Controla a operação do mecanismo do Security Assertion Markup Language Web SSO 2.0.
Name | Type | Default | Description |
---|---|---|---|
id | sequência | Um ID de configuração exclusivo. | |
httpsRequired | booleano | true | Reforce usando a comunicação de SSL ao acessar um terminal de provedor de serviços SAML WebSSO, como acs ou metadados. |
inboundPropagation |
| none | Controla a operação do Security Assertion Markup Language Web SSO 2.0 para a propagação de entrada dos Mecanismos de serviços da web. none %inboundPropagation.none required %inboundPropagation.required |
wantAssertionsSigned | booleano | true | Indica um requisito para os elementos <saml:Assertion> recebidos por este provedor de serviços para conter um elemento de assinatura que assina a asserção. |
signatureMethodAlgorithm |
| SHA256 | Indica o algoritmo requerido por este provedor de serviços. SHA256 Algoritmo de assinatura SHA-256 SHA1 Algoritmo de assinatura SHA-1 SHA128 %signatureMethodAlgorithm.SHA128 |
createSession | booleano | true | Especifica se um HttpSession deve ser criado caso o HttpSession não exista. |
authnRequestsSigned | booleano | true | Indica se as mensagens <samlp:AuthnRequest> enviadas por este provedor de serviços serão assinadas. |
includeX509InSPMetadata | booleano | true | Especifica se deve incluir o certificado x509 nos metadados do SP Liberty. |
forceAuthn | booleano | false | Indica se o IdP deve forçar o usuário a autenticar novamente |
isPassive | booleano | false | Indica que o IdP não deve assumir o controle da interface do usuário final. |
allowCreate | booleano | Permita que o IdP crie uma nova conta se o usuário solicitante não tiver uma. | |
authnContextComparisonType |
| exact | Quando um authnContextClassRef for especificado, o authnContextComparisonType poderá ser configurado. better Melhor. O contexto de autenticação na instrução de autenticação deve ser mais forte que qualquer um dos contextos de autenticação especificados. exact Exato. O contexto de autenticação na instrução de autenticação deve ser uma correspondência exata para ao menos um dos contextos de autenticação especificados. maximum Máximo. O contexto de autenticação na instrução de autenticação deve ser o mais forte possível sem exceder a força de ao menos um dos contextos de autenticação especificados. minimum Mínimo. O contexto de autenticação na instrução de autenticação deve ser ao menos tão forte quanto um dos contextos de autenticação especificados. |
nameIDFormat |
| Especifica a referência do URI correspondente a um formato de identificador de nome definido na especificação do núcleo do SAML. windowsDomainQualifiedName urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName encrypted urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted unspecified urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified transient urn:oasis:names:tc:SAML:2.0:nameid-format:transient x509SubjectName urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName kerberos urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos persistent urn:oasis:names:tc:SAML:2.0:nameid-format:persistent customize Formato de ID de nome customizado. urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress entity urn:oasis:names:tc:SAML:2.0:nameid-format:entity | |
customizeNameIDFormat | string | Especifica a referência de URI customizada correspondente a um formato de identificador do nome não definido na especificação do núcleo do SAML. | |
idpMetadata | string | ${server.config.dir}/resources/security/idpMetadata.xml | Especifica o arquivo de metadados do IdP. |
keyStoreRef | Uma referência para o elemento de nível keyStore (sequência). | Uma keystore contendo uma chave privada para a assinatura do AuthnRequest e a descrição do elemento EncryptedAssertion. O padrão é o padrão do servidor. | |
keyAlias | string | Nome do alias de chave para localizar a chave privada para assinatura e decriptografia. Isso será opcional se o keystore tiver exatamente uma entrada de chave, ou se tiver uma chave com um alias de 'samlsp'. | |
loginPageURL | string | Especifica a URL do aplicativo de login IdP do SAML para a qual a solicitação não autenticada é redirecionada. Este atributo aciona SSO iniciada pelo IdP, e ele é requerido somente para SSO iniciada pelo IdP. | |
errorPageURL | string | Especifica uma página de erro a ser exibida se a validação SAML falhar. Se este atributo não for especificado e o SAML recebido for inválido, o usuário será redirecionado de volta para o IdP do SAML para reiniciar a SSO. | |
clockSkew | Um período de tempo com precisão de milissegundo | 5m | Isto é usado para especificar o clock skew permitido em minutos ao validar o token SAML. Especifique um número inteiro positivo seguido por uma unidade de tempo, que pode ser horas (h), minutos (m), segundos (s) ou milissegundos (ms). Por exemplo, especifique 500 milissegundos como 500 ms. É possível incluir diversos valores em uma única entrada. Por exemplo, 1s500ms é equivalente a 1,5 segundos. |
tokenReplayTimeout | Um período de tempo com precisão de milissegundo | 30m | Essa propriedade é utilizada para especificar por quanto tempo o Liberty SP deve impedir a reprodução do token. Especifique um número inteiro positivo seguido por uma unidade de tempo, que pode ser horas (h), minutos (m), segundos (s) ou milissegundos (ms). Por exemplo, especifique 500 milissegundos como 500 ms. É possível incluir diversos valores em uma única entrada. Por exemplo, 1s500ms é equivalente a 1,5 segundos. |
sessionNotOnOrAfter | Um período de tempo com precisão de milissegundo | 120m | Indica um limite superior nas durações da sessão do SAML, depois que o Liberty SP solicitar que o usuário autentique novamente o IdP. Se o token do SAML retornado do IdP não contiver uma asserção sessionNotOnOrAfter, o valor especificado por este atributo será usado. Essa propriedade só é usada se disableLtpaCookie=true. O valor padrão é true. Especifique um número inteiro positivo seguido por uma unidade de tempo, que pode ser horas (h), minutos (m), segundos (s) ou milissegundos (ms). Por exemplo, especifique 500 milissegundos como 500 ms. É possível incluir diversos valores em uma única entrada. Por exemplo, 1s500ms é equivalente a 1,5 segundos. |
userIdentifier | string | Especifica um atributo do SAML usado como o nome principal do usuário no assunto. Se nenhum valor for especificado o valor do elemento de asserção SAML NameID será usado. | |
groupIdentifier | string | Especifica um atributo do SAML usado como o nome do grupo que o principal autenticado é membro. Não há valor padrão. | |
userUniqueIdentifier | string | Especifica um atributo do SAML usado como um nome de usuário exclusivo conforme se aplica ao WSCredential no assunto. O padrão é o mesmo que o valor do atributo userIdentifier. | |
realmIdentifier | string | Especifica um atributo do SAML usado como o nome da região. Se nenhum valor for especificado, o valor do elemento de asserção SAML Emissor será usado. | |
includeTokenInSubject | booleano | true | Especifica se deve incluir uma asserção SAML no assunto. |
mapToUserRegistry |
| No | Especifica como mapear uma identidade para um usuário de registro. As opções são Não, Usuário e Grupo. O padrão é Não e o registro do usuário não será usado para criar um assunto de usuário. No Não mapeie uma identidade SAML para um usuário ou grupo no registro Group Mapeie uma identidade SAML para um grupo definido no registro do usuário User Mapeia uma identidade SAML para um usuário definido no registro |
authFilterRef | Uma referência para o elemento de nível authFilter (sequência). | Especifica a referência do filtro de autenticação. | |
disableLtpaCookie | booleano | true | Não crie um Token LTPA durante o processamento da asserção SAML. Crie um cookie do Provedor de Serviços específico em vez disso. |
realmName | string | Especifica o nome da região quando o mapToUserRegistry está configurado para Não ou Grupo. | |
authnRequestTime | Um período de tempo com precisão de milissegundo | 10m | Especifica o período de tempo de vida de um authnReuqest que é gerado e enviado do provedor de serviços para um IdP para solicitar um token SAML. Especifique um número inteiro positivo seguido por uma unidade de tempo, que pode ser horas (h), minutos (m), segundos (s) ou milissegundos (ms). Por exemplo, especifique 500 milissegundos como 500 ms. É possível incluir diversos valores em uma única entrada. Por exemplo, 1s500ms é equivalente a 1,5 segundos. |
enabled | booleano | true | O provedor de serviços está ativado se estiver como true e desativado se estiver como false. |
allowCustomCacheKey | booleano | true | Permite gerar uma chave de cache customizada para acessar o cache de autenticação e obter o assunto. |
spHostAndPort | string | Especifica um nome do host e número da porta do provedor de serviços SAML. | |
reAuthnOnAssertionExpire | booleano | false | Autentique a solicitação de HTTP recebida novamente quando uma Asserção SAML estiver prestes a expirar. |
reAuthnCushion | Um período de tempo com precisão de milissegundo | 0m | O período para autenticar novamente quando uma Asserção SAML estiver prestes a expirar, o que é indicado pela instrução NotOnOrAfter ou pelo atributo SessionNotOnOrAfter da Asserção SAML. Especifique um número inteiro positivo seguido por uma unidade de tempo, que pode ser horas (h), minutos (m), segundos (s) ou milissegundos (ms). Por exemplo, especifique 500 milissegundos como 500 ms. É possível incluir diversos valores em uma única entrada. Por exemplo, 1s500ms é equivalente a 1,5 segundos. |
targetPageUrl | string | A página de entrada padrão para o IdP-initiated SSO se o relayState estiver ausente. Essa propriedade deverá ser configurada para uma URL válida se useRelayStateForTarget estiver configurado para false. | |
useRelayStateForTarget | booleano | true | Ao executar a SSO iniciada por IdP, essa propriedade especifica se o relayState em um SAMLResponse deverá ser usado como a URL de destino. Se configurada para false, o valor para targetPageUrl será sempre usado como a URL de destino. |
Uma referência de URI identificando uma classe de contexto de autenticação que descreve a declaração de contexto de autenticação. O padrão é null.
Especifica as informações confiáveis do PKIX que são usadas para avaliar a fidelidade e a validade de assinaturas XML em uma resposta SAML. Não especifique vários pkixTrustEngine em um samlWebSso20.
Name | Type | Default | Description |
---|---|---|---|
trustAnchorRef | Uma referência para o elemento de nível keyStore (sequência). | Um keystore contendo a chave pública necessária para verificar a assinatura do SAMLResponse e da asserção. |
pkixTrustEngine > trustedIssuers
Especifica as identidades dos emissores de IdP confiáveis. Se o valor for "ALL_ISSUERS", então todas as identidades IdP serão confiáveis.
pkixTrustEngine > x509Certificate
Um ID de configuração exclusivo.
Name | Type | Default | Description |
---|---|---|---|
id | sequência | Um ID de configuração exclusivo. | |
path | string | Especifica o caminho para o certificado x509. |
Um ID de configuração exclusivo.
Name | Type | Default | Description |
---|---|---|---|
id | sequência | Um ID de configuração exclusivo. | |
path | string | Especifica o caminho para o crl. |
Especifica a referência do filtro de autenticação.
Um ID de configuração exclusivo.
Name | Type | Default | Description |
---|---|---|---|
id | sequência | Um ID de configuração exclusivo. | |
name | string | Especifica o nome. | |
matchType |
| contains | Especifica o tipo de correspondência. contains Contém notContain Não contém equals Igual a |
Um ID de configuração exclusivo.
Name | Type | Default | Description |
---|---|---|---|
id | sequência | Um ID de configuração exclusivo. | |
urlPattern | string | Especifica o padrão da URL. | |
matchType |
| contains | Especifica o tipo de correspondência. contains Contém notContain Não contém equals Igual a |
Um ID de configuração exclusivo.
Name | Type | Default | Description |
---|---|---|---|
id | sequência | Um ID de configuração exclusivo. | |
matchType |
| contains | Especifica o tipo de correspondência. contains Contém notContain Não contém equals Igual a lessThan Menor que greaterThan Maior que |
ip | string | Especifica o endereço IP. |
Um ID de configuração exclusivo.
Name | Type | Default | Description |
---|---|---|---|
id | sequência | Um ID de configuração exclusivo. | |
name | string | Especifica o nome. | |
matchType |
| contains | Especifica o tipo de correspondência. contains Contém notContain Não contém equals Igual a |
Um ID de configuração exclusivo.
Name | Type | Default | Description |
---|---|---|---|
id | sequência | Um ID de configuração exclusivo. | |
agent | string | Especifica o agente do usuário | |
matchType |
| contains | Especifica o tipo de correspondência. contains Contém notContain Não contém equals Igual a |
O nome do cabeçalho da solicitação de HTTP que armazena o Token do SAML.
A lista de públicos que são confiáveis para verificar a audiência do Token SAML. Se o valor for "ANY", então, todos os públicos são confiáveis.