samlWebSso20 - SAML Web SSO 2.0-Authentifizierung (samlWebSso20)

Steuert die Ausführung des Security Assertion Markup Language Web SSO 2.0-Mechanismus.

NameTypeDefaultDescription
idstringEine eindeutige Konfigurations-ID.
httpsRequiredbooleantrueErzwingt die Verwendung von SSL beim Zugriff auf einen SAML-WebSSO-Service-Provider-Endpunkt, wie z. B. acs oder metadata.
inboundPropagation
  • none
  • required
noneSteuert die Ausführung von Security Assertion Markup Language Web SSO 2.0 im Hinblick auf die eingehende Weitergabe der Web-Service-Mechanismen.
none
%inboundPropagation.none
required
%inboundPropagation.required
wantAssertionsSignedbooleantrueGibt an, dass die von diesem Service-Provider empfangenen <saml:Assertion>-Elemente ein Element Signature enthalten müssen, das die Zusicherung signiert.
signatureMethodAlgorithm
  • SHA256
  • SHA1
  • SHA128
SHA256Gibt den von diesem Service-Provider geforderten Algorithmus an.
SHA256
SHA-256-Signaturalgorithmus
SHA1
SHA-1-Signaturalgorithmus
SHA128
%signatureMethodAlgorithm.SHA128
createSessionbooleantrueGibt an, ob eine HttpSession erstellt werden soll, wenn die aktuelle HttpSession nicht vorhanden ist.
authnRequestsSignedbooleantrueGibt an, ob die von diesem Service-Provider gesendeten <samlp:AuthnRequest>-Nachrichten signiert werden.
includeX509InSPMetadatabooleantrueGibt an, ob das x509-Zertifikat in die Liberty SP-Metadaten eingeschlossen werden soll.
forceAuthnbooleanfalseGibt an, ob IdP den Benutzer zu einer erneuten Authentifizierung zwingen soll.
isPassivebooleanfalseGibt an, ob der Identitätsprovider (IdP) die Steuerung der Endbenutzerschnittstelle übernimmt.
allowCreatebooleanErmöglicht dem Identitätsprovider (IdP), ein neues Konto zu erstellen, falls der anfordernde Benutzer kein Konto besitzt.
authnContextComparisonType
  • better
  • exact
  • maximum
  • minimum
exactWenn eine authnContextClassRef angegeben ist, kann ein authnContextComparisonType definiert werden.
better
Besser. Der Authentifizierungskontext in der Authentifizierungsanweisung muss stärker als einer der angegebenen Authentifizierungskontexte sein.
exact
Exakt. Der Authentifizierungskontext in der Authentifizierungsanweisung muss mit mindestens einem der angegebenen Authentifizierungskontexte exakt übereinstimmen.
maximum
Maximum. Der Authentifizierungskontext in der Authentifizierungsanweisung muss so stark wie möglich sein, ohne die Stärke mindestens eines der angegebenen Authentifizierungskontexte zu überschreiten.
minimum
Minimum. Der Authentifizierungskontext in der Authentifizierungsanweisung muss mindestens so stark wie einer der angegebenen Authentifizierungskontexte sein.
nameIDFormat
  • windowsDomainQualifiedName
  • encrypted
  • unspecified
  • transient
  • x509SubjectName
  • kerberos
  • persistent
  • customize
  • email
  • entity
emailGibt die URI-Referenz an, die einem in der SAML-Core-Spezifikation definierten Namens-ID-Format entspricht.
windowsDomainQualifiedName
urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName
encrypted
urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
transient
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
x509SubjectName
urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName
kerberos
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
customize
Angepasstes Format für Namens-IDs.
email
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
entity
urn:oasis:names:tc:SAML:2.0:nameid-format:entity
customizeNameIDFormatstringGibt die angepasste URI-Referenz an, die einem Namens-ID-Format entspricht, das nicht in der SAML-Core-Spezifikation definiert ist.
idpMetadatastring${server.config.dir}/resources/security/idpMetadata.xmlGibt die Metadatendatei des Identitätsproviders (IdP) an.
keyStoreRefReferenz auf das keyStore-Element (string) der höchsten Ebene.Ein Keystore, der den privaten Schlüssel für die Signatur der AuthnRequest und die Entschlüsselung des EncryptedAssertion-Elements enthält. Standardmäßig wird der Standardkeystore des Servers verwendet.
keyAliasstringDer Schlüsselaliasname für den privaten Schlüssel für die Signatur und die Entschlüsselung. Diese Angabe ist optional, wenn der Keystore nur einen einzigen Schlüssel mit dem Alias samlsp enthält.
loginPageURLstringGibt die Anwendungs-URL für die SAML-IdP-Anmeldung an, an die eine nicht authentifizierte Anforderung umgeleitet wird. Dieses Attribut löst ein vom Identitätsprovider (IdP) eingeleitetes SSO (Single Sign-on) aus und ist nur für ein SSO erforderlich, das über den Identitätsprovider eingeleitet wird.
errorPageURLstringGibt eine Fehlerseite an, die angezeigt werden soll, falls die SAML-Validierung fehlschlägt. Wenn Sie dieses Attribut nicht angeben und die empfangene SAML ungültig ist, wird der Benutzer wieder an den SAML-Identitätsprovider umgeleitet, damit das SSO erneut gestartet wird.
clockSkewZeitraum mit Genauigkeit in Millisekunden5mMit diesem Attribut wird die zulässige Zeitabweichung in Minuten bei der Validierung des SAML-Tokens angegeben. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden.
tokenReplayTimeoutZeitraum mit Genauigkeit in Millisekunden30mMit dieser Eigenschaft können Sie festlegen, wie lange der Liberty-Service-Provider (SP) die Tokenwiedergabe verhindern soll. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden.
sessionNotOnOrAfterZeitraum mit Genauigkeit in Millisekunden120mGibt eine Obergrenze für die Dauer von SAML-Sitzungen an, bei deren Erreichen der Liberty-SP den Benutzer zur erneuten Authentifizierung beim IdP auffordern soll. Wenn das vom IdP zurückgegebene SAML-Token keine sessionNotOnOrAfter-Zusicherung enthält, wird der mit diesem Attribut angegebene Wert verwendet. Diese Eigenschaft wird nur verwendet, wenn disableLtpaCookie=true definiert ist. Der Standardwert ist true. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden.
userIdentifierstringGibt ein SAML-Attribut an, das als Benutzerprincipalname im Subjekt verwendet wird. Wenn Sie keinen Wert angeben, wird der Wert des SAML-Zusicherungselement NameID verwendet.
groupIdentifierstringGibt ein SAML-Attribut an, das als Name der Gruppe verwendet wird, zu der der authentifizierte Principal gehört. Es gibt keinen Standardwert.
userUniqueIdentifierstringGibt ein SAML-Attribut an, das als eindeutiger Benutzername für den WSCredential im Subjekt verwendet wird. Standardmäßig wird der Wert des Attributs userIdentifier verwendet.
realmIdentifierstringGibt ein SAML-Attribut an, das als Realmname verwendet wird. Wenn Sie keinen Wert angeben, wird der Wert des SAML-Zusicherungselement Issuer verwendet.
includeTokenInSubjectbooleantrueGibt an, ob eine SAML-Zusicherung in das Subjekt eingeschlossen werden soll.
mapToUserRegistry
  • No
  • Group
  • User
NoGibt an, wie eine ID einem Registry-Benutzer zugeordnet wird. Die Optionen sind No, User und Group. Der Standardwert ist No, d. h., die Benutzerregistry wird nicht zum Erstellen des Benutzersubjekts verwendet.
No
Einem Benutzer oder einer Gruppe in der Registry keine SAML-ID zuordnen
Group
Einer in der Registry definierten Gruppe eine SAML-ID zuordnen
User
Einem in der Registry definierten Benutzer eine SAML-ID zuordnen
authFilterRefReferenz auf das authFilter-Element (string) der höchsten Ebene.Gibt die Referenz des Authentifizierungsfilters an.
disableLtpaCookiebooleantrueWenn Sie diese Option auswählen, wird während der Verarbeitung der SAML-Zusicherung kein LTPA-Token erstellt. Stattdessen wird ein Cookie des jeweiligen Service-Providers erstellt.
realmNamestringGibt einen Realmnamen an, wenn mapToUserRegistry auf No oder Group gesetzt ist.
authnRequestTimeZeitraum mit Genauigkeit in Millisekunden10mGibt die authnRequest-Lebensdauer an, die vom Service-Provider generiert und an einen Identitätsprovider gesendet wird, um ein SAML-Token anzufordern. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden.
enabledbooleantrueDer Service-Provider ist aktiviert, wenn diese Option auf true gesetzt ist, und inaktiviert, wenn sie auf false gesetzt ist.
allowCustomCacheKeybooleantrueLässt die Generierung eines angepassten Cacheschlüssels für den Zugriff auf den Authentifizierungscache und den Abruf des Subjekts zu.
spHostAndPortstringGibt einen Hostnamen und einen Portnummer für den SAML-Service-Provider an.
reAuthnOnAssertionExpirebooleanfalseBei Auswahl dieser Option wird die eingehende HTTP-Anforderung erneut authentifiziert, wenn eine SAML-Zusicherung abläuft.
reAuthnCushionZeitraum mit Genauigkeit in Millisekunden0mDie Zeit für die erneute Authentifizierung bei Ablauf einer SAML-Zusicherung, die mit der Anweisung NotOnOrAfter oder dem Attribut SessionNotOnOrAfter der SAML-Zusicherung angegeben wird. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden.
targetPageUrlstringDie Standard-Landing-Page für das vom Identitätsprovider eingeleitete SSO, wenn der relayState-Wert fehlt. Diese Eigenschaft muss auf eine gültige URL gesetzt werden, wenn useRelayStateForTarget auf false gesetzt ist.
useRelayStateForTargetbooleantrueWenn Sie IdP-initiiertes SSO ausführen, gibt diese Eigenschaft an, ob relayState in einer SAMLResponse als Ziel-URL verwendet werden soll. Bei Angabe von false wird der Wert für targetPageUrl immer als Ziel-URL verwendet.

authnContextClassRef

Eine URI-Referenz, die eine Authentifizierungskontextklasse angibt, die die Authentifizierungskontextdeklaration beschreibt. Der Standardwert ist null.

pkixTrustEngine

Gibt die Informationen zur PKIX-Vertrauensbeziehung an, die verwendet werden, um die Vertrauenswürdigkeit und Validität von XML-Signaturen in einer SAML-Antwort zu evaluieren. Die Angabe mehrerer pkixTrustEngine-Elemente in samlWebSso20 ist nicht zulässig.

NameTypeDefaultDescription
trustAnchorRefReferenz auf das keyStore-Element (string) der höchsten Ebene.Ein Keystore, der den öffentlichen Schlüssel enthält, der für die Verifizierung der Signatur der SAML-Antwort und der SAML-Zusicherung erforderlich ist.

pkixTrustEngine > trustedIssuers

Gibt die IDs vertrauenswürdiger IdP-Aussteller an. Wenn Sie den Wert "ALL_ISSUERS" angeben, werden alle IdP-IDs anerkannt.

pkixTrustEngine > x509Certificate

Eine eindeutige Konfigurations-ID.

NameTypeDefaultDescription
idstringEine eindeutige Konfigurations-ID.
pathstringGibt den Pfad zum x509-Zertifikat an.

pkixTrustEngine > crl

Eine eindeutige Konfigurations-ID.

NameTypeDefaultDescription
idstringEine eindeutige Konfigurations-ID.
pathstringGibt den Pfad zur Zugriffssteuerungsliste an.

authFilter

Gibt die Referenz des Authentifizierungsfilters an.

authFilter > webApp

Eine eindeutige Konfigurations-ID.

NameTypeDefaultDescription
idstringEine eindeutige Konfigurations-ID.
namestringGibt den Namen an.
matchType
  • contains
  • notContain
  • equals
containsGibt den Abgleichstyp an.
contains
Enthält
notContain
Enthält nicht
equals
Gleich

authFilter > requestUrl

Eine eindeutige Konfigurations-ID.

NameTypeDefaultDescription
idstringEine eindeutige Konfigurations-ID.
urlPatternstringGibt das URL-Muster an.
matchType
  • contains
  • notContain
  • equals
containsGibt den Abgleichstyp an.
contains
Enthält
notContain
Enthält nicht
equals
Gleich

authFilter > remoteAddress

Eine eindeutige Konfigurations-ID.

NameTypeDefaultDescription
idstringEine eindeutige Konfigurations-ID.
matchType
  • contains
  • notContain
  • equals
  • lessThan
  • greaterThan
containsGibt den Abgleichstyp an.
contains
Enthält
notContain
Enthält nicht
equals
Gleich
lessThan
Kleiner als
greaterThan
Größer als
ipstringGibt die IP-Adresse an.

authFilter > host

Eine eindeutige Konfigurations-ID.

NameTypeDefaultDescription
idstringEine eindeutige Konfigurations-ID.
namestringGibt den Namen an.
matchType
  • contains
  • notContain
  • equals
containsGibt den Abgleichstyp an.
contains
Enthält
notContain
Enthält nicht
equals
Gleich

authFilter > userAgent

Eine eindeutige Konfigurations-ID.

NameTypeDefaultDescription
idstringEine eindeutige Konfigurations-ID.
agentstringGibt den Benutzeragenten an.
matchType
  • contains
  • notContain
  • equals
containsGibt den Abgleichstyp an.
contains
Enthält
notContain
Enthält nicht
equals
Gleich

headerName

Der Headername der HTTP-Anforderung, die das SAML-Token speichert.

audiences

Die Liste der Zielgruppen, die für die Überprüfung der Zielgruppe des SAML-Tokens anerkannt werden. Wenn Sie den Wert "ANY" angeben, werden alle Zielgruppen als vertrauenswürdig eingestuft.