samlWebSso20 - SAML Web SSO 2.0 인증 (samlWebSso20)

Security Assertion Markup Language Web SSO 2.0 메커니즘의 조작을 제어합니다.

NameTypeDefaultDescription
id문자열고유 구성 ID입니다.
httpsRequiredbooleantrueacs 또는 메타데이터와 같은 SAML WebSSO 서비스 제공자 엔드포인트에 액세스할 때 SSL 통신을 사용하여 강제 실행합니다.
inboundPropagation
  • none
  • required
none웹 서비스 메커니즘의 인바운드 전파에 대한 Security Assertion Markup Language Web SSO 2.0 메커니즘의 조작을 제어합니다.
none
%inboundPropagation.none
required
%inboundPropagation.required
wantAssertionsSignedbooleantrue이 서비스 제공자가 수신한 <saml:Assertion> 요소에 어설션에 서명하는 서명 요소가 포함되어 있어야 함을 나타냅니다.
signatureMethodAlgorithm
  • SHA256
  • SHA1
  • SHA128
SHA256이 서비스 제공자의 필수 알고리즘을 표시합니다.
SHA256
SHA-256 서명 알고리즘
SHA1
SHA-1 서명 알고리즘
SHA128
%signatureMethodAlgorithm.SHA128
createSessionbooleantrue현재 HttpSession이 존재하지 않는 경우 HttpSession을 작성할지 여부를 지정합니다.
authnRequestsSignedbooleantrue이 서비스 제공자가 보낸 <samlp:AuthnRequest> 메시지에 서명할지 여부를 표시합니다.
includeX509InSPMetadatabooleantrueLiberty SP 메타데이터에 x509 인증서를 포함할지 여부를 지정합니다.
forceAuthnbooleanfalseIdP가 사용자에게 재인증을 강제해야 하는지를 표시합니다.
isPassivebooleanfalseIdP에서 일반 사용자 인터페이스를 제어해서는 안 됨을 표시합니다.
allowCreateboolean요청 중인 사용자에게 계정이 없는 경우 IdP에서 새 계정을 작성하도록 허용합니다.
authnContextComparisonType
  • better
  • exact
  • maximum
  • minimum
exactauthnContextClassRef가 지정되면 authnContextComparisonType을 설정할 수 있습니다.
better
더 나음. 인증 명령문의 인증 컨텍스트는 지정된 모든 인증 컨텍스트보다 강력해야 합니다.
exact
일치. 인증 명령문의 인증 컨텍스트는 지정된 인증 컨텍스트 중 하나 이상과 정확하게 일치해야 합니다.
maximum
최대. 인증 명령문의 인증 컨텍스트는 가능한 지정된 인증 컨텍스트 중 하나 이상의 강도를 초과하지 않으면서 가능한 강력해야 합니다.
minimum
최소. 인증 명령문의 인증 컨텍스트는 적어도 지정된 인증 컨텍스트 중 하나만큼 강력해야 합니다.
nameIDFormat
  • windowsDomainQualifiedName
  • encrypted
  • unspecified
  • transient
  • x509SubjectName
  • kerberos
  • persistent
  • customize
  • email
  • entity
emailSAML 코어 스펙에 정의된 이름 ID 형식에 해당하는 URI 참조를 지정합니다.
windowsDomainQualifiedName
urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName
encrypted
urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
transient
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
x509SubjectName
urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName
kerberos
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
customize
사용자 정의 이름 ID 형식입니다.
email
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
entity
urn:oasis:names:tc:SAML:2.0:nameid-format:entity
customizeNameIDFormatstringSAML 코어 스펙에 정의되지 않은 이름 ID 형식에 해당하는 사용자 정의 URI 참조를 지정합니다.
idpMetadatastring${server.config.dir}/resources/security/idpMetadata.xmlIdP 메타데이터 파일을 지정합니다.
keyStoreRef최상위 레벨 keyStore 요소에 대한 참조입니다(문자열).AuthnRequest 서명 및 EncryptedAssertion 요소 복호화에 필요한 개인 키가 포함된 키 저장소입니다. 기본값은 서버의 기본값입니다.
keyAliasstring서명 및 복호화에 필요한 개인 키를 찾는 키 별명 이름입니다. 키 저장소에 정확히 하나의 키 항목이 있거나 'samlsp' 별명을 사용하는 하나의 키가 있는 경우에는 선택사항입니다.
loginPageURLstring인증되지 않은 요청의 경로가 재지정되는 SAML IdP 로그인 애플리케이션 URL을 지정합니다. 이 속성은 IdP 시작 SSO를 트리거하며 IdP 시작 SSO에만 필요합니다.
errorPageURLstringSAML 유효성 검증에 실패하는 경우 표시될 오류 페이지를 지정합니다. 이 속성이 지정되지 않으며 수신된 SAML이 올바르지 않은 경우 사용자는 SSO를 다시 시작하기 위해 SAML IdP로 다시 경로 재지정됩니다.
clockSkew밀리초 정밀도를 사용하는 기간5m이는 SAML 토큰의 유효성을 검증할 때 허용된 클럭 오차를 분 단위로 지정하는 데 사용됩니다. 시간 단위가 뒤따르는 양수를 지정하십시오. 이는 시간(h), 분(m), 초(s) 또는 밀리초(ms)일 수 있습니다. 예를 들어, 500밀리초를 500ms로 지정하십시오. 하나의 항목에 여러 값을 포함할 수 있습니다. 예를 들어, 1s500ms는 1.5초와 동등합니다.
tokenReplayTimeout밀리초 정밀도를 사용하는 기간30m이 특성은 Liberty SP가 토큰 재생을 방지해야 하는 시간을 지정하는 데 사용됩니다. 시간 단위가 뒤따르는 양수를 지정하십시오. 이는 시간(h), 분(m), 초(s) 또는 밀리초(ms)일 수 있습니다. 예를 들어, 500밀리초를 500ms로 지정하십시오. 하나의 항목에 여러 값을 포함할 수 있습니다. 예를 들어, 1s500ms는 1.5초와 동등합니다.
sessionNotOnOrAfter밀리초 정밀도를 사용하는 기간120mSAML 세션 지속 기간의 상한을 표시합니다(이 상한이 경과되면 Liberty SP가 사용자에게 IdP에 대한 재인증을 요구함). IdP에서 리턴된 SAML 토큰에 sessionNotOnOrAfter 어설션이 포함되지 않은 경우에는 이 속성에서 지정하는 값이 사용됩니다. disableLtpaCookie=true인 경우에만 이 특성이 사용됩니다. 기본값은 true입니다. 시간 단위가 뒤따르는 양수를 지정하십시오. 이는 시간(h), 분(m), 초(s) 또는 밀리초(ms)일 수 있습니다. 예를 들어, 500밀리초를 500ms로 지정하십시오. 하나의 항목에 여러 값을 포함할 수 있습니다. 예를 들어, 1s500ms는 1.5초와 동등합니다.
userIdentifierstring제목에서 사용자 프린시펄 이름으로 사용되는 SAML 속성을 지정합니다. 지정된 값이 없으면 NameID SAML 어설션 요소 값이 사용됩니다.
groupIdentifierstring인증된 프린시펄이 멤버인 그룹의 이름으로 사용되는 SAML 속성을 지정합니다. 기본값은 없습니다.
userUniqueIdentifierstring제목에서 WSCredential에 적용될 때 고유 사용자 이름으로 사용되는 SAML 속성을 지정합니다. 기본값은 userIdentifier 속성과 동일합니다.
realmIdentifierstring영역 이름으로 사용되는 SAML 속성을 지정합니다. 지정된 값이 없으면 Issuer SAML 어설션 요소 값이 사용됩니다.
includeTokenInSubjectbooleantrue제목에 SAML 어셜션을 포함할지 여부를 지정합니다.
mapToUserRegistry
  • No
  • Group
  • User
No레지스트리 사용자에 ID를 맵핑하는 방법을 지정합니다. 옵션은 No, User 및 Group입니다. 기본값은 No이고 사용자 레지스트리가 사용자 주제를 작성하는 데 사용되지 않습니다.
No
SAML ID를 레지스트리의 사용자 또는 그룹에 맵핑하지 않음
Group
SAML ID를 사용자 레지스트리에서 정의된 그룹에 맵핑
User
SAML ID를 레지스트리에서 정의된 사용자에 맵핑
authFilterRef최상위 레벨 authFilter 요소에 대한 참조입니다(문자열).인증 필터 참조를 지정합니다.
disableLtpaCookiebooleantrueSAML 어설션을 처리하는 동안 LTPA 토큰을 작성하지 않습니다. 대신 특정 서비스 제공자의 쿠키를 작성합니다.
realmNamestringmapToUserRegistry가 아니오 또는 그룹으로 설정되면 영역 이름을 지정합니다.
authnRequestTime밀리초 정밀도를 사용하는 기간10mSAML 토큰을 요청하기 위해 서비스 제공자가 IdP에 생성하고 전송한 authnReuqest의 지속 기간을 지정합니다. 시간 단위가 뒤따르는 양수를 지정하십시오. 이는 시간(h), 분(m), 초(s) 또는 밀리초(ms)일 수 있습니다. 예를 들어, 500밀리초를 500ms로 지정하십시오. 하나의 항목에 여러 값을 포함할 수 있습니다. 예를 들어, 1s500ms는 1.5초와 동등합니다.
enabledbooleantruetrue인 경우 서비스 제공자를 사용할 수 있고 false인 경우 서비스 제공자를 사용할 수 없습니다.
allowCustomCacheKeybooleantrue사용자 정의 캐시 키를 생성하면 인증 캐시에 액세스하여 주제를 가져올 수 있습니다.
spHostAndPortstringSAML 서비스 제공자 호스트 이름 및 포트 번호를 지정합니다.
reAuthnOnAssertionExpirebooleanfalseSAML 어설션이 만료되려고 하면 수신 HTTP 요청을 다시 인증합니다.
reAuthnCushion밀리초 정밀도를 사용하는 기간0mSAML 어설션이 만료되려고 할 때 다시 인증할 기간이며 SAML 어설션의 SessionNotOnOrAfter 속성 또는 NotOnOrAfter 명령문으로 표시됩니다. 시간 단위가 뒤따르는 양수를 지정하십시오. 이는 시간(h), 분(m), 초(s) 또는 밀리초(ms)일 수 있습니다. 예를 들어, 500밀리초를 500ms로 지정하십시오. 하나의 항목에 여러 값을 포함할 수 있습니다. 예를 들어, 1s500ms는 1.5초와 동등합니다.
targetPageUrlstringrelayState가 누락된 경우 IdP-initiated SSO에 대한 기본 랜딩 페이지입니다. useRelayStateForTarget이 false로 설정된 경우 이 특성이 올바른 URL로 설정되어야 합니다.
useRelayStateForTargetbooleantrueIdP 시작 SSO를 수행할 때, 이 특성은 SAMLResponse의 relayState가 대상 URL로 사용되어야 하는지 여부를 지정합니다. false로 설정된 경우, targetPageUrl의 값이 항상 대상 URL로 사용됩니다.

authnContextClassRef

인증 컨텍스트 선언을 설명하는 인증 컨텍스트 클래스를 식별하는 URI 참조입니다. 기본값은 널입니다.

pkixTrustEngine

SAML 응답에 있는 XML 서명의 신뢰성 및 유효성을 평가하는 데 사용되는 PKIX 신뢰 정보를 지정합니다. samlWebSso20에서 여러 pkixTrustEngine을 지정하지 마십시오.

NameTypeDefaultDescription
trustAnchorRef최상위 레벨 keyStore 요소에 대한 참조입니다(문자열).SAMLResponse 및 어설션의 서명을 확인하는 데 필요한 개인 키가 포함된 키 저장소입니다.

pkixTrustEngine > trustedIssuers

신뢰된 IdP 발행자의 ID를 지정합니다. 값이 "ALL_ISSUERS"인 경우 모든 IdP ID가 신뢰됩니다.

pkixTrustEngine > x509Certificate

고유 구성 ID입니다.

NameTypeDefaultDescription
id문자열고유 구성 ID입니다.
pathstringX509 인증서의 경로를 지정합니다.

pkixTrustEngine > crl

고유 구성 ID입니다.

NameTypeDefaultDescription
id문자열고유 구성 ID입니다.
pathstringCRL의 경로를 지정합니다.

authFilter

인증 필터 참조를 지정합니다.

authFilter > webApp

고유 구성 ID입니다.

NameTypeDefaultDescription
id문자열고유 구성 ID입니다.
namestring이름을 지정합니다.
matchType
  • contains
  • notContain
  • equals
contains일치 유형을 지정합니다.
contains
Contains
notContain
Not contain
equals
Equals

authFilter > requestUrl

고유 구성 ID입니다.

NameTypeDefaultDescription
id문자열고유 구성 ID입니다.
urlPatternstringURL 패턴을 지정합니다.
matchType
  • contains
  • notContain
  • equals
contains일치 유형을 지정합니다.
contains
Contains
notContain
Not contain
equals
Equals

authFilter > remoteAddress

고유 구성 ID입니다.

NameTypeDefaultDescription
id문자열고유 구성 ID입니다.
matchType
  • contains
  • notContain
  • equals
  • lessThan
  • greaterThan
contains일치 유형을 지정합니다.
contains
Contains
notContain
Not contain
equals
Equals
lessThan
Less than
greaterThan
Greater than
ipstringIP 주소를 지정합니다.

authFilter > host

고유 구성 ID입니다.

NameTypeDefaultDescription
id문자열고유 구성 ID입니다.
namestring이름을 지정합니다.
matchType
  • contains
  • notContain
  • equals
contains일치 유형을 지정합니다.
contains
Contains
notContain
Not contain
equals
Equals

authFilter > userAgent

고유 구성 ID입니다.

NameTypeDefaultDescription
id문자열고유 구성 ID입니다.
agentstring사용자 에이전트를 지정합니다.
matchType
  • contains
  • notContain
  • equals
contains일치 유형을 지정합니다.
contains
Contains
notContain
Not contain
equals
Equals

headerName

SAML 토큰을 저장하는 HTTP 요청의 헤더 이름입니다.

audiences

SAML 토큰의 대상을 확인하기 위해 신뢰되는 대상의 목록입니다. 값이 "ANY"인 경우 모든 대상이 신뢰됩니다.