samlWebSso20 - SAML Web SSO 2.0 認証 (samlWebSso20)

Security Assertion Markup Language Web SSO 2.0 メカニズムの動作を制御します。

NameTypeDefaultDescription
idstring固有の構成 ID。
httpsRequiredbooleantrueACS やメタデータなどの SAML WebSSO サービス・プロバイダー・エンドポイントにアクセスするときに、SSL 通信の使用を強制します。
inboundPropagation
  • none
  • required
noneWeb Services メカニズムのインバウンド伝搬用の Security Assertion Markup Language Web SSO 2.0 の動作を制御します。
none
%inboundPropagation.none
required
%inboundPropagation.required
wantAssertionsSignedbooleantrueこのサービス・プロバイダーが受信する <saml:Assertion> エレメントが、アサーションに署名する Signature エレメントを含む必要があるかを指定します。
signatureMethodAlgorithm
  • SHA256
  • SHA1
  • SHA128
SHA256このサービス・プロバイダーで必要とされるアルゴリズムを指定します。
SHA256
SHA-256 署名アルゴリズム
SHA1
SHA-1 署名アルゴリズム
SHA128
%signatureMethodAlgorithm.SHA128
createSessionbooleantrue現行 HttpSession が存在しない場合に HttpSession を作成するかどうかを指定します。
authnRequestsSignedbooleantrueこのサービス・プロバイダーによって送信される <samlp:AuthnRequest> メッセージに署名するかどうかを指定します。
includeX509InSPMetadatabooleantrueLiberty SP メタデータに x509 証明書を含めるかどうかを指定します。
forceAuthnbooleanfalseIdP によってユーザーに再認証させるかどうかを指定します。
isPassivebooleanfalseIdP がエンド・ユーザー・インターフェースを制御してはならないかを指示します。
allowCreateboolean要求側ユーザーにアカウントがない場合に IdP による新規アカウントの作成を許可します。
authnContextComparisonType
  • better
  • exact
  • maximum
  • minimum
exactauthnContextClassRef が指定されている場合、authnContextComparisonType を設定できます。
better
better。 認証ステートメントの認証コンテキストは、指定されたどの認証コンテキストよりも強度が高くなければなりません。
exact
exact。 認証ステートメントの認証コンテキストは、指定された認証コンテキストの少なくとも 1 つと完全一致でなければなりません。
maximum
maximum。 認証ステートメントの認証コンテキストは、可能な限り高い強度である必要がありますが、指定された 1 つ以上の認証コンテキストの強度を超えてはなりません。
minimum
minimum。 認証ステートメントの認証コンテキストは、指定された認証コンテキストの 1 つと少なくとも同じ強度でなければなりません。
nameIDFormat
  • windowsDomainQualifiedName
  • encrypted
  • unspecified
  • transient
  • x509SubjectName
  • kerberos
  • persistent
  • customize
  • email
  • entity
emailSAML コア仕様で定義された名前 ID フォーマットに対応する URI 参照を指定します。
windowsDomainQualifiedName
urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName
encrypted
urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
transient
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
x509SubjectName
urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName
kerberos
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
customize
カスタマイズした名前 ID フォーマット。
email
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
entity
urn:oasis:names:tc:SAML:2.0:nameid-format:entity
customizeNameIDFormatstringSAML コア仕様で定義されていない名前 ID フォーマットに対応する、カスタマイズされた URI 参照を指定します。
idpMetadatastring${server.config.dir}/resources/security/idpMetadata.xmlIdP メタデータ・ファイルを指定します。
keyStoreRef最上位の keyStore エレメント (ストリング) の参照。AuthnRequest の署名、および EncryptedAssertion エレメントの暗号化解除に使用する秘密鍵が含まれている鍵ストア。 デフォルトはサーバーのデフォルトです。
keyAliasstring署名および暗号化解除用の秘密鍵を見つけるための鍵別名。 鍵ストアに含まれている鍵エントリーが 1 つのみの場合、または別名が「samlsp」の鍵が 1 つの場合には、オプションです。
loginPageURLstring非認証要求のリダイレクト先の SAML IdP ログイン・アプリケーション URL を指定します。 この属性は IdP によって開始される SSO をトリガーし、IdP によって開始される SSO の場合にのみ必要です。
errorPageURLstringSAML 検証が失敗した場合に表示するエラー・ページを指定します。 この属性が指定されておらず、受け取った SAML が無効な場合、SSO を再開するためにユーザーは再び SAML IdP にリダイレクトされます。
clockSkew期間 (精度: ミリ秒)5mこれを使用して、SAML トークンの検証時に許可されるクロック・スキュー (分) を指定します。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
tokenReplayTimeout期間 (精度: ミリ秒)30mこのプロパティーを使用して、Liberty SP がトークン再生を防止する期間を指定します。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
sessionNotOnOrAfter期間 (精度: ミリ秒)120mSAML セッション期間の上限を指示します。これを超えると、Liberty SP はユーザーに IdP への再認証を求めます。 IdP から戻された SAML トークンに sessionNotOnOrAfter アサーションが含まれない場合に、この属性で指定した値が使用されます。このプロパティーは、disableLtpaCookie=true の場合にのみ使用されます。デフォルト値は true です。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
userIdentifierstringサブジェクト内でユーザー・プリンシパル名として使用する SAML 属性を指定します。 値が指定されないと、NameID SAML アサーション・エレメント値が使用されます。
groupIdentifierstring認証済みプリンシパルをメンバーとして含むグループの名前として使用する SAML 属性を指定します。 デフォルト値はありません。
userUniqueIdentifierstringサブジェクト内の WSCredential に適用される固有のユーザー名として使用する SAML 属性を指定します。 デフォルトは userIdentifier 属性値と同じ値です。
realmIdentifierstringレルム名として使用する SAML 属性を指定します。 値が指定されないと、Issuer SAML アサーション・エレメント値が使用されます。
includeTokenInSubjectbooleantrueサブジェクトに SAML アサーションを含めるかどうかを指定します。
mapToUserRegistry
  • No
  • Group
  • User
NoID をレジストリー・ユーザーにマップする方法を指定します。 オプションは、No、User、および Group です。 デフォルトは No であり、ユーザー・サブジェクトを作成するためにユーザー・レジストリーは使用されません。
No
SAML ID をレジストリー内のユーザーまたはグループにマップしない
Group
SAML ID をユーザー・レジストリーで定義されたグループにマップする
User
SAML ID をレジストリーで定義されたユーザーにマップする
authFilterRef最上位の authFilter エレメント (ストリング) の参照。認証フィルター参照を指定します。
disableLtpaCookiebooleantrueSAML アサーションの処理中に LTPA トークンを作成しません。 代わりに、特定のサービス・プロバイダーの Cookie を作成します。
realmNamestringmapToUserRegistry が No または Group に設定されている場合、レルム名を指定します。
authnRequestTime期間 (精度: ミリ秒)10mSAML トークンを要求するために生成されてサービス・プロバイダーから IdP に送信される authnReuqest の存続期間を指定します。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
enabledbooleantruetrue の場合はサービス・プロバイダーが有効となり、false の場合は無効となります。
allowCustomCacheKeybooleantrue認証キャッシュにアクセスし、サブジェクトを取得するために、カスタム・キャッシュ・キーを生成することを許可します。
spHostAndPortstringSAML サービス・プロバイダーのホスト名とポート番号を指定します。
reAuthnOnAssertionExpirebooleanfalseSAML アサーションの有効期限が切れそうなときに着信 HTTP 要求をもう一度認証します。
reAuthnCushion期間 (精度: ミリ秒)0mSAML アサーションのステートメント NotOnOrAfter または属性 SessionNotOnOrAfter のいずれかで示される SAML アサーションの有効期限が切れそうなときに再認証する期間。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
targetPageUrlstringrelayState が欠落している場合の、IdP によって開始される SSO のデフォルト・ランディング・ページ。useRelayStateForTarget が false に設定されている場合、このプロパティーには有効な URL が設定される必要があります。
useRelayStateForTargetbooleantrueIdP によって開始される SSO を行う場合、このプロパティーは SAMLResponse 内の relayState がターゲット URL として使用される必要があるかどうかを指定します。false に設定されている場合、targetPageUrl の値が常にターゲット URL として使用されます。

authnContextClassRef

認証コンテキスト宣言を記述する認証コンテキスト・クラスを識別する URI 参照。 デフォルトはヌルです。

pkixTrustEngine

SAML 応答に含まれている XML 署名の信頼性および妥当性を評価するために使用される PKIX トラスト情報を指定します。 複数の pkixTrustEngine を 1 つの samlWebSso20 で指定しないようにしてください。

NameTypeDefaultDescription
trustAnchorRef最上位の keyStore エレメント (ストリング) の参照。SAMLResponse および Assertion の署名を検証するために必要な公開鍵が含まれている鍵ストア。

pkixTrustEngine > trustedIssuers

信頼できる IdP 発行者の ID を指定します。 値が「ALL_ISSUERS」の場合、すべての IdP ID が信頼されます。

pkixTrustEngine > x509Certificate

固有の構成 ID。

NameTypeDefaultDescription
idstring固有の構成 ID。
pathstringx509 証明書のパスを指定します。

pkixTrustEngine > crl

固有の構成 ID。

NameTypeDefaultDescription
idstring固有の構成 ID。
pathstringCRL のパスを指定します。

authFilter

認証フィルター参照を指定します。

authFilter > webApp

固有の構成 ID。

NameTypeDefaultDescription
idstring固有の構成 ID。
namestring名前を指定します。
matchType
  • contains
  • notContain
  • equals
containsマッチング・タイプを指定します。
contains
含む
notContain
含まない
equals
等しい

authFilter > requestUrl

固有の構成 ID。

NameTypeDefaultDescription
idstring固有の構成 ID。
urlPatternstringURL パターンを指定します。
matchType
  • contains
  • notContain
  • equals
containsマッチング・タイプを指定します。
contains
含む
notContain
含まない
equals
等しい

authFilter > remoteAddress

固有の構成 ID。

NameTypeDefaultDescription
idstring固有の構成 ID。
matchType
  • contains
  • notContain
  • equals
  • lessThan
  • greaterThan
containsマッチング・タイプを指定します。
contains
含む
notContain
含まない
equals
等しい
lessThan
より小
greaterThan
より大
ipstringIP アドレスを指定します。

authFilter > host

固有の構成 ID。

NameTypeDefaultDescription
idstring固有の構成 ID。
namestring名前を指定します。
matchType
  • contains
  • notContain
  • equals
containsマッチング・タイプを指定します。
contains
含む
notContain
含まない
equals
等しい

authFilter > userAgent

固有の構成 ID。

NameTypeDefaultDescription
idstring固有の構成 ID。
agentstringユーザー・エージェントを指定します。
matchType
  • contains
  • notContain
  • equals
containsマッチング・タイプを指定します。
contains
含む
notContain
含まない
equals
等しい

headerName

SAML トークンを保管する HTTP 要求のヘッダー名。

audiences

SAML トークンの対象者を調べるための、信頼されている対象者のリスト。 値が "ANY" の場合は、すべての対象者が信頼されます。