Ehelyett egy cookie-t hozzon létre a megadott szolgáltatóhoz.
realmNamestringTartománynevet ad meg, ha a mapToUserRegistry értéke No vagy Group.
authnRequestTimeIdőtartam ezredmásodperces pontossággal10mA szolgáltató által előállított és egy IdP-nek SAML token kérése céljából elküldött authnReuqest élettartamát adja meg. Adjon meg egy egész számot, amelyet egy időegység követ, amely lehet óra (ó), perc (p), másodperc (s), vagy ezredmásodperc (ms). Az 500 ezredmásodpercet adja meg például 500ms formában. Egyetlen bejegyzésbe több értéket is belefoglalhat. Például 1s500ms egyenértékű 1,5 másodperccel.
enabledlogikaitrueA szolgáltató engedélyezett, ha értéke true (igaz), és tiltott, ha értéke false (hamis).
allowCustomCacheKeylogikaitrueEngedélyezi az egyéni gyorsítótárkulcs előállítását a hitelesítési gyorsítótár eléréséhez és a tárgy lekéréséhez.
spHostAndPortstringA SAML szolgáltató hosztnevét és portszámát határozza meg.
reAuthnOnAssertionExpirelogikaifalseHitelesítse a bejövő HTTP kérést újra, ha a SAML igazolás hamarosan lejár.
reAuthnCushionIdőtartam ezredmásodperces pontossággal0mAz az időszak, amely után a hitelesítést meg kell ismételni, ha a SAML igazolás hamarosan lejár, amit vagy a NotOnOrAfter utasítás vagy a SAML igazolás SessionNotOnOrAfter attribútuma jelez. Adjon meg egy egész számot, amelyet egy időegység követ, amely lehet óra (ó), perc (p), másodperc (s), vagy ezredmásodperc (ms). Az 500 ezredmásodpercet adja meg például 500ms formában. Egyetlen bejegyzésbe több értéket is belefoglalhat. Például 1s500ms egyenértékű 1,5 másodperccel.
targetPageUrlstringAz IdP által kezdeményezett egypontos bejelentkezés (SSO) céloldala, ha a relayState hiányzik. Ha a useRelayStateForTarget false értékre van állítva, akkor ezt a tulajdonságot egy érvényes URL-címre kell beállítani.
useRelayStateForTargetlogikaitrueAz IdP által kezdeményezett egypontos bejelentkezés során ez a tulajdonság határozza meg, hogy cél URL-ként a SAMLResponse relayState paraméterét kell-e alkalmazni. Ha az értéke false, akkor mindig a targetPageUrl értéke kerül alkalmazásra cél URL-címként.

authnContextClassRef

Hitelesítési kontextusosztályt azonosító URI hivatkozás, amely a hitelesítési környezet deklarációját írja le. Az alapértelmezett érték a null.

pkixTrustEngine

A PKIX megbízhatósági információkat adja meg, amelyek segítségével a SAML válaszban található XML aláírások érvényessége kiértékelésre kerül. Ne adjon meg több pkixTrustEngine értéket egy samlWebSso20 elemben.

NameTypeDefaultDescription
trustAnchorRefHivatkozás a felső szintű keyStore elemre (karaktersorozat).A SAMLResponse és Assertion elem aláírásának ellenőrzéséhez szükséges nyilvános kulcsot tartalmazó kulcstár.

pkixTrustEngine > trustedIssuers

A megbízható IdP kibocsátók azonosságait határozza meg. Ha az érték: "ALL_ISSUERS", akkor az összes IdP azonosság megbízható.

pkixTrustEngine > x509Certificate

Egyedi konfigurációazonosító.

NameTypeDefaultDescription
idkaraktersorozatEgyedi konfigurációazonosító.
pathstringMegadja az x509 tanúsítvány útvonalát.

pkixTrustEngine > crl

Egyedi konfigurációazonosító.

NameTypeDefaultDescription
idkaraktersorozatEgyedi konfigurációazonosító.
pathstringMegadja a crl útvonalát.

authFilter

A hitelesítési szűrő referenciát adja meg.

authFilter > webApp

Egyedi konfigurációazonosító.

NameTypeDefaultDescription
idkaraktersorozatEgyedi konfigurációazonosító.
namestringMegadja a nevet.
matchType
  • contains
  • notContain
  • equals
containsAz egyezés típusát adja meg.
contains
Tartalmazza
notContain
Nem tartalmazza
equals
Egyenlő

authFilter > requestUrl

Egyedi konfigurációazonosító.

NameTypeDefaultDescription
idkaraktersorozatEgyedi konfigurációazonosító.
urlPatternstringMegadja az URL mintát.
matchType
  • contains
  • notContain
  • equals
containsAz egyezés típusát adja meg.
contains
Tartalmazza
notContain
Nem tartalmazza
equals
Egyenlő

authFilter > remoteAddress

Egyedi konfigurációazonosító.

NameTypeDefaultDescription
idkaraktersorozatEgyedi konfigurációazonosító.
matchType
  • contains
  • notContain
  • equals
  • lessThan
  • greaterThan
containsAz egyezés típusát adja meg.
contains
Tartalmazza
notContain
Nem tartalmazza
equals
Egyenlő
lessThan
Kisebb, mint
greaterThan
Nagyobb, mint
ipstringAz IP-címet adja meg.

authFilter > host

Egyedi konfigurációazonosító.

NameTypeDefaultDescription
idkaraktersorozatEgyedi konfigurációazonosító.
namestringMegadja a nevet.
matchType
  • contains
  • notContain
  • equals
containsAz egyezés típusát adja meg.
contains
Tartalmazza
notContain
Nem tartalmazza
equals
Egyenlő

authFilter > userAgent

Egyedi konfigurációazonosító.

NameTypeDefaultDescription
idkaraktersorozatEgyedi konfigurációazonosító.
agentstringA felhasználói ügynököt adja meg
matchType
  • contains
  • notContain
  • equals
containsAz egyezés típusát adja meg.
contains
Tartalmazza
notContain
Nem tartalmazza
equals
Egyenlő

headerName

A SAML tokent tároló HTTP kérés fejlécneve.

audiences

A közönségek listája, amelyek megbízhatók a SAML token közösségének ellenőrzésekor. Ha az érték "ANY", akkor minden közönség megbízható.