Security Assertion Markup Language Web SSO 2.0 メカニズムの動作を制御します。
Name | Type | Default | Description |
---|---|---|---|
id | string | 固有の構成 ID。 | |
httpsRequired | boolean | true | ACS やメタデータなどの SAML WebSSO サービス・プロバイダー・エンドポイントにアクセスするときに、SSL 通信の使用を強制します。 |
inboundPropagation |
| none | Web Services メカニズムのインバウンド伝搬用の Security Assertion Markup Language Web SSO 2.0 の動作を制御します。 none %inboundPropagation.none required %inboundPropagation.required |
wantAssertionsSigned | boolean | true | このサービス・プロバイダーが受信する <saml:Assertion> エレメントが、アサーションに署名する Signature エレメントを含む必要があるかを指定します。 |
signatureMethodAlgorithm |
| SHA256 | このサービス・プロバイダーで必要とされるアルゴリズムを指定します。 SHA256 SHA-256 署名アルゴリズム SHA1 SHA-1 署名アルゴリズム SHA128 %signatureMethodAlgorithm.SHA128 |
createSession | boolean | true | 現行 HttpSession が存在しない場合に HttpSession を作成するかどうかを指定します。 |
authnRequestsSigned | boolean | true | このサービス・プロバイダーによって送信される <samlp:AuthnRequest> メッセージに署名するかどうかを指定します。 |
includeX509InSPMetadata | boolean | true | Liberty SP メタデータに x509 証明書を含めるかどうかを指定します。 |
forceAuthn | boolean | false | IdP によってユーザーに再認証させるかどうかを指定します。 |
isPassive | boolean | false | IdP がエンド・ユーザー・インターフェースを制御してはならないかを指示します。 |
allowCreate | boolean | 要求側ユーザーにアカウントがない場合に IdP による新規アカウントの作成を許可します。 | |
authnContextComparisonType |
| exact | authnContextClassRef が指定されている場合、authnContextComparisonType を設定できます。 better better。 認証ステートメントの認証コンテキストは、指定されたどの認証コンテキストよりも強度が高くなければなりません。 exact exact。 認証ステートメントの認証コンテキストは、指定された認証コンテキストの少なくとも 1 つと完全一致でなければなりません。 maximum maximum。 認証ステートメントの認証コンテキストは、可能な限り高い強度である必要がありますが、指定された 1 つ以上の認証コンテキストの強度を超えてはなりません。 minimum minimum。 認証ステートメントの認証コンテキストは、指定された認証コンテキストの 1 つと少なくとも同じ強度でなければなりません。 |
nameIDFormat |
| SAML コア仕様で定義された名前 ID フォーマットに対応する URI 参照を指定します。 windowsDomainQualifiedName urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName encrypted urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted unspecified urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified transient urn:oasis:names:tc:SAML:2.0:nameid-format:transient x509SubjectName urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName kerberos urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos persistent urn:oasis:names:tc:SAML:2.0:nameid-format:persistent customize カスタマイズした名前 ID フォーマット。 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress entity urn:oasis:names:tc:SAML:2.0:nameid-format:entity | |
customizeNameIDFormat | string | SAML コア仕様で定義されていない名前 ID フォーマットに対応する、カスタマイズされた URI 参照を指定します。 | |
idpMetadata | string | ${server.config.dir}/resources/security/idpMetadata.xml | IdP メタデータ・ファイルを指定します。 |
keyStoreRef | 最上位の keyStore エレメント (ストリング) の参照。 | AuthnRequest の署名、および EncryptedAssertion エレメントの暗号化解除に使用する秘密鍵が含まれている鍵ストア。 デフォルトはサーバーのデフォルトです。 | |
keyAlias | string | 署名および暗号化解除用の秘密鍵を見つけるための鍵別名。 鍵ストアに含まれている鍵エントリーが 1 つのみの場合、または別名が「samlsp」の鍵が 1 つの場合には、オプションです。 | |
loginPageURL | string | 非認証要求のリダイレクト先の SAML IdP ログイン・アプリケーション URL を指定します。 この属性は IdP によって開始される SSO をトリガーし、IdP によって開始される SSO の場合にのみ必要です。 | |
errorPageURL | string | SAML 検証が失敗した場合に表示するエラー・ページを指定します。 この属性が指定されておらず、受け取った SAML が無効な場合、SSO を再開するためにユーザーは再び SAML IdP にリダイレクトされます。 | |
clockSkew | 期間 (精度: ミリ秒) | 5m | これを使用して、SAML トークンの検証時に許可されるクロック・スキュー (分) を指定します。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。 |
tokenReplayTimeout | 期間 (精度: ミリ秒) | 30m | このプロパティーを使用して、Liberty SP がトークン再生を防止する期間を指定します。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。 |
sessionNotOnOrAfter | 期間 (精度: ミリ秒) | 120m | SAML セッション期間の上限を指示します。これを超えると、Liberty SP はユーザーに IdP への再認証を求めます。 IdP から戻された SAML トークンに sessionNotOnOrAfter アサーションが含まれない場合に、この属性で指定した値が使用されます。このプロパティーは、disableLtpaCookie=true の場合にのみ使用されます。デフォルト値は true です。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。 |
userIdentifier | string | サブジェクト内でユーザー・プリンシパル名として使用する SAML 属性を指定します。 値が指定されないと、NameID SAML アサーション・エレメント値が使用されます。 | |
groupIdentifier | string | 認証済みプリンシパルをメンバーとして含むグループの名前として使用する SAML 属性を指定します。 デフォルト値はありません。 | |
userUniqueIdentifier | string | サブジェクト内の WSCredential に適用される固有のユーザー名として使用する SAML 属性を指定します。 デフォルトは userIdentifier 属性値と同じ値です。 | |
realmIdentifier | string | レルム名として使用する SAML 属性を指定します。 値が指定されないと、Issuer SAML アサーション・エレメント値が使用されます。 | |
includeTokenInSubject | boolean | true | サブジェクトに SAML アサーションを含めるかどうかを指定します。 |
mapToUserRegistry |
| No | ID をレジストリー・ユーザーにマップする方法を指定します。 オプションは、No、User、および Group です。 デフォルトは No であり、ユーザー・サブジェクトを作成するためにユーザー・レジストリーは使用されません。 No SAML ID をレジストリー内のユーザーまたはグループにマップしない Group SAML ID をユーザー・レジストリーで定義されたグループにマップする User SAML ID をレジストリーで定義されたユーザーにマップする |
authFilterRef | 最上位の authFilter エレメント (ストリング) の参照。 | 認証フィルター参照を指定します。 | |
disableLtpaCookie | boolean | true | SAML アサーションの処理中に LTPA トークンを作成しません。 代わりに、特定のサービス・プロバイダーの Cookie を作成します。 |
realmName | string | mapToUserRegistry が No または Group に設定されている場合、レルム名を指定します。 | |
authnRequestTime | 期間 (精度: ミリ秒) | 10m | SAML トークンを要求するために生成されてサービス・プロバイダーから IdP に送信される authnReuqest の存続期間を指定します。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。 |
enabled | boolean | true | true の場合はサービス・プロバイダーが有効となり、false の場合は無効となります。 |
allowCustomCacheKey | boolean | true | 認証キャッシュにアクセスし、サブジェクトを取得するために、カスタム・キャッシュ・キーを生成することを許可します。 |
spHostAndPort | string | SAML サービス・プロバイダーのホスト名とポート番号を指定します。 | |
reAuthnOnAssertionExpire | boolean | false | SAML アサーションの有効期限が切れそうなときに着信 HTTP 要求をもう一度認証します。 |
reAuthnCushion | 期間 (精度: ミリ秒) | 0m | SAML アサーションのステートメント NotOnOrAfter または属性 SessionNotOnOrAfter のいずれかで示される SAML アサーションの有効期限が切れそうなときに再認証する期間。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。 |
targetPageUrl | string | relayState が欠落している場合の、IdP によって開始される SSO のデフォルト・ランディング・ページ。useRelayStateForTarget が false に設定されている場合、このプロパティーには有効な URL が設定される必要があります。 | |
useRelayStateForTarget | boolean | true | IdP によって開始される SSO を行う場合、このプロパティーは SAMLResponse 内の relayState がターゲット URL として使用される必要があるかどうかを指定します。false に設定されている場合、targetPageUrl の値が常にターゲット URL として使用されます。 |
認証コンテキスト宣言を記述する認証コンテキスト・クラスを識別する URI 参照。 デフォルトはヌルです。
SAML 応答に含まれている XML 署名の信頼性および妥当性を評価するために使用される PKIX トラスト情報を指定します。 複数の pkixTrustEngine を 1 つの samlWebSso20 で指定しないようにしてください。
Name | Type | Default | Description |
---|---|---|---|
trustAnchorRef | 最上位の keyStore エレメント (ストリング) の参照。 | SAMLResponse および Assertion の署名を検証するために必要な公開鍵が含まれている鍵ストア。 |
pkixTrustEngine > trustedIssuers
信頼できる IdP 発行者の ID を指定します。 値が「ALL_ISSUERS」の場合、すべての IdP ID が信頼されます。
pkixTrustEngine > x509Certificate
固有の構成 ID。
Name | Type | Default | Description |
---|---|---|---|
id | string | 固有の構成 ID。 | |
path | string | x509 証明書のパスを指定します。 |
固有の構成 ID。
Name | Type | Default | Description |
---|---|---|---|
id | string | 固有の構成 ID。 | |
path | string | CRL のパスを指定します。 |
認証フィルター参照を指定します。
固有の構成 ID。
Name | Type | Default | Description |
---|---|---|---|
id | string | 固有の構成 ID。 | |
name | string | 名前を指定します。 | |
matchType |
| contains | マッチング・タイプを指定します。 contains 含む notContain 含まない equals 等しい |
固有の構成 ID。
Name | Type | Default | Description |
---|---|---|---|
id | string | 固有の構成 ID。 | |
urlPattern | string | URL パターンを指定します。 | |
matchType |
| contains | マッチング・タイプを指定します。 contains 含む notContain 含まない equals 等しい |
固有の構成 ID。
Name | Type | Default | Description |
---|---|---|---|
id | string | 固有の構成 ID。 | |
matchType |
| contains | マッチング・タイプを指定します。 contains 含む notContain 含まない equals 等しい lessThan より小 greaterThan より大 |
ip | string | IP アドレスを指定します。 |
固有の構成 ID。
Name | Type | Default | Description |
---|---|---|---|
id | string | 固有の構成 ID。 | |
name | string | 名前を指定します。 | |
matchType |
| contains | マッチング・タイプを指定します。 contains 含む notContain 含まない equals 等しい |
固有の構成 ID。
Name | Type | Default | Description |
---|---|---|---|
id | string | 固有の構成 ID。 | |
agent | string | ユーザー・エージェントを指定します。 | |
matchType |
| contains | マッチング・タイプを指定します。 contains 含む notContain 含まない equals 等しい |
SAML トークンを保管する HTTP 要求のヘッダー名。
SAML トークンの対象者を調べるための、信頼されている対象者のリスト。 値が "ANY" の場合は、すべての対象者が信頼されます。