openidConnectClient - OpenID Connect 用戶端 (openidConnectClient)

OpenID Connect 用戶端。

NameTypeDefaultDescription
idstring唯一的配置 ID。
scopetokenTypeopenid profile容許提供者使用的 OpenID Connect 範圍(詳述於 OpenID Connect 規格中)。
userIdentityToCreateSubjectstringsub指定 ID 記號中用來建立使用者主旨的使用者身分。
httpsRequiredbooleantrueOpenID 依賴方和提供者服務之間需要進行 SSL 通訊。
grantType
  • implicit
  • authorization_code
authorization_code指定用於這個用戶端的授權類型。
implicit
隱含的授權類型
authorization_code
授權碼授權類型
clientIdstring用戶端的身分。
clientSecret可逆的編碼密碼(字串)用戶端的秘密金鑰。
redirectToRPHostAndPortstring指定重新導向 OpenID 依賴方的主機和埠號。
redirectJunctionPathstring指定要插入重新導向 URL 的路徑片段,放在主機名稱和埠之後。預設值為空字串。
isClientSideRedirectSupportedbooleantrue指定用戶端在用戶端中是否支援重新導向。
issuerIdentifierstring「發證者 ID」是一個區分大小寫的 URL,它使用含有架構、主機和選用埠號與路徑元件的 HTTPS 架構。
mapIdentityToRegistryUserbooleanfalse指定是否將身分對映至登錄使用者。如果設為 false,則不使用使用者登錄來建立使用者主體。
trustStoreRef最上層 keyStore 元素的參照(字串)。含有驗證 ID 記號簽章所需要之公開金鑰的金鑰儲存庫。
trustAliasNamestring用來尋找公開金鑰以便使用非對稱演算法來驗證簽章的金鑰別名。
nonceEnabledbooleanfalse在授權碼流程中啟用 Nonce 參數。
realmNamestring在 mapIdentityToRegistryUser 設為 false 的情況下,指定用來建立使用者主體的領域名稱。
sslRef最上層 ssl 元素的參照(字串)。指定連接 OpenID Connect 提供者時所使用的 SSL 配置 ID。
signatureAlgorithm
  • HS256
  • RS256
  • none
HS256指定驗證 ID 記號簽章時要使用的簽章演算法。
HS256
使用 HS256 簽章演算法來簽署和驗證記號
RS256
使用 RS256 簽章演算法來簽署和驗證記號
none
不需要簽署記號
includeIdTokenInSubjectbooleantrue指定是否在用戶端主旨中包含 ID 記號。
accessTokenInLtpaCookiebooleanfalse指定 LTPA 記號是否包含存取記號。
initialStateCacheCapacityint
Min: 0
3000指定狀態快取的起始容量。容量會依照本身的需求不斷變大。
hostNameVerificationEnabledbooleanfalse指定是否啟用主機名稱驗證。
authorizationEndpointUrlstring指定授權端點 URL。
tokenEndpointUrlstring指定記號端點 URL。
jwkEndpointUrlstring指定 JWK 端點 URL。
jwkClientIdstring指定包含在 JWK 要求基本鑑別架構中的用戶端 ID。
jwkClientSecret可逆的編碼密碼(字串)指定包含在 JWK 要求基本鑑別架構中的用戶端密碼。
responseType
  • id_token token
  • code
  • id_token
  • token
指定此用戶端所需的回應類型。
id_token token
ID 記號和存取記號
code
授權碼
id_token
ID 記號
token
存取記號
userIdentifierstring指定 ID 記號中的 JSON 屬性,以作為主體中的使用者主體名稱。如果沒有指定值,會使用 JSON 屬性 "sub"。
groupIdentifierstringgroupIds指定 ID 記號中的 JSON 屬性,以作為已鑑別主體所屬的群組名稱。
realmIdentifierstringrealmName指定 ID 記號中的 JSON 屬性以作為領域名稱。
uniqueUserIdentifierstringuniqueSecurityName指定 ID 記號中的 JSON 屬性,以作為套用至主體中之 WSCredential 時的唯一使用者名稱。
tokenEndpointAuthMethod
  • post
  • basic
post用來傳送認證給 OpenID Connect 提供者記號端點以鑑別用戶端的方法。
post
post
basic
basic
inboundPropagation
  • none
  • required
  • supported
none控制 OpenID 依賴方的記號入埠傳播作業。
none
不支援入埠記號傳播
required
需要入埠記號傳播
supported
支援入埠記號傳播
validationMethod
  • introspect
  • userinfo
introspect記號入埠傳播的驗證方法。
introspect
使用記號內部檢查來驗證入埠記號
userinfo
使用 userinfo 端點來驗證入埠記號
headerNamestring在要求中帶有入埠記號的標頭名稱。
validationEndpointUrlstring用來驗證記號入埠傳播的端點 URL。端點的類型由 validationMethod 決定。
disableIssCheckingbooleanfalse驗證入埠記號傳播的 JSON 回應時不檢查發證者。
authnSessionDisabledbooleantrue不會為入埠傳播建立鑑別階段作業 Cookie。對於每一項要求,用戶端照理應會傳送有效的 OAuth 記號。
disableLtpaCookiebooleanfalse在處理 OAuth 記號期間,不建立 LTPA 記號。改為建立特定服務提供者的 Cookie。
reAuthnOnAccessTokenExpirebooleantrue當使用者的鑑別存取記號到期,且 disableLtpaCookie 設為 true 時,會重新鑑別該使用者。
reAuthnCushion精準度是毫秒的時間量0s當使用者的記號將要到期時,要再次鑑別該使用者的時段。ID 記號的有效期限由其到期聲明指定。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。
authFilterRef最上層 authFilter 元素的參照(字串)。指定鑑別過濾器參照。
createSessionbooleantrue指定如果現行 HttpSession 不存在,是否要建立 HttpSession。
authenticationTimeLimit精準度是毫秒的時間量420s從重新導向至鑑別伺服器到鑑別伺服器傳回的間隔期間上限(毫秒)。一旦過了此期間,Cookie 即告到期。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。

audiences

根據 JSON Web 記號中的 aud 聲明,來驗證的授信對象清單。

authFilter

指定鑑別過濾器參照。

authFilter > webApp

唯一的配置 ID。

NameTypeDefaultDescription
idstring唯一的配置 ID。
namestring指定名稱。
matchType
  • contains
  • notContain
  • equals
contains指定相符類型。
contains
包含
notContain
不包含
equals
等於

authFilter > requestUrl

唯一的配置 ID。

NameTypeDefaultDescription
idstring唯一的配置 ID。
urlPatternstring指定 URL 型樣。
matchType
  • contains
  • notContain
  • equals
contains指定相符類型。
contains
包含
notContain
不包含
equals
等於

authFilter > remoteAddress

唯一的配置 ID。

NameTypeDefaultDescription
idstring唯一的配置 ID。
matchType
  • contains
  • notContain
  • equals
  • lessThan
  • greaterThan
contains指定相符類型。
contains
包含
notContain
不包含
equals
等於
lessThan
小於
greaterThan
大於
ipstring指定 IP 位址。

authFilter > host

唯一的配置 ID。

NameTypeDefaultDescription
idstring唯一的配置 ID。
namestring指定名稱。
matchType
  • contains
  • notContain
  • equals
contains指定相符類型。
contains
包含
notContain
不包含
equals
等於

authFilter > userAgent

唯一的配置 ID。

NameTypeDefaultDescription
idstring唯一的配置 ID。
agentstring指定使用者代理程式
matchType
  • contains
  • notContain
  • equals
contains指定相符類型。
contains
包含
notContain
不包含
equals
等於

resource

將資源參數包含在要求中。