A Biztonság érvényesítési jelölőnyelv (SAML) webes SSO 2.0 mechanizmus működését szabályozza.
Name | Type | Default | Description |
---|---|---|---|
id | karaktersorozat | Egyedi konfigurációazonosító. | |
httpsRequired | logikai | true | SSL kommunikáció használatának kikényszerítése SAML WebSSO szolgáltató végpontok (például ac-k vagy metaadatok) elérésekor. |
inboundPropagation |
| none | A Biztonság érvényesítési jelölőnyelv (SAML) Web SSO 2.0 működését szabályozza a webszolgáltatási mechanizmus bejövő terjesztéshez. none %inboundPropagation.none required %inboundPropagation.required |
wantAssertionsSigned | logikai | true | Azt a követelményt jelzi, hogy a szolgáltató által fogadott <saml:Assertion> elemeknek az igazolást aláíró Aláírás elemet kell tartalmazniuk. |
signatureMethodAlgorithm |
| SHA256 | A szolgáltató által igényelt algoritmust jelzi. SHA256 SHA-256 aláírási algoritmus SHA1 SHA-1 aláírási algoritmus SHA128 %signatureMethodAlgorithm.SHA128 |
createSession | logikai | true | Adja meg, hogy kell-e Http munkamenetet létrehozni, ha az aktuális HttpSession nem létezik. |
authnRequestsSigned | logikai | true | Jelzi, hogy a szolgáltató által küldött <samlp:AuthnRequest> üzenetek alá lesznek-e írva. |
includeX509InSPMetadata | logikai | true | Megadja, hogy bele kell-e foglalni az x509 tanúsítványt a Liberty SP metaadataiba. |
forceAuthn | logikai | false | Azt jelzi, hogy az IdP részéről ismételt hitelesítésre kell-e kényszeríteni a felhasználót. |
isPassive | logikai | false | Jelzi, hogy az IdP nem veheti át a végfelhasználói felület vezérlését. |
allowCreate | logikai | Engedélyezi, hogy az IdP létrehozzon egy új felhasználói fiókot, ha a kérő felhasználónak nincs fiókja. | |
authnContextComparisonType |
| exact | Az authnContextClassRef paraméter megadása esetén beállítható az authnContextComparisonType paraméter. better Jobb. A hitelesítési utasításban szereplő hitelesítési kontextusnak erősebbnek kell lennie a megadott hitelesítési kontextusoknál. exact Pontos. A hitelesítési utasításban szereplő hitelesítési kontextusnak pontosan olyan erősnek kell lennie, mint a megadott hitelesítési kontextusok egyike. maximum Maximális. A hitelesítési utasításban szereplő hitelesítési kontextusnak a lehető legerősebbnek kell lennie, de nem haladhatja meg a megadott hitelesítési kontextusok egyikének erősségét sem. minimum Minimális. A hitelesítési utasításban szereplő hitelesítési kontextusnak legalább olyan erősnek kell lennie, mint a megadott hitelesítési kontextusok egyike. |
nameIDFormat |
| A SAML központi specifikációban meghatározott névazonosítónak megfelelő URI hivatkozást adja meg. windowsDomainQualifiedName urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName encrypted urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted unspecified urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified transient urn:oasis:names:tc:SAML:2.0:nameid-format:transient x509SubjectName urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName kerberos urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos persistent urn:oasis:names:tc:SAML:2.0:nameid-format:persistent customize Személyre szabott névazonosító formátum. urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress entity urn:oasis:names:tc:SAML:2.0:nameid-format:entity | |
customizeNameIDFormat | string | A SAML központi specifikációban meg nem határozott névazonosítónak megfelelő egyéni URI hivatkozást adja meg. | |
idpMetadata | string | ${server.config.dir}/resources/security/idpMetadata.xml | Megadja az IdP metaadatfájlt. |
keyStoreRef | Hivatkozás a felső szintű keyStore elemre (karaktersorozat). | Az AuthnRequest aláírásához és az EncryptedAssertion elem visszafejtéséhez használt privát kulcsot tartalmazó kulcstároló. Az alapértelmezés a kiszolgáló alapértéke. | |
keyAlias | string | A privát kulcs kereséshez aláíráskor és visszafejtéskor használt kulcsálnév. Ez elhagyható, ha a kulcstároló pontosan egy kulcsbejegyzést tartalmaz, vagy egyetlen kulcsot tartalmaz, amelynek álneve: 'samlsp'. | |
loginPageURL | string | Megadja a SAML IdP bejelentkezési alkalmazás URL címét, amelyre a hitelesítetlen kérések át vannak irányítva. Ez az attribútum aktiválja az IdP által kezdeményezett egypontos bejelentkezést (SSO), és csak IdP által kezdeményezett SSO esetén szükséges. | |
errorPageURL | string | Megad egy hibaoldalt, amely a SAML érvényesítés meghiúsulásakor jelenik meg. Ha az attribútum nincs megadva, és a fogadott SAML érvénytelen, akkor a felhasználó vissza lesz irányítva a SAML IdP felületre az SSO újrakezdéséhez. | |
clockSkew | Időtartam ezredmásodperces pontossággal | 5m | Percekben megadja az engedélyezett óraeltérést a SAML token érvényesítésekor. Adjon meg egy egész számot, amelyet egy időegység követ, amely lehet óra (ó), perc (p), másodperc (s), vagy ezredmásodperc (ms). Az 500 ezredmásodpercet adja meg például 500ms formában. Egyetlen bejegyzésbe több értéket is belefoglalhat. Például 1s500ms egyenértékű 1,5 másodperccel. |
tokenReplayTimeout | Időtartam ezredmásodperces pontossággal | 30m | Ez a tulajdonság adja meg, hogy a Liberty SP mennyi ideig akadályozza meg a token újraküldését. Adjon meg egy egész számot, amelyet egy időegység követ, amely lehet óra (ó), perc (p), másodperc (s), vagy ezredmásodperc (ms). Az 500 ezredmásodpercet adja meg például 500ms formában. Egyetlen bejegyzésbe több értéket is belefoglalhat. Például 1s500ms egyenértékű 1,5 másodperccel. |
sessionNotOnOrAfter | Időtartam ezredmásodperces pontossággal | 120m | A SAML munkamenet időtartamának felső határát jelzi, amelynek eltelte után a Liberty SP kötelezően felkéri a felhasználót az IdP rendszerben történő ismételt hitelesítésre. Ha az IdP által visszaadott SAML token nem tartalmaz sessionNotOnOrAfter igazolás, akkor az ezen attribútumban megadott érték kerül felhasználásra. Ez a tulajdonság, csak akkor kerül felhasználásra, ha a disableLtpaCookie=true. Az alapértelmezett érték igaz. Adjon meg egy egész számot, amelyet egy időegység követ, amely lehet óra (ó), perc (p), másodperc (s), vagy ezredmásodperc (ms). Az 500 ezredmásodpercet adja meg például 500ms formában. Egyetlen bejegyzésbe több értéket is belefoglalhat. Például 1s500ms egyenértékű 1,5 másodperccel. |
userIdentifier | string | Meghatározza a tárgyban felhasználói azonosítónévként felhasználásra kerülő SAML attribútumot. Ha nincs megadva érték, akkor a NameID SAML érvényesítési elem értéke kerül felhasználásra. | |
groupIdentifier | string | Meghatározza az azon csoport neveként felhasználásra kerülő SAML attribútumot, amelynek a hitelesített azonosító tagja. Nincs alapértelmezett érték. | |
userUniqueIdentifier | string | Meghatározza az egyedi felhasználónévként felhasználásra kerülő SAML attribútumot, amely a tárgyban szereplő WSCredential értékre vonatkozik. Az alapértelmezés megegyezik a userIdentifier attribútum értékével. | |
realmIdentifier | string | A tartománynévként használt SAML attribútumot határozza meg. Ha nincs megadva érték, akkor az Issuer SAML érvényesítési elem értéke kerül felhasználásra. | |
includeTokenInSubject | logikai | true | Meghatározza, hogy SAML igazolást kell-e foglalni a tárgyba. |
mapToUserRegistry |
| No | Meghatározza, hogyan kell az azonosságot nyilvántartásban szereplő felhasználóra leképezni. A lehetőségek: No (nem), User (felhasználó) és Group (csoport). Az alapérték: No (nem), a felhasználói nyilvántartás nem kerül felhasználásra a felhasználó tárgy létrehozásához. No Ne legyen a SAML azonosság leképezve nyilvántartásban szereplő felhasználóra vagy csoportra Group SAML azonosság leképezése felhasználói nyilvántartásban meghatározott csoportra User SAML azonosság leképezése nyilvántartásban meghatározott felhasználóra |
authFilterRef | Hivatkozás a felső szintű authFilter elemre (karaktersorozat). | A hitelesítési szűrő referenciát adja meg. | |
disableLtpaCookie | logikai | true | Ne hozzon létre LTPA tokent a SAML igazolás feldolgozásakor. Ehelyett egy cookie-t hozzon létre a megadott szolgáltatóhoz. |
realmName | string | Tartománynevet ad meg, ha a mapToUserRegistry értéke No vagy Group. | |
authnRequestTime | Időtartam ezredmásodperces pontossággal | 10m | A szolgáltató által előállított és egy IdP-nek SAML token kérése céljából elküldött authnReuqest élettartamát adja meg. Adjon meg egy egész számot, amelyet egy időegység követ, amely lehet óra (ó), perc (p), másodperc (s), vagy ezredmásodperc (ms). Az 500 ezredmásodpercet adja meg például 500ms formában. Egyetlen bejegyzésbe több értéket is belefoglalhat. Például 1s500ms egyenértékű 1,5 másodperccel. |
enabled | logikai | true | A szolgáltató engedélyezett, ha értéke true (igaz), és tiltott, ha értéke false (hamis). |
allowCustomCacheKey | logikai | true | Engedélyezi az egyéni gyorsítótárkulcs előállítását a hitelesítési gyorsítótár eléréséhez és a tárgy lekéréséhez. |
spHostAndPort | string | A SAML szolgáltató hosztnevét és portszámát határozza meg. | |
reAuthnOnAssertionExpire | logikai | false | Hitelesítse a bejövő HTTP kérést újra, ha a SAML igazolás hamarosan lejár. |
reAuthnCushion | Időtartam ezredmásodperces pontossággal | 0m | Az az időszak, amely után a hitelesítést meg kell ismételni, ha a SAML igazolás hamarosan lejár, amit vagy a NotOnOrAfter utasítás vagy a SAML igazolás SessionNotOnOrAfter attribútuma jelez. Adjon meg egy egész számot, amelyet egy időegység követ, amely lehet óra (ó), perc (p), másodperc (s), vagy ezredmásodperc (ms). Az 500 ezredmásodpercet adja meg például 500ms formában. Egyetlen bejegyzésbe több értéket is belefoglalhat. Például 1s500ms egyenértékű 1,5 másodperccel. |
targetPageUrl | string | Az IdP által kezdeményezett egypontos bejelentkezés (SSO) céloldala, ha a relayState hiányzik. Ha a useRelayStateForTarget false értékre van állítva, akkor ezt a tulajdonságot egy érvényes URL-címre kell beállítani. | |
useRelayStateForTarget | logikai | true | Az IdP által kezdeményezett egypontos bejelentkezés során ez a tulajdonság határozza meg, hogy cél URL-ként a SAMLResponse relayState paraméterét kell-e alkalmazni. Ha az értéke false, akkor mindig a targetPageUrl értéke kerül alkalmazásra cél URL-címként. |
Hitelesítési kontextusosztályt azonosító URI hivatkozás, amely a hitelesítési környezet deklarációját írja le. Az alapértelmezett érték a null.
A PKIX megbízhatósági információkat adja meg, amelyek segítségével a SAML válaszban található XML aláírások érvényessége kiértékelésre kerül. Ne adjon meg több pkixTrustEngine értéket egy samlWebSso20 elemben.
Name | Type | Default | Description |
---|---|---|---|
trustAnchorRef | Hivatkozás a felső szintű keyStore elemre (karaktersorozat). | A SAMLResponse és Assertion elem aláírásának ellenőrzéséhez szükséges nyilvános kulcsot tartalmazó kulcstár. |
pkixTrustEngine > trustedIssuers
A megbízható IdP kibocsátók azonosságait határozza meg. Ha az érték: "ALL_ISSUERS", akkor az összes IdP azonosság megbízható.
pkixTrustEngine > x509Certificate
Egyedi konfigurációazonosító.
Name | Type | Default | Description |
---|---|---|---|
id | karaktersorozat | Egyedi konfigurációazonosító. | |
path | string | Megadja az x509 tanúsítvány útvonalát. |
Egyedi konfigurációazonosító.
Name | Type | Default | Description |
---|---|---|---|
id | karaktersorozat | Egyedi konfigurációazonosító. | |
path | string | Megadja a crl útvonalát. |
A hitelesítési szűrő referenciát adja meg.
Egyedi konfigurációazonosító.
Name | Type | Default | Description |
---|---|---|---|
id | karaktersorozat | Egyedi konfigurációazonosító. | |
name | string | Megadja a nevet. | |
matchType |
| contains | Az egyezés típusát adja meg. contains Tartalmazza notContain Nem tartalmazza equals Egyenlő |
Egyedi konfigurációazonosító.
Name | Type | Default | Description |
---|---|---|---|
id | karaktersorozat | Egyedi konfigurációazonosító. | |
urlPattern | string | Megadja az URL mintát. | |
matchType |
| contains | Az egyezés típusát adja meg. contains Tartalmazza notContain Nem tartalmazza equals Egyenlő |
Egyedi konfigurációazonosító.
Name | Type | Default | Description |
---|---|---|---|
id | karaktersorozat | Egyedi konfigurációazonosító. | |
matchType |
| contains | Az egyezés típusát adja meg. contains Tartalmazza notContain Nem tartalmazza equals Egyenlő lessThan Kisebb, mint greaterThan Nagyobb, mint |
ip | string | Az IP-címet adja meg. |
Egyedi konfigurációazonosító.
Name | Type | Default | Description |
---|---|---|---|
id | karaktersorozat | Egyedi konfigurációazonosító. | |
name | string | Megadja a nevet. | |
matchType |
| contains | Az egyezés típusát adja meg. contains Tartalmazza notContain Nem tartalmazza equals Egyenlő |
Egyedi konfigurációazonosító.
Name | Type | Default | Description |
---|---|---|---|
id | karaktersorozat | Egyedi konfigurációazonosító. | |
agent | string | A felhasználói ügynököt adja meg | |
matchType |
| contains | Az egyezés típusát adja meg. contains Tartalmazza notContain Nem tartalmazza equals Egyenlő |
A SAML tokent tároló HTTP kérés fejlécneve.
A közönségek listája, amelyek megbízhatók a SAML token közösségének ellenőrzésekor. Ha az érték "ANY", akkor minden közönség megbízható.