控制安全主張標記語言 Web SSO 2.0 機制的作業。
Name | Type | Default | Description |
---|---|---|---|
id | string | 唯一的配置 ID。 | |
httpsRequired | boolean | true | 在存取 SAML WebSSO 服務提供者端點(如:acs 或中繼資料)時,強制使用 SSL 通訊。 |
inboundPropagation |
| none | 控制「Web 服務機制」的入埠延伸之「安全主張標記語言 Web SSO 2.0」的作業。 none %inboundPropagation.none required %inboundPropagation.required |
wantAssertionsSigned | boolean | true | 指出此服務提供者所接收的 <saml:Assertion> 元素需包含一個用來簽署「主張」的 Signature 元素。 |
signatureMethodAlgorithm |
| SHA256 | 指出此服務提供者所需的演算法。 SHA256 SHA-256 簽章演算法 SHA1 SHA-1 簽章演算法 SHA128 %signatureMethodAlgorithm.SHA128 |
createSession | boolean | true | 指定如果現行 HttpSession 不存在,是否要建立 HttpSession。 |
authnRequestsSigned | boolean | true | 指出是否要簽署此服務提供者所傳送的 <samlp:AuthnRequest> 訊息。 |
includeX509InSPMetadata | boolean | true | 指定是否將 x509 憑證包含在 Liberty SP meta 資料中。 |
forceAuthn | boolean | false | 指出 IdP 是否應強制使用者重新鑑別。 |
isPassive | boolean | false | 指出 IdP 不得控制一般使用者介面。 |
allowCreate | boolean | 如果發出要求的使用者沒有帳戶,則容許 IdP 建立新帳戶。 | |
authnContextComparisonType |
| exact | 當指定 authnContextClassRef 時,可以設定 authnContextComparisonType。 better 更好。鑑別陳述式中的鑑別環境定義強度必須大於指定的任一項鑑別環境定義。 exact 確切。鑑別陳述式中的鑑別環境定義必須完全符合指定的至少一項鑑別環境定義。 maximum 上限。鑑別陳述式中的鑑別環境定義強度必須越高越好,但不超過指定的至少一項鑑別環境定義的強度。 minimum 下限。鑑別陳述式中的鑑別環境定義強度必須至少等於指定的一項鑑別環境定義。 |
nameIDFormat |
| 指定對應到 SAML 核心規格中定義之名稱 ID 格式的 URI 參照。 windowsDomainQualifiedName urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName encrypted urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted unspecified urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified transient urn:oasis:names:tc:SAML:2.0:nameid-format:transient x509SubjectName urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName kerberos urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos persistent urn:oasis:names:tc:SAML:2.0:nameid-format:persistent customize 自訂的名稱 ID 格式。 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress entity urn:oasis:names:tc:SAML:2.0:nameid-format:entity | |
customizeNameIDFormat | string | 指定對應到 SAML 核心規格中未定義之名稱 ID 格式的自訂 URI 參照。 | |
idpMetadata | string | ${server.config.dir}/resources/security/idpMetadata.xml | 指定 IdP 中繼資料檔。 |
keyStoreRef | 最上層 keyStore 元素的參照(字串)。 | 含有用來簽署 AuthnRequest 及解密 EncryptedAssertion 元素之私密金鑰的金鑰儲存庫。預設值是伺服器的預設值。 | |
keyAlias | string | 這個金鑰別名用來尋找簽署和解密用的私密金鑰。如果金鑰儲存庫單單具有一個金鑰項目,或者其金鑰的別名是 'samlsp',則此項是選用的。 | |
loginPageURL | string | 指定 SAML IdP 登入應用程式 URL,以便將未經鑑別的要求重新導向至該 URL。這個屬性會觸發 IdP 起始的 SSO,只有 IdP 起始的 SSO 才需要。 | |
errorPageURL | string | 指定 SAML 驗證失敗時要顯示的錯誤頁面。如果未指定這個屬性,且收到的 SAML 無效,便會將使用者重新導向回 SAML IdP,以重新啟動 SSO。 | |
clockSkew | 精準度是毫秒的時間量 | 5m | 用來指定驗證 SAML 記號時,所容許的時間偏差(分鐘)。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。 |
tokenReplayTimeout | 精準度是毫秒的時間量 | 30m | 這個內容用來指定 Liberty SP 應用多久的時間來阻止記號重播。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。 |
sessionNotOnOrAfter | 精準度是毫秒的時間量 | 120m | 指出 SAML 階段作業期間的上限,一旦超過,Liberty SP 應要求使用者重新接受 IdP 的鑑別。如果 IdP 傳回的 SAML 記號沒有包含 sessionNotOnOrAfter 主張,就會使用這個屬性指定的值。只有在 disableLtpaCookie=true 時,才會使用這個內容。預設值為 true。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。 |
userIdentifier | string | 指定 SAML 屬性,以作為主體中的使用者主體名稱。如果沒有指定值,會使用 NameID SAML 主張元素值。 | |
groupIdentifier | string | 指定 SAML 屬性,以作為已鑑別主體所屬的群組名稱。沒有預設值。 | |
userUniqueIdentifier | string | 指定 SAML 屬性,以作為套用至主體中之 WSCredential 時的唯一使用者名稱。預設值與 userIdentifier 屬性值相同。 | |
realmIdentifier | string | 指定將作為領域名稱的 SAML 屬性。如果沒有指定值,會使用發證者 SAML 主張元素值。 | |
includeTokenInSubject | boolean | true | 指定是否將 SAML 主張包含在主體中。 |
mapToUserRegistry |
| No | 指定如何將身分對映至登錄使用者。選項是 No、User 和 Group。預設值是 No,表示不使用使用者登錄來建立使用者主體。 No 不將 SAML 身分對映至登錄中的使用者或群組 Group 將 SAML 身分對映至使用者登錄中所定義的群組 User 將 SAML 身分對映至登錄中所定義的使用者 |
authFilterRef | 最上層 authFilter 元素的參照(字串)。 | 指定鑑別過濾器參照。 | |
disableLtpaCookie | boolean | true | 在處理 SAML 主張期間,不建立 LTPA 記號。改為建立特定服務提供者的 Cookie。 |
realmName | string | 指定當 mapToUserRegistry 設為 No 或 Group 時的網域範圍名稱。 | |
authnRequestTime | 精準度是毫秒的時間量 | 10m | 指定從服務提供者產生並傳送到要求「SAML 記號」之 IdP 的 authnReuqest 的存活時段。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。 |
enabled | boolean | true | 若為 true,表示啟用服務提供者;若為 false,表示停用。 |
allowCustomCacheKey | boolean | true | 容許產生自訂快取金鑰,以存取鑑別快取並取得主體。 |
spHostAndPort | string | 指定 SAML 服務提供者的主機名稱和埠號。 | |
reAuthnOnAssertionExpire | boolean | false | 當「SAML 主張」即將到期時,重新鑑別送入的 HTTP 要求。 |
reAuthnCushion | 精準度是毫秒的時間量 | 0m | 「SAML 主張」即將到期時的重新鑑別時段,可用 NotOnOrAfter 陳述式或「SAML 主張」的 SessionNotOnOrAfter 屬性表示。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。 |
targetPageUrl | string | 如果遺漏 relayState,IdP-initiated SSO 的預設登入頁面。如果 useRelayStateForTarget 設為 false,則必須將這個內容設為有效 URL。 | |
useRelayStateForTarget | boolean | true | 當執行由 IdP 起始的 SSO 時,這個內容指定是否應將 SAMLResponse 中的 relayState 作為目標 URL。如果設為 false,則一律會以 targetPageUrl 的值作為目標 URL。 |
這個 URI 參照會識別說明鑑別環境定義宣告的鑑別環境定義類別。預設值為 null。
指定 PKIX 信任資訊,以用來評估 SAML 回應中 XML 簽章的可信度與有效性。請勿在 samlWebSso20 中指定多個 pkixTrustEngine。
Name | Type | Default | Description |
---|---|---|---|
trustAnchorRef | 最上層 keyStore 元素的參照(字串)。 | 含有驗證 SAMLResponse 和 Assertion 所需之公開金鑰的金鑰儲存庫。 |
pkixTrustEngine > trustedIssuers
指定信任的 IdP 發證者身分。如果值是 "ALL_ISSUERS",則會信任所有 IdP 身分。
pkixTrustEngine > x509Certificate
唯一的配置 ID。
Name | Type | Default | Description |
---|---|---|---|
id | string | 唯一的配置 ID。 | |
path | string | 指定 X509 憑證的路徑。 |
唯一的配置 ID。
Name | Type | Default | Description |
---|---|---|---|
id | string | 唯一的配置 ID。 | |
path | string | 指定 CRL 的路徑。 |
指定鑑別過濾器參照。
唯一的配置 ID。
Name | Type | Default | Description |
---|---|---|---|
id | string | 唯一的配置 ID。 | |
name | string | 指定名稱。 | |
matchType |
| contains | 指定相符類型。 contains 包含 notContain 不包含 equals 等於 |
唯一的配置 ID。
Name | Type | Default | Description |
---|---|---|---|
id | string | 唯一的配置 ID。 | |
urlPattern | string | 指定 URL 型樣。 | |
matchType |
| contains | 指定相符類型。 contains 包含 notContain 不包含 equals 等於 |
唯一的配置 ID。
Name | Type | Default | Description |
---|---|---|---|
id | string | 唯一的配置 ID。 | |
matchType |
| contains | 指定相符類型。 contains 包含 notContain 不包含 equals 等於 lessThan 小於 greaterThan 大於 |
ip | string | 指定 IP 位址。 |
唯一的配置 ID。
Name | Type | Default | Description |
---|---|---|---|
id | string | 唯一的配置 ID。 | |
name | string | 指定名稱。 | |
matchType |
| contains | 指定相符類型。 contains 包含 notContain 不包含 equals 等於 |
唯一的配置 ID。
Name | Type | Default | Description |
---|---|---|---|
id | string | 唯一的配置 ID。 | |
agent | string | 指定使用者代理程式 | |
matchType |
| contains | 指定相符類型。 contains 包含 notContain 不包含 equals 等於 |
儲存 SAML 記號之 HTTP 要求的標頭名稱。
驗證 SAML 記號的對象時,可信任的對象清單。如果值是 "ANY",則信任所有對象。