wsSecurityProvider - Провайдер WS-Security (wsSecurityProvider)

Конфигурация по умолчанию защиты веб-служб для провайдера.

NameTypeDefaultDescription
ws-security.usernamestringИнформация о пользователе для создания ключа с именем пользователя.
ws-security.callback-handlerstringКласс реализации обработчика обратных вызовов паролей.
ws-security.encryption.usernamestringПсевдоним, используемый для доступа к хранилищу ключей шифрования.
ws-security.signature.usernamestringПсевдоним, используемый для доступа к хранилищу ключей подписей.
ws-security.enable.nonce.cachebooleantrueУказывает, следует ли кэшировать одноразовые строки UsernameToken.

callerToken

Ключ инициатора.

NameTypeDefaultDescription
namestringУкажите имя маркера. Значения: Usernametoken, X509token, Samltoken.
userIdentifierstringЗадает атрибут SAML, который будет использоваться в качестве имени субъекта. По умолчанию применяется утверждение NameID.
groupIdentifierstringЗадает атрибут SAML, который будет использоваться как имя группы, которой принадлежит идентифицированный субъект. Значение по умолчанию не предусмотрено.
userUniqueIdentifierstringЗадает атрибут SAML, который будет использоваться в качестве уникального имени пользователя для WSCredential в субъекте. Значение по умолчанию совпадает со значением атрибута userIdentifier.
realmIdentifierstringЗадает атрибут SAML, который будет использоваться в качестве имени области. По умолчанию применяется отправитель.
includeTokenInSubjectbooleantrueУказывает, следует ли включить утверждение SAML в субъект.
mapToUserRegistry
  • No
  • Group
  • User
NoУказывает, как связать идентификатор с пользователем из реестра. Значения: No, User и Group. Значение по умолчанию - No, то есть реестр пользователя не используется для создания субъекта пользователя.
No
Не связывать идентификатор SAML с пользователем или группой из реестра
Group
Связать идентификатор SAML с группой из реестра
User
Связать идентификатор SAML с пользователем из реестра
realmNamestringУказывает имя области, если значением mapToUserRegistry является Нет или Группа.
allowCustomCacheKeybooleantrueРазрешить создание пользовательского ключа кэша для доступа к кэшу идентификации и получения субъекта.

signatureProperties

Требуемая конфигурация подписи.

NameTypeDefaultDescription
org.apache.ws.security.crypto.merlin.keystore.typestringJKS, JCEKS или PKCS11
org.apache.ws.security.crypto.merlin.keystore.aliasstringПсевдоним хранилища ключей по умолчанию (для применения, если ничего не указано).
org.apache.ws.security.crypto.merlin.keystore.passwordПароль с обратимым шифрованием (строка)Пароль для доступа к файлу хранилища ключей.
org.apache.ws.security.crypto.merlin.filestringРасположение хранилища ключей
org.apache.ws.security.crypto.merlin.truststore.filestringРасположение хранилища доверенных сертификатов
org.apache.ws.security.crypto.merlin.truststore.passwordПароль с обратимым шифрованием (строка)Пароль хранилища доверенных сертификатов.
org.apache.ws.security.crypto.merlin.truststore.typestringТип хранилища доверенных сертификатов.
org.apache.ws.security.crypto.providerstringorg.apache.ws.security.components.crypto.MerlinПоставщик применяется для создания экземпляров Crypto. По умолчанию применяется значение "org.apache.ws.security.components.crypto.Merlin".
org.apache.ws.security.crypto.merlin.keystore.providerstringПоставщик, применяемый для загрузки хранилища ключей. По умолчанию применяется установленный поставщик.
org.apache.ws.security.crypto.merlin.cert.providerstringПоставщик, применяемый для загрузки сертификатов. По умолчанию применяется поставщик хранилища ключей.
org.apache.ws.security.crypto.merlin.x509crl.filestringРасположение файла CRL (X509) для работы.
org.apache.ws.security.crypto.merlin.keystore.private.passwordПароль с обратимым шифрованием (строка)Пароль по умолчанию для загрузки личного ключа.

encryptionProperties

Требуемая конфигурация шифрования.

NameTypeDefaultDescription
org.apache.ws.security.crypto.merlin.keystore.typestringJKS, JCEKS или PKCS11
org.apache.ws.security.crypto.merlin.keystore.aliasstringПсевдоним хранилища ключей по умолчанию (для применения, если ничего не указано).
org.apache.ws.security.crypto.merlin.keystore.passwordПароль с обратимым шифрованием (строка)Пароль для доступа к файлу хранилища ключей.
org.apache.ws.security.crypto.providerstringorg.apache.ws.security.components.crypto.MerlinПоставщик применяется для создания экземпляров Crypto. По умолчанию применяется значение "org.apache.ws.security.components.crypto.Merlin".
org.apache.ws.security.crypto.merlin.filestringРасположение хранилища ключей
org.apache.ws.security.crypto.merlin.keystore.providerstringПоставщик, применяемый для загрузки хранилища ключей. По умолчанию применяется установленный поставщик.
org.apache.ws.security.crypto.merlin.cert.providerstringПоставщик, применяемый для загрузки сертификатов. По умолчанию применяется поставщик хранилища ключей.
org.apache.ws.security.crypto.merlin.x509crl.filestringРасположение файла CRL (X509) для работы.
org.apache.ws.security.crypto.merlin.keystore.private.passwordПароль с обратимым шифрованием (строка)Пароль по умолчанию для загрузки личного ключа.
org.apache.ws.security.crypto.merlin.truststore.filestringРасположение хранилища доверенных сертификатов
org.apache.ws.security.crypto.merlin.truststore.passwordПароль с обратимым шифрованием (строка)Пароль хранилища доверенных сертификатов.
org.apache.ws.security.crypto.merlin.truststore.typestringТип хранилища доверенных сертификатов.

samlToken

Задает свойства, применяемые для оценки надежности и правильности утверждений SAML.

NameTypeDefaultDescription
wantAssertionsSignedbooleantrueУказывает, что элементы <saml:Assertion>, получаемые данным поставщиком служб, должны быть подписаны.
clockSkewПериод (с точностью до миллисекунды)5mЭто используется для указания допустимого расхождения значений времени в минутах при проверке ключа SAML. Укажите положительное целое число, за которым следует единица времени: часы (h), минуты (m), секунды (s) или миллисекунды (ms). Например, укажите 500 миллисекунд как 500ms. Одна запись может включать несколько значений. Так, 1s500ms равно 1,5 сек.
requiredSubjectConfirmationMethod
  • bearer
bearerУкажите, требуется ли в утверждении SAML способ подтверждения субъекта. Значение по умолчанию - true.
bearer
bearer
timeToLiveПериод (с точностью до миллисекунды)30mКроме того, срок действия утверждения SAML по умолчанию, если в нем не задано условие NoOnOrAfter. Значение по умолчанию: 30 минут. Укажите положительное целое число, за которым следует единица времени: часы (h), минуты (m), секунды (s) или миллисекунды (ms). Например, укажите 500 миллисекунд как 500ms. Одна запись может включать несколько значений. Так, 1s500ms равно 1,5 сек.

samlToken > audienceRestrictions

Укажите допустимые аудитории для утверждения SAML. По умолчанию разрешены все аудитории.