samlWebSso20 - Ověřování pomocí jednotného webového přihlášení pomocí SAML 2.0 (samlWebSso20)

Řídí provoz mechanizmu jednotného webového přihlášení pomocí jazyka Security Assertion Markup Language 2.0.

NameTypeDefaultDescription
idřetězecJedinečné ID konfigurace.
httpsRequiredbooleantrueVynucení komunikace typu SSL při přístupu ke koncovému bodu poskytovatele služby, např. pro acs nebo metadata.
inboundPropagation
  • none
  • required
noneŘídí provoz mechanizmu webového jednotného přihlášení pomocí jazyka Security Assertion Markup Language Web SSO 2.0 pro příchozí šíření mechanizmu webových služeb.
none
%inboundPropagation.none
required
%inboundPropagation.required
wantAssertionsSignedbooleantrueOznačuje požadavek, že prvky <saml:Assertion> přijaté tímto poskytovatelem služeb musí obsahovat prvek podpisu, kterým je podepsána deklarace.
signatureMethodAlgorithm
  • SHA256
  • SHA1
  • SHA128
SHA256Udává algoritmus požadovaný tímto poskytovatelem služeb.
SHA256
Podpisový algoritmus SHA-256
SHA1
Podpisový algoritmus SHA-1
SHA128
%signatureMethodAlgorithm.SHA128
createSessionbooleantrueUrčuje, zda vytvořit relaci HttpSession, když neexistuje aktuální relace HttpSession.
authnRequestsSignedbooleantrueUdává, zda budou podepisovány zprávy <samlp:AuthnRequest> odesílané tímto poskytovatelem služeb
includeX509InSPMetadatabooleantrueUrčuje, zda zahrnout certifikát x509 do metadat Liberty SP.
forceAuthnbooleanfalseUdává, zda má poskytovatel identit vynucovat opětovné ověření uživatele
isPassivebooleanfalseUrčuje, že poskytovatel identit nesmí převzít kontrolu nad uživatelským rozhraním koncového uživatele.
allowCreatebooleanPovolit poskytovateli identit vytvořit nový účet, pokud požadující uživatel žádný nemá.
authnContextComparisonType
  • better
  • exact
  • maximum
  • minimum
exactKdyž je určen prvek authnContextClassRef, je možné nastavit authnContextComparisonType.
better
Lepší. Kontext ověřování v příkazu ověření musí silnější, než některý z uvedených kontextů ověřování.
exact
Přesný. Kontext ověřování v příkazu ověření musí přesně odpovídat nejméně jednomu z uvedených kontextů ověřování.
maximum
Maximální. Kontext ověřování v příkazu ověření musí být co nejsilnější, nesmí však překročit sílu nejméně jednoho z uvedených kontextů ověřování.
minimum
Minimální. Kontext ověřování v příkazu ověření musí být alespoň tak silný, jako jeden z uvedených kontextů ověřování.
nameIDFormat
  • windowsDomainQualifiedName
  • encrypted
  • unspecified
  • transient
  • x509SubjectName
  • kerberos
  • persistent
  • customize
  • email
  • entity
emailUrčuje odkaz na identifikátor URI odpovídající formátu identifikátor názvu definovanému ve specifikaci jádra SAML.
windowsDomainQualifiedName
urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName
encrypted
urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
transient
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
x509SubjectName
urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName
kerberos
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
customize
Upravený formát ID názvu.
email
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
entity
urn:oasis:names:tc:SAML:2.0:nameid-format:entity
customizeNameIDFormatstringUrčuje přizpůsobený odkaz na identifikátor URI odpovídající formátu identifikátor názvu, který není definován ve specifikaci jádra SAML.
idpMetadatastring${server.config.dir}/resources/security/idpMetadata.xmlUrčuje soubor metadat poskytovatele identit.
keyStoreRefOdkaz na prvek nejvyšší úrovně keyStore (řetězec).Úložiště klíčů obsahující soukromý klíč pro podepisování požadavků AuthnRequest a dešifrování prvků EncryptedAssertion. Výchozí nastavení je výchozí hodnota serveru.
keyAliasstringNázev alias klíče, pomocí kterého lze vyhledat soukromý klíč pro podepisování a dešifrování. Není povinný, pokud má úložiště klíčů právě jednu položku klíče nebo jeden klíč s alias 'samlsp'.
loginPageURLstringUrčuje adresu URL přihlašovací aplikace poskytovatele identit SAML, kam je přesměrován neověřený požadavek. Tento atribut spustí jednotné přihlášení (SSO) inicializované poskytovatelem identit (IdP) a je vyžadován pouze pro SSO inicializované IdP.
errorPageURLstringUrčuje stránku s chybou, která se má zobrazit, pokud se nezdaří ověření SAML. Není-li tento atribut zadán a přijatý kód SAML je neplatný, bude uživatel přesměrován zpět na poskytovatele identit SAML, kde bude znovu zahájeno jednotné přihlášení.
clockSkewČasové období s přesností na milisekundy5mPoužívá se k určení povoleného posunu hodin v minutách při ověřování tokenu SAML. Zadejte kladné celé číslo následované jednotkou času, což může být hodina (h), minuta (m), sekunda (s) nebo milisekunda (ms). Například 500 milisekund zadejte jako 500ms. Do jedné položky můžete zahrnout více hodnot. Například 1s500ms je ekvivalentní 1,5 sekundy.
tokenReplayTimeoutČasové období s přesností na milisekundy30mTato vlastnost se používá k určení toho, jak dlouho má poskytovatel služeb Liberty bránit dalšímu přehrání tokenu. Zadejte kladné celé číslo následované jednotkou času, což může být hodina (h), minuta (m), sekunda (s) nebo milisekunda (ms). Například 500 milisekund zadejte jako 500ms. Do jedné položky můžete zahrnout více hodnot. Například 1s500ms je ekvivalentní 1,5 sekundy.
sessionNotOnOrAfterČasové období s přesností na milisekundy120mUrčuje horní mez trvání relací SAML, po které má poskytovatel služeb Liberty požádat uživatele o nové ověření u poskytovatele identit. Pokud token SAML vrácený poskytovatelem identit neobsahuje deklaraci sessionNotOnOrAfter, použije se hodnota určená tímto atributem. Tato vlastnost se používá pouze, když disableLtpaCookie=true. Výchozí hodnota je true (ano). Zadejte kladné celé číslo následované jednotkou času, což může být hodina (h), minuta (m), sekunda (s) nebo milisekunda (ms). Například 500 milisekund zadejte jako 500ms. Do jedné položky můžete zahrnout více hodnot. Například 1s500ms je ekvivalentní 1,5 sekundy.
userIdentifierstringUrčuje atribut SAML, který se používá jako hlavní jméno uživatele v předmětu. Není-li zadána žádná hodnota, použije se hodnota prvku deklarace NameID SAML.
groupIdentifierstringUrčuje atribut SAML, který se používá jako název skupiny, jejímž je ověřený činitel členem. Neexistuje žádná výchozí hodnota.
userUniqueIdentifierstringUrčuje atribut SAML, který se používá jako jedinečné jméno uživatele platné pro WSCredential v předmětu. Výchozí nastavení je stejné jako hodnota atributu userIdentifier.
realmIdentifierstringUrčuje atribut SAML, který se používá jako název sféry. Není-li zadána žádná hodnota, použije se hodnota prvku deklarace SAML vydavatele.
includeTokenInSubjectbooleantrueUrčuje, zda se má deklarace SAML zahrnout do předmětu.
mapToUserRegistry
  • No
  • Group
  • User
NoUrčuje, jak se má identita mapovat na uživatele z registru. Volby jsou No (Ne), User (Uživatel) a Group (Skupina). Výchozí hodnota je No a registr uživatelů se k vytvoření předmětu uživatele nepoužije.
No
Nemapovat identitu SAML na uživatele nebo skupinu definovanou v registru
Group
Mapovat identitu SAML na uživatele definovaného v registru
User
Mapovat identitu SAML na uživatele definovaného v registru
authFilterRefOdkaz na prvek nejvyšší úrovně authFilter (řetězec).Uvádí odkaz na filtr ověřování.
disableLtpaCookiebooleantrueNevytvářet při zpracování deklarace SAML token LTPA. Místo toho vytvořit soubor cookie specifického poskytovatele služeb.
realmNamestringUrčuje název sféry, když je registr mapToUserRegistry nastaven na No (Ne) nebo Group (Skupina).
authnRequestTimeČasové období s přesností na milisekundy10mUrčuje dobu životnosti aktivity authnReuqest generované a odeslané z poskytovatele služeb na poskytovatele identit (IdP), aby se vyžádal token SAML. Zadejte kladné celé číslo následované jednotkou času, což může být hodina (h), minuta (m), sekunda (s) nebo milisekunda (ms). Například 500 milisekund zadejte jako 500ms. Do jedné položky můžete zahrnout více hodnot. Například 1s500ms je ekvivalentní 1,5 sekundy.
enabledbooleantruePoskytovatel služeb je povolen, je-li hodnota true, a zakázán, je-li false.
allowCustomCacheKeybooleantruePovolit vygenerování vlastního klíče mezipaměti pro přístup k mezipaměti ověření a získání předmětu.
spHostAndPortstringUrčuje název hostitele a číslo portu poskytovatele služeb SAML.
reAuthnOnAssertionExpirebooleanfalseOvěřuje znovu příchozí požadavek HTTP proti deklaraci SAML, když se blíží vypršení platnosti.
reAuthnCushionČasové období s přesností na milisekundy0mČasové období pro opětovné ověření, když se blíží vypršení platnosti deklarace SAML, které je určeno příkazem NotOnOrAfter anebo atributem SessionNotOnOrAfter deklarace SAML. Zadejte kladné celé číslo následované jednotkou času, což může být hodina (h), minuta (m), sekunda (s) nebo milisekunda (ms). Například 500 milisekund zadejte jako 500ms. Do jedné položky můžete zahrnout více hodnot. Například 1s500ms je ekvivalentní 1,5 sekundy.
targetPageUrlstringVýchozí spouštěcí stránka pro SSO iniciované IdP, pokud chybí relayState. Tato vlastnost musí být nastavena na platnou adresu URL, pokud je parametr useRelayStateForTarget nastaven na false.
useRelayStateForTargetbooleantruePři jednotném přihlášení iniciovaném poskytovatelem identit tato vlastnost určuje, zda má být jako cílová adresa URL použita hodnota relayState v parametru SAMLResponse. Je-li nastavena hodnota false, hodnota vlastnosti targetPageUrl se vždy používá jako cílová adresa URL.

authnContextClassRef

Odkaz na identifikátor URI identifikující třídu kontextu ověřování, která popisuje deklaraci kontextu ověřování. Výchozí hodnota je Null.

pkixTrustEngine

Určuje informace o důvěryhodnosti PKIX, které se používají k vyhodnocení důvěryhodnosti a platnosti podpisů XML v odezvě SAML. Nezadávejte více pkixTrustEngine v samlWebSso20.

NameTypeDefaultDescription
trustAnchorRefOdkaz na prvek nejvyšší úrovně keyStore (řetězec).Úložiště klíčů obsahující veřejný klíč nezbytný k ověření podpisu odezvy SAMLResponse a deklarace.

pkixTrustEngine > trustedIssuers

Určuje identity důvěryhodných vydavatelů IdP. Pokud je hodnota "ALL_ISSUERS", jsou důvěryhodné identity všech IdP.

pkixTrustEngine > x509Certificate

Jedinečné ID konfigurace.

NameTypeDefaultDescription
idřetězecJedinečné ID konfigurace.
pathstringUrčuje cestu k certifikátu x509.

pkixTrustEngine > crl

Jedinečné ID konfigurace.

NameTypeDefaultDescription
idřetězecJedinečné ID konfigurace.
pathstringUrčuje cestu k crl.

authFilter

Uvádí odkaz na filtr ověřování.

authFilter > webApp

Jedinečné ID konfigurace.

NameTypeDefaultDescription
idřetězecJedinečné ID konfigurace.
namestringUrčuje název.
matchType
  • contains
  • notContain
  • equals
containsUrčuje typ shody.
contains
Obsahuje
notContain
Neobsahuje
equals
Je rovno

authFilter > requestUrl

Jedinečné ID konfigurace.

NameTypeDefaultDescription
idřetězecJedinečné ID konfigurace.
urlPatternstringUrčuje vzor URL.
matchType
  • contains
  • notContain
  • equals
containsUrčuje typ shody.
contains
Obsahuje
notContain
Neobsahuje
equals
Je rovno

authFilter > remoteAddress

Jedinečné ID konfigurace.

NameTypeDefaultDescription
idřetězecJedinečné ID konfigurace.
matchType
  • contains
  • notContain
  • equals
  • lessThan
  • greaterThan
containsUrčuje typ shody.
contains
Obsahuje
notContain
Neobsahuje
equals
Je rovno
lessThan
Menší než
greaterThan
Větší než
ipstringUrčuje adresu IP.

authFilter > host

Jedinečné ID konfigurace.

NameTypeDefaultDescription
idřetězecJedinečné ID konfigurace.
namestringUrčuje název.
matchType
  • contains
  • notContain
  • equals
containsUrčuje typ shody.
contains
Obsahuje
notContain
Neobsahuje
equals
Je rovno

authFilter > userAgent

Jedinečné ID konfigurace.

NameTypeDefaultDescription
idřetězecJedinečné ID konfigurace.
agentstringUrčuje agenta uživatele
matchType
  • contains
  • notContain
  • equals
containsUrčuje typ shody.
contains
Obsahuje
notContain
Neobsahuje
equals
Je rovno

headerName

Název záhlaví požadavku HTTP, který ukládá token SAML.

audiences

Seznam cílových skupin, který je důvěryhodný k ověření cílových skupin tokenu SAML. Je-li hodnota nastavena na "ANY", potom budou všechny cílové skupiny důvěryhodné.