控制安全性断言标记语言 Web SSO 2.0 机制的操作。
Name | Type | Default | Description |
---|---|---|---|
id | 字符串 | 唯一配置标识。 | |
httpsRequired | 布尔型 | true | 访问 SAML WebSSO 服务提供程序端点(例如,acs 或元数据)时强制使用 SSL 通信。 |
inboundPropagation |
| none | 控制 Web Service 入站传播的安全性断言标记语言 Web SSO 2.0 机制的操作。 none %inboundPropagation.none required %inboundPropagation.required |
wantAssertionsSigned | 布尔型 | true | 指示此服务提供程序接收的 <saml:Assertion> 元素需包含对断言进行签名的“签名”元素的需求。 |
signatureMethodAlgorithm |
| SHA256 | 指示此服务提供程序所需的算法。 SHA256 SHA-256 签名算法 SHA1 SHA-1 签名算法 SHA128 %signatureMethodAlgorithm.SHA128 |
createSession | 布尔型 | true | 指定在当前 HttpSession 不存在的情况下是否创建 HttpSession。 |
authnRequestsSigned | 布尔型 | true | 指示是否将签署此服务提供程序发送的 <samlp:AuthnRequest> 消息。 |
includeX509InSPMetadata | 布尔型 | true | 指定是否将 x509 证书包括在 Liberty SP 元数据中。 |
forceAuthn | 布尔型 | false | 指示 IdP 是否应强制用户重新认证。 |
isPassive | 布尔型 | false | 指示 IdP 不得控制最终用户界面。 |
allowCreate | 布尔型 | 允许 IdP 在请求用户不具有帐户的情况下创建新帐户。 | |
authnContextComparisonType |
| exact | 指定了 authnContextClassRef 时,可设置 authnContextComparisonType。 better 强度更高。认证语句中认证上下文强度必须至少比任一指定认证上下文强度高。 exact 精确。认证语句中认证上下文强度必须至少与其中一个指定认证上下文强度正好一样。 maximum 最大值。认证语句中认证上下文的强度必须够强,且不超出至少一个指定认证上下文的强度。 minimum 最小值。认证语句中认证上下文强度必须至少与其中一个指定认证上下文强度一样。 |
nameIDFormat |
| 指定与 SAML 核心规范中定义的名称标识格式对应的 URI 引用。 windowsDomainQualifiedName urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName encrypted urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted unspecified urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified transient urn:oasis:names:tc:SAML:2.0:nameid-format:transient x509SubjectName urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName kerberos urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos persistent urn:oasis:names:tc:SAML:2.0:nameid-format:persistent customize 已定制名称标识格式。 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress entity urn:oasis:names:tc:SAML:2.0:nameid-format:entity | |
customizeNameIDFormat | string | 指定与 SAML 核心规范中未定义的名称标识格式对应的定制 URI 引用。 | |
idpMetadata | string | ${server.config.dir}/resources/security/idpMetadata.xml | 指定 IdP 元数据文件。 |
keyStoreRef | 对顶级 keyStore 元素的引用(字符串)。 | 密钥库,包含 AuthnRequest 的签名所需的专用密钥和 EncryptedAssertion 元素的描述。缺省值是服务器的缺省值。 | |
keyAlias | string | 用于查找签名和加密所需的专用密钥的密钥别名。如果密钥库正好具有一个密钥条目或如果具有一个别名为“samlsp”的密钥,那么这为可选。 | |
loginPageURL | string | 指定 SAML IdP 登录应用程序 URL,未经认证的请求将重定向到此 URL。此属性可触发 IdP 发起的 SSO,仅 IdP 发起的 SSO 需要此属性。 | |
errorPageURL | string | 指定在 SAML 验证失败的情况下将显示的错误页面。如果未指定此属性,且收到的 SAML 无效,那么用户将重定向回 SAML IdP 以重新启动 SSO。 | |
clockSkew | 具有毫秒精度的时间段 | 5m | 此属性用来指定验证 SAML 令牌时允许的时钟偏差(分钟)。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。 |
tokenReplayTimeout | 具有毫秒精度的时间段 | 30m | 此属性用于指定 Liberty SP 应阻止令牌重放的时间长度。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。 |
sessionNotOnOrAfter | 具有毫秒精度的时间段 | 120m | 指示 SAML 会话持续时间的上限,超出此持续时间,Liberty SP 应请求用户向 IdP 重新认证。如果从 IdP 返回的 SAML 令牌不包含 sessionNotOnOrAfter 断言,那么会使用此属性指定的值。仅当 disableLtpaCookie=true 时,才使用此属性。缺省值为 true。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。 |
userIdentifier | string | 指定用作主体集中用户主体名称的 SAML 属性。如果未指定值,那么会使用名称标识 SAML 断言元素值。 | |
groupIdentifier | string | 指定用作已认证主体所属的组的名称的 SAML 属性。无缺省值。 | |
userUniqueIdentifier | string | 指定应用到主体集中 WSCredential 时用作唯一用户名的 SAML 属性。缺省值与 userIdentifier 属性值相同。 | |
realmIdentifier | string | 指定用作域名的 SAML 属性。如果未指定值,那么会使用签发者 SAML 断言元素值。 | |
includeTokenInSubject | 布尔型 | true | 指定是否在主体集中包括 SAML 断言。 |
mapToUserRegistry |
| No | 指定如何将身份映射至注册表用户。选项为“否”、“用户”和“组”。缺省值为“否”,不会使用用户注册表来创建用户主体集。 No 请勿将 SAML 身份映射至注册表中定义的用户或组 Group 将 SAML 身份映射至用户注册表中定义的组 User 将 SAML 身份映射至注册表中定义的用户 |
authFilterRef | 对顶级 authFilter 元素的引用(字符串)。 | 指定认证过滤器参考。 | |
disableLtpaCookie | 布尔型 | true | 请勿在处理 SAML 断言期间创建 LTPA 令牌。改为创建特定服务提供程序的 cookie。 |
realmName | string | mapToUserRegistry 设置为 No 或 Group 时,指定域名。 | |
authnRequestTime | 具有毫秒精度的时间段 | 10m | 指定从服务提供程序生成并发送到 IdP 以请求 SAML 令牌的 authnReuqest 的生存时间段。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。 |
enabled | 布尔型 | true | 如果为 true,那么服务提供程序处于启用状态;如果为 false,那么服务提供程序处于禁用状态。 |
allowCustomCacheKey | 布尔型 | true | 允许生成定制高速缓存密钥以访问认证高速缓存和获取主体集。 |
spHostAndPort | string | 指定 SAML 服务提供程序主机名和端口号。 | |
reAuthnOnAssertionExpire | 布尔型 | false | SAML 声明即将到期时,重新认证新的 HTTP 请求。 |
reAuthnCushion | 具有毫秒精度的时间段 | 0m | SAML 声明即将到期时,重新认证的时间段,这是通过语句 NotOnOrAfter 或 SAML 声明的属性 SessionNotOnOrAfter 指示的。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。 |
targetPageUrl | string | 如果缺少 RelayState,那么缺省登录页面为 IdP 发起的 SSO。如果 useRelayStateForTarget 设置为 false,那么必须将此属性设置为有效 URL。 | |
useRelayStateForTarget | 布尔型 | true | 当执行由 IdP 启动的 SSO 时,此属性指定是否应将 SAMLResponse 中的 relayState 用作目标 URL。如果设置为 false,那么始终将 targetPageUrl 的值用作目标 URL。 |
标识描述了认证上下文声明的认证上下文类的 URI 引用。缺省值为 null。
指定用于评估 SAML 响应中 XML 签名的可信度和有效性的 PKIX 信任信息。请勿在 samlWebSso20 中指定多个 pkixTrustEngine。
Name | Type | Default | Description |
---|---|---|---|
trustAnchorRef | 对顶级 keyStore 元素的引用(字符串)。 | 密钥库,包含在验证 SAMLResponse 和断言的签名时必需的公用密钥。 |
pkixTrustEngine > trustedIssuers
指定受信任 IdP 签发者的身份。如果值为“ALL_ISSUERS”,那么将信任所有 IdP 身份。
pkixTrustEngine > x509Certificate
唯一配置标识。
Name | Type | Default | Description |
---|---|---|---|
id | 字符串 | 唯一配置标识。 | |
path | string | 指定 x509 证书的路径。 |
唯一配置标识。
Name | Type | Default | Description |
---|---|---|---|
id | 字符串 | 唯一配置标识。 | |
path | string | 指定 CRL 的路径。 |
指定认证过滤器参考。
唯一配置标识。
Name | Type | Default | Description |
---|---|---|---|
id | 字符串 | 唯一配置标识。 | |
name | string | 指定名称。 | |
matchType |
| contains | 指定匹配类型。 contains Contains notContain Not contain equals Equals |
唯一配置标识。
Name | Type | Default | Description |
---|---|---|---|
id | 字符串 | 唯一配置标识。 | |
urlPattern | string | 指定 URL 模式。 | |
matchType |
| contains | 指定匹配类型。 contains Contains notContain Not contain equals Equals |
唯一配置标识。
Name | Type | Default | Description |
---|---|---|---|
id | 字符串 | 唯一配置标识。 | |
matchType |
| contains | 指定匹配类型。 contains Contains notContain Not contain equals Equals lessThan Less than greaterThan Greater than |
ip | string | 指定 IP 地址。 |
唯一配置标识。
Name | Type | Default | Description |
---|---|---|---|
id | 字符串 | 唯一配置标识。 | |
name | string | 指定名称。 | |
matchType |
| contains | 指定匹配类型。 contains Contains notContain Not contain equals Equals |
唯一配置标识。
Name | Type | Default | Description |
---|---|---|---|
id | 字符串 | 唯一配置标识。 | |
agent | string | 指定用户代理 | |
matchType |
| contains | 指定匹配类型。 contains Contains notContain Not contain equals Equals |
用于存储 SAML 令牌的 HTTP 请求的头名称。
验证 SAML 令牌的受众时受信任的受众列表。如果值为“ANY”,那么将信任所有受众。