Controlla le operazioni del meccanismo SAML (Security Assertion Markup Language9 Web SSO 2.0.
Name | Type | Default | Description |
---|---|---|---|
id | stringa | Un ID di configurazione univoco. | |
httpsRequired | booleano | true | Forza l'utilizzo della comunicazione SSL quando si accede ad un endpoint del provider del servizio WebSSO SAML come ad esempio acs o metadati. |
inboundPropagation |
| none | Controlla le operazioni SAML (Security Assertion Markup Language) Web SSO 2.0 per la propagazione in entrata dei meccanismi per i servizi Web. none %inboundPropagation.none required %inboundPropagation.required |
wantAssertionsSigned | booleano | true | Indica che è necessario che gli elementi <saml:Assertion> ricevuti da questo provider del servizio contengano un elemento Firma che firmi l'asserzione. |
signatureMethodAlgorithm |
| SHA256 | Indica l'algoritmo richiesto da questo provider del servizio. SHA256 Algoritmo di firma SHA-256 SHA1 Algoritmo di firma SHA-1 SHA128 %signatureMethodAlgorithm.SHA128 |
createSession | booleano | true | Specifica se creare una HttpSession nel caso in cui l'HttpSession corrente non esista. |
authnRequestsSigned | booleano | true | Indica se i messaggi <samlp:AuthnRequest> inviati da questo provider del servizio devono essere firmati o meno. |
includeX509InSPMetadata | booleano | true | Specifica se includere il certificato x509 nei metadati Liberty SP. |
forceAuthn | booleano | false | Indica se l'IdP deve forzare l'utente a riautenticarsi. |
isPassive | booleano | false | Indica che IdP non deve prendere il controllo dell'interfaccia utente finale. |
allowCreate | booleano | Consente a IdP di creare un nuovo account se l'utente richiedente non ne ha uno. | |
authnContextComparisonType |
| exact | Quando si specifica un authnContextClassRef, è possibile impostare authnContextComparisonType. better Migliore. Il contesto di autenticazione nell'istruzione di autenticazione deve essere più forte di uno qualsiasi dei contesti di autenticazione specificati. exact Esatto. Il contesto di autenticazione nell'istruzione di autenticazione deve essere una corrispondenza esatta di almeno uno dei contesti di autenticazione specificati. maximum Massimo. Il contesto di autenticazione nell'istruzione di autenticazione deve essere più forte possibile senza superare la forza di almeno uno dei contesti di autenticazione specificati. minimum Minimo. Il contesto di autenticazione nell'istruzione di autenticazione deve essere forte almeno quanto uno dei contesti di autenticazione specificati. |
nameIDFormat |
| Specifica il riferimento URI corrispondente ad un formato identificativo nome definito nella specifica principale SAML. windowsDomainQualifiedName urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName encrypted urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted unspecified urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified transient urn:oasis:names:tc:SAML:2.0:nameid-format:transient x509SubjectName urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName kerberos urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos persistent urn:oasis:names:tc:SAML:2.0:nameid-format:persistent customize Formato ID nome personalizzato. urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress entity urn:oasis:names:tc:SAML:2.0:nameid-format:entity | |
customizeNameIDFormat | string | Specifica il riferimento URI personalizzato corrispondente ad un formato identificativo nome che non è definito nella specifica principale SAML. | |
idpMetadata | string | ${server.config.dir}/resources/security/idpMetadata.xml | Specifica il file metadati IdP. |
keyStoreRef | Un riferimento allelemento di livello più alto {0} (stringa). | Un keystore contenente la chiave privata per la firma di AuthnRequest e la descrizione dell'elemento EncryptedAssertion. Il valore predefinito è il predefinito del server. | |
keyAlias | string | Un nome alias di chiave per individuare la chiave privata per la firma e la decodifica. È facoltativo se il keystore ha esattamente una voce chiave o se ha una chiave con un alias di 'samlsp'. | |
loginPageURL | string | Specifica l'URL dell'applicazione di login IdP SAML a cui viene reindirizzata una richiesta non autenticata. Questo attributo attiva l'SSO avviato da IdP ed è richiesto solo per l'SSO avviato da IdP. | |
errorPageURL | string | Specifica una pagina di errore da visualizzare se la convalida SAML non riesce. Se non si specifica questo attributo e il SAML ricevuto non è valido, l'utente viene reindirizzato di nuovo all'IdP SAML per riavviare l'SSO. | |
clockSkew | Un periodo di tempo con precisione al millisecondo | 5m | Viene utilizzato per specificare la differenza oraria consentita in minuti durante la convalida del token SAML. Specificare un numero intero positivo seguito da un'unità di tempo, che può essere ore (h), minuti (m), secondi (s) o millisecondi (ms). Ad esempio, specificare 500 millisecondi come 500ms. È possibile includere più valori in una singola immissione. Ad esempio, 1s500ms è equivalente a 1,5 secondi. |
tokenReplayTimeout | Un periodo di tempo con precisione al millisecondo | 30m | Questa proprietà viene utilizzata per specificare per quanto tempo Liberty SP deve impedire la risposta del token. Specificare un numero intero positivo seguito da un'unità di tempo, che può essere ore (h), minuti (m), secondi (s) o millisecondi (ms). Ad esempio, specificare 500 millisecondi come 500ms. È possibile includere più valori in una singola immissione. Ad esempio, 1s500ms è equivalente a 1,5 secondi. |
sessionNotOnOrAfter | Un periodo di tempo con precisione al millisecondo | 120m | Indica un limite superiore sulle durate di sessione SAML, dopo cui il provider del servizio Liberty deve chiedere all'utente di riautenticarsi con l'IdP. Se il token SAML restituito dall'IdP non contiene un'asserzione sessionNotOnOrAfter, viene utilizzato il valore specificato da questo attributo. Questa proprietà viene utilizzata solo se disableLtpaCookie=true. Il valore predefinito è true. Specificare un numero intero positivo seguito da un'unità di tempo, che può essere ore (h), minuti (m), secondi (s) o millisecondi (ms). Ad esempio, specificare 500 millisecondi come 500ms. È possibile includere più valori in una singola immissione. Ad esempio, 1s500ms è equivalente a 1,5 secondi. |
userIdentifier | string | Specifica un attributo SAML utilizzato come nome principal utente nel soggetto. Se non si specifica un valore, viene utilizzato l'elemento asserzione SAML NameID. | |
groupIdentifier | string | Specifica un attributo SAML utilizzato come nome del gruppo di cui è membro il principal autenticato. Nessun valore predefinito. | |
userUniqueIdentifier | string | Specifica un attributo SAML utilizzato come il nome utente univoco come applicato a WSCredential nel soggetto. Il valore predefinito è uguale al valore dell'attributo userIdentifier. | |
realmIdentifier | string | Specifica un attributo SAML utilizzato come nome realm. Se non si specifica un valore, viene utilizzato l'elemento asserzione SAML Issuer. | |
includeTokenInSubject | booleano | true | Specifica se includere un'asserzione SAML nel soggetto. |
mapToUserRegistry |
| No | Specifica come associare un'identità a un utente del registro. Le opzioni sono No, Utente e Gruppo. Il valore predefinito è No e il registro utente non è utilizzato per creare il soggetto utente. No Non associare un'identità SAML a un utente o gruppo nel registro Group Non associare un'identità SAML a un gruppo definito nel registro utente User Associa un'identità SAML a un utente definito nel registro |
authFilterRef | Un riferimento allelemento di livello più alto {0} (stringa). | Specifica il riferimento al filtro di autenticazione | |
disableLtpaCookie | booleano | true | Non creare un token LTPA durante l'elaborazione dell'asserzione SAML. Creare invece un cookie del provider del servizio specifico. |
realmName | string | Specifica un nome realm quando mapToUserRegistry è impostato su No o su Gruppo. | |
authnRequestTime | Un periodo di tempo con precisione al millisecondo | 10m | Specifica la durata di una authnReuqest generata e inviata da un provider del servizio ad un IdP per richiedere un token SAML. Specificare un numero intero positivo seguito da un'unità di tempo, che può essere ore (h), minuti (m), secondi (s) o millisecondi (ms). Ad esempio, specificare 500 millisecondi come 500ms. È possibile includere più valori in una singola immissione. Ad esempio, 1s500ms è equivalente a 1,5 secondi. |
enabled | booleano | true | Il provider del servizio è abilitato se true, disabilitato se false. |
allowCustomCacheKey | booleano | true | Consente di generare una chiave di cache personalizzata per accedere alla cache di autenticazione e richiamare il soggetto. |
spHostAndPort | string | Specifica numero di porta e nome host per un provider del servizio SAML. | |
reAuthnOnAssertionExpire | booleano | false | Riautentica la richiesta HTTP in entrata quando un'asserzione SAML sta per scadere. |
reAuthnCushion | Un periodo di tempo con precisione al millisecondo | 0m | L'intervallo di tempo per la riautenticazione quando un'asserzione SAML sta per scadere, che è indicato dall'istruzione NotOnOrAfter o dall'attributo SessionNotOnOrAfter dell'asserzione SAML. Specificare un numero intero positivo seguito da un'unità di tempo, che può essere ore (h), minuti (m), secondi (s) o millisecondi (ms). Ad esempio, specificare 500 millisecondi come 500ms. È possibile includere più valori in una singola immissione. Ad esempio, 1s500ms è equivalente a 1,5 secondi. |
targetPageUrl | string | La pagina di destinazione predefinita per l'SSO avviato da IdP se relayState è mancante. Questa proprietà deve essere impostata su un URL valido se useRelayStateForTarget è impostato su false. | |
useRelayStateForTarget | booleano | true | Quando si effettua l'SSO avviato dall'IdP, questa proprietà specifica se deve essere utilizzato relayState in una SAMLResponse come URL di destinazione. Se impostato su false, viene sempre utilizzato il valore per targetPageUrl come URL di destinazione. |
Un riferimento URI che identifica una classe contesto di autenticazione che descrive la dichiarazione del contesto di autenticazione. Il valore predefinito è null.
Specifica le informazioni di affidabilità PKIX utilizzate per valutare l'affidabilità e la validità delle firme XML in una risposta SAML. Non specificare più pkixTrustEngine in un samlWebSso20.
Name | Type | Default | Description |
---|---|---|---|
trustAnchorRef | Un riferimento allelemento di livello più alto {0} (stringa). | Un keystore contenente la chiave pubblica necessaria per la verifica dell'asserzione e della risposta SAML. |
pkixTrustEngine > trustedIssuers
Specifica le identità degli emittenti IdP affidabili. Se il valore è "ALL_ISSUERS", vengono considerate affidabili tutte le identità dell'IdP.
pkixTrustEngine > x509Certificate
Un ID di configurazione univoco.
Name | Type | Default | Description |
---|---|---|---|
id | stringa | Un ID di configurazione univoco. | |
path | string | Specifica il percorso del certificato x509. |
Un ID di configurazione univoco.
Name | Type | Default | Description |
---|---|---|---|
id | stringa | Un ID di configurazione univoco. | |
path | string | Specifica il percorso del crl. |
Specifica il riferimento al filtro di autenticazione
Un ID di configurazione univoco.
Name | Type | Default | Description |
---|---|---|---|
id | stringa | Un ID di configurazione univoco. | |
name | string | Specifica il nome. | |
matchType |
| contains | Specifica il tipo di corrispondenza. contains Contiene notContain Non contiene equals Uguale |
Un ID di configurazione univoco.
Name | Type | Default | Description |
---|---|---|---|
id | stringa | Un ID di configurazione univoco. | |
urlPattern | string | Specifica il pattern dell'URL. | |
matchType |
| contains | Specifica il tipo di corrispondenza. contains Contiene notContain Non contiene equals Uguale |
Un ID di configurazione univoco.
Name | Type | Default | Description |
---|---|---|---|
id | stringa | Un ID di configurazione univoco. | |
matchType |
| contains | Specifica il tipo di corrispondenza. contains Contiene notContain Non contiene equals Uguale lessThan Minore di greaterThan Maggiore di |
ip | string | Specifica l'indirizzo IP. |
Un ID di configurazione univoco.
Name | Type | Default | Description |
---|---|---|---|
id | stringa | Un ID di configurazione univoco. | |
name | string | Specifica il nome. | |
matchType |
| contains | Specifica il tipo di corrispondenza. contains Contiene notContain Non contiene equals Uguale |
Un ID di configurazione univoco.
Name | Type | Default | Description |
---|---|---|---|
id | stringa | Un ID di configurazione univoco. | |
agent | string | Specifica l'agent utente | |
matchType |
| contains | Specifica il tipo di corrispondenza. contains Contiene notContain Non contiene equals Uguale |
Il nome intestazione della richiesta HTTP che archivia il token SAML.
L'elenco di audience affidabili per verificare l'audience del token SAML. Se il valore è "ANY", vengono considerati affidabili tutti gli audience.