Řídí provoz mechanizmu jednotného webového přihlášení pomocí jazyka Security Assertion Markup Language 2.0.
Name | Type | Default | Description |
---|---|---|---|
id | řetězec | Jedinečné ID konfigurace. | |
httpsRequired | boolean | true | Vynucení komunikace typu SSL při přístupu ke koncovému bodu poskytovatele služby, např. pro acs nebo metadata. |
inboundPropagation |
| none | Řídí provoz mechanizmu webového jednotného přihlášení pomocí jazyka Security Assertion Markup Language Web SSO 2.0 pro příchozí šíření mechanizmu webových služeb. none %inboundPropagation.none required %inboundPropagation.required |
wantAssertionsSigned | boolean | true | Označuje požadavek, že prvky <saml:Assertion> přijaté tímto poskytovatelem služeb musí obsahovat prvek podpisu, kterým je podepsána deklarace. |
signatureMethodAlgorithm |
| SHA256 | Udává algoritmus požadovaný tímto poskytovatelem služeb. SHA256 Podpisový algoritmus SHA-256 SHA1 Podpisový algoritmus SHA-1 SHA128 %signatureMethodAlgorithm.SHA128 |
createSession | boolean | true | Určuje, zda vytvořit relaci HttpSession, když neexistuje aktuální relace HttpSession. |
authnRequestsSigned | boolean | true | Udává, zda budou podepisovány zprávy <samlp:AuthnRequest> odesílané tímto poskytovatelem služeb |
includeX509InSPMetadata | boolean | true | Určuje, zda zahrnout certifikát x509 do metadat Liberty SP. |
forceAuthn | boolean | false | Udává, zda má poskytovatel identit vynucovat opětovné ověření uživatele |
isPassive | boolean | false | Určuje, že poskytovatel identit nesmí převzít kontrolu nad uživatelským rozhraním koncového uživatele. |
allowCreate | boolean | Povolit poskytovateli identit vytvořit nový účet, pokud požadující uživatel žádný nemá. | |
authnContextComparisonType |
| exact | Když je určen prvek authnContextClassRef, je možné nastavit authnContextComparisonType. better Lepší. Kontext ověřování v příkazu ověření musí silnější, než některý z uvedených kontextů ověřování. exact Přesný. Kontext ověřování v příkazu ověření musí přesně odpovídat nejméně jednomu z uvedených kontextů ověřování. maximum Maximální. Kontext ověřování v příkazu ověření musí být co nejsilnější, nesmí však překročit sílu nejméně jednoho z uvedených kontextů ověřování. minimum Minimální. Kontext ověřování v příkazu ověření musí být alespoň tak silný, jako jeden z uvedených kontextů ověřování. |
nameIDFormat |
| Určuje odkaz na identifikátor URI odpovídající formátu identifikátor názvu definovanému ve specifikaci jádra SAML. windowsDomainQualifiedName urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName encrypted urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted unspecified urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified transient urn:oasis:names:tc:SAML:2.0:nameid-format:transient x509SubjectName urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName kerberos urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos persistent urn:oasis:names:tc:SAML:2.0:nameid-format:persistent customize Upravený formát ID názvu. urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress entity urn:oasis:names:tc:SAML:2.0:nameid-format:entity | |
customizeNameIDFormat | string | Určuje přizpůsobený odkaz na identifikátor URI odpovídající formátu identifikátor názvu, který není definován ve specifikaci jádra SAML. | |
idpMetadata | string | ${server.config.dir}/resources/security/idpMetadata.xml | Určuje soubor metadat poskytovatele identit. |
keyStoreRef | Odkaz na prvek nejvyšší úrovně keyStore (řetězec). | Úložiště klíčů obsahující soukromý klíč pro podepisování požadavků AuthnRequest a dešifrování prvků EncryptedAssertion. Výchozí nastavení je výchozí hodnota serveru. | |
keyAlias | string | Název alias klíče, pomocí kterého lze vyhledat soukromý klíč pro podepisování a dešifrování. Není povinný, pokud má úložiště klíčů právě jednu položku klíče nebo jeden klíč s alias 'samlsp'. | |
loginPageURL | string | Určuje adresu URL přihlašovací aplikace poskytovatele identit SAML, kam je přesměrován neověřený požadavek. Tento atribut spustí jednotné přihlášení (SSO) inicializované poskytovatelem identit (IdP) a je vyžadován pouze pro SSO inicializované IdP. | |
errorPageURL | string | Určuje stránku s chybou, která se má zobrazit, pokud se nezdaří ověření SAML. Není-li tento atribut zadán a přijatý kód SAML je neplatný, bude uživatel přesměrován zpět na poskytovatele identit SAML, kde bude znovu zahájeno jednotné přihlášení. | |
clockSkew | Časové období s přesností na milisekundy | 5m | Používá se k určení povoleného posunu hodin v minutách při ověřování tokenu SAML. Zadejte kladné celé číslo následované jednotkou času, což může být hodina (h), minuta (m), sekunda (s) nebo milisekunda (ms). Například 500 milisekund zadejte jako 500ms. Do jedné položky můžete zahrnout více hodnot. Například 1s500ms je ekvivalentní 1,5 sekundy. |
tokenReplayTimeout | Časové období s přesností na milisekundy | 30m | Tato vlastnost se používá k určení toho, jak dlouho má poskytovatel služeb Liberty bránit dalšímu přehrání tokenu. Zadejte kladné celé číslo následované jednotkou času, což může být hodina (h), minuta (m), sekunda (s) nebo milisekunda (ms). Například 500 milisekund zadejte jako 500ms. Do jedné položky můžete zahrnout více hodnot. Například 1s500ms je ekvivalentní 1,5 sekundy. |
sessionNotOnOrAfter | Časové období s přesností na milisekundy | 120m | Určuje horní mez trvání relací SAML, po které má poskytovatel služeb Liberty požádat uživatele o nové ověření u poskytovatele identit. Pokud token SAML vrácený poskytovatelem identit neobsahuje deklaraci sessionNotOnOrAfter, použije se hodnota určená tímto atributem. Tato vlastnost se používá pouze, když disableLtpaCookie=true. Výchozí hodnota je true (ano). Zadejte kladné celé číslo následované jednotkou času, což může být hodina (h), minuta (m), sekunda (s) nebo milisekunda (ms). Například 500 milisekund zadejte jako 500ms. Do jedné položky můžete zahrnout více hodnot. Například 1s500ms je ekvivalentní 1,5 sekundy. |
userIdentifier | string | Určuje atribut SAML, který se používá jako hlavní jméno uživatele v předmětu. Není-li zadána žádná hodnota, použije se hodnota prvku deklarace NameID SAML. | |
groupIdentifier | string | Určuje atribut SAML, který se používá jako název skupiny, jejímž je ověřený činitel členem. Neexistuje žádná výchozí hodnota. | |
userUniqueIdentifier | string | Určuje atribut SAML, který se používá jako jedinečné jméno uživatele platné pro WSCredential v předmětu. Výchozí nastavení je stejné jako hodnota atributu userIdentifier. | |
realmIdentifier | string | Určuje atribut SAML, který se používá jako název sféry. Není-li zadána žádná hodnota, použije se hodnota prvku deklarace SAML vydavatele. | |
includeTokenInSubject | boolean | true | Určuje, zda se má deklarace SAML zahrnout do předmětu. |
mapToUserRegistry |
| No | Určuje, jak se má identita mapovat na uživatele z registru. Volby jsou No (Ne), User (Uživatel) a Group (Skupina). Výchozí hodnota je No a registr uživatelů se k vytvoření předmětu uživatele nepoužije. No Nemapovat identitu SAML na uživatele nebo skupinu definovanou v registru Group Mapovat identitu SAML na uživatele definovaného v registru User Mapovat identitu SAML na uživatele definovaného v registru |
authFilterRef | Odkaz na prvek nejvyšší úrovně authFilter (řetězec). | Uvádí odkaz na filtr ověřování. | |
disableLtpaCookie | boolean | true | Nevytvářet při zpracování deklarace SAML token LTPA. Místo toho vytvořit soubor cookie specifického poskytovatele služeb. |
realmName | string | Určuje název sféry, když je registr mapToUserRegistry nastaven na No (Ne) nebo Group (Skupina). | |
authnRequestTime | Časové období s přesností na milisekundy | 10m | Určuje dobu životnosti aktivity authnReuqest generované a odeslané z poskytovatele služeb na poskytovatele identit (IdP), aby se vyžádal token SAML. Zadejte kladné celé číslo následované jednotkou času, což může být hodina (h), minuta (m), sekunda (s) nebo milisekunda (ms). Například 500 milisekund zadejte jako 500ms. Do jedné položky můžete zahrnout více hodnot. Například 1s500ms je ekvivalentní 1,5 sekundy. |
enabled | boolean | true | Poskytovatel služeb je povolen, je-li hodnota true, a zakázán, je-li false. |
allowCustomCacheKey | boolean | true | Povolit vygenerování vlastního klíče mezipaměti pro přístup k mezipaměti ověření a získání předmětu. |
spHostAndPort | string | Určuje název hostitele a číslo portu poskytovatele služeb SAML. | |
reAuthnOnAssertionExpire | boolean | false | Ověřuje znovu příchozí požadavek HTTP proti deklaraci SAML, když se blíží vypršení platnosti. |
reAuthnCushion | Časové období s přesností na milisekundy | 0m | Časové období pro opětovné ověření, když se blíží vypršení platnosti deklarace SAML, které je určeno příkazem NotOnOrAfter anebo atributem SessionNotOnOrAfter deklarace SAML. Zadejte kladné celé číslo následované jednotkou času, což může být hodina (h), minuta (m), sekunda (s) nebo milisekunda (ms). Například 500 milisekund zadejte jako 500ms. Do jedné položky můžete zahrnout více hodnot. Například 1s500ms je ekvivalentní 1,5 sekundy. |
targetPageUrl | string | Výchozí spouštěcí stránka pro SSO iniciované IdP, pokud chybí relayState. Tato vlastnost musí být nastavena na platnou adresu URL, pokud je parametr useRelayStateForTarget nastaven na false. | |
useRelayStateForTarget | boolean | true | Při jednotném přihlášení iniciovaném poskytovatelem identit tato vlastnost určuje, zda má být jako cílová adresa URL použita hodnota relayState v parametru SAMLResponse. Je-li nastavena hodnota false, hodnota vlastnosti targetPageUrl se vždy používá jako cílová adresa URL. |
Odkaz na identifikátor URI identifikující třídu kontextu ověřování, která popisuje deklaraci kontextu ověřování. Výchozí hodnota je Null.
Určuje informace o důvěryhodnosti PKIX, které se používají k vyhodnocení důvěryhodnosti a platnosti podpisů XML v odezvě SAML. Nezadávejte více pkixTrustEngine v samlWebSso20.
Name | Type | Default | Description |
---|---|---|---|
trustAnchorRef | Odkaz na prvek nejvyšší úrovně keyStore (řetězec). | Úložiště klíčů obsahující veřejný klíč nezbytný k ověření podpisu odezvy SAMLResponse a deklarace. |
pkixTrustEngine > trustedIssuers
Určuje identity důvěryhodných vydavatelů IdP. Pokud je hodnota "ALL_ISSUERS", jsou důvěryhodné identity všech IdP.
pkixTrustEngine > x509Certificate
Jedinečné ID konfigurace.
Name | Type | Default | Description |
---|---|---|---|
id | řetězec | Jedinečné ID konfigurace. | |
path | string | Určuje cestu k certifikátu x509. |
Jedinečné ID konfigurace.
Name | Type | Default | Description |
---|---|---|---|
id | řetězec | Jedinečné ID konfigurace. | |
path | string | Určuje cestu k crl. |
Uvádí odkaz na filtr ověřování.
Jedinečné ID konfigurace.
Name | Type | Default | Description |
---|---|---|---|
id | řetězec | Jedinečné ID konfigurace. | |
name | string | Určuje název. | |
matchType |
| contains | Určuje typ shody. contains Obsahuje notContain Neobsahuje equals Je rovno |
Jedinečné ID konfigurace.
Name | Type | Default | Description |
---|---|---|---|
id | řetězec | Jedinečné ID konfigurace. | |
urlPattern | string | Určuje vzor URL. | |
matchType |
| contains | Určuje typ shody. contains Obsahuje notContain Neobsahuje equals Je rovno |
Jedinečné ID konfigurace.
Name | Type | Default | Description |
---|---|---|---|
id | řetězec | Jedinečné ID konfigurace. | |
matchType |
| contains | Určuje typ shody. contains Obsahuje notContain Neobsahuje equals Je rovno lessThan Menší než greaterThan Větší než |
ip | string | Určuje adresu IP. |
Jedinečné ID konfigurace.
Name | Type | Default | Description |
---|---|---|---|
id | řetězec | Jedinečné ID konfigurace. | |
name | string | Určuje název. | |
matchType |
| contains | Určuje typ shody. contains Obsahuje notContain Neobsahuje equals Je rovno |
Jedinečné ID konfigurace.
Name | Type | Default | Description |
---|---|---|---|
id | řetězec | Jedinečné ID konfigurace. | |
agent | string | Určuje agenta uživatele | |
matchType |
| contains | Určuje typ shody. contains Obsahuje notContain Neobsahuje equals Je rovno |
Název záhlaví požadavku HTTP, který ukládá token SAML.
Seznam cílových skupin, který je důvěryhodný k ověření cílových skupin tokenu SAML. Je-li hodnota nastavena na "ANY", potom budou všechny cílové skupiny důvěryhodné.