samlWebSso20 - Autentificare SAML Web SSO 2.0 (samlWebSso20)

Controlează funcţionarea mecanismului Security Assertion Markup Language Web SSO 2.0.

NameTypeDefaultDescription
idşirUn ID de configuraţie unic.
httpsRequiredbooleantrueImpuneţi utilizarea comunicaţiei SSL la accesarea unui punct final de furnizor de servicii SAML WebSSO cum ar fi ACS sau metadate.
inboundPropagation
  • none
  • required
noneControlează funcţionarea Security Assertion Markup Language Web SSO 2.0 pentru propagarea de intrare a Web Services Mechanisms.
none
%inboundPropagation.none
required
%inboundPropagation.required
wantAssertionsSignedbooleantrueIndică o cerinţă pentru elementele <saml:Assertion> primite de acest furnizor de servicii pentru a conţine un element Semnătură care semnează Aserţiunea.
signatureMethodAlgorithm
  • SHA256
  • SHA1
  • SHA128
SHA256Indică algoritmul cerut de acest furnizor de servicii.
SHA256
Algoritm de semnătură SHA-256
SHA1
Algoritm de semnătură SHA-1
SHA128
%signatureMethodAlgorithm.SHA128
createSessionbooleantrueSpecifică dacă să se creeze o HttpSession dacă HttpSession curentă nu există.
authnRequestsSignedbooleantrueIndică dacă mesajele <samlp:AuthnRequest> trimise de acest furnizor de servicii vor fi semnate.
includeX509InSPMetadatabooleantrueSpecifică dacă să includă certificatul x509 în metadatele Liberty SP.
forceAuthnbooleanfalseIndică dacă IdP-ul ar trebui să-l oblige pe utilizator să se re-autentifice.
isPassivebooleanfalseIndicată faptul că IdP nu trebuie să aibă control asupra interfeţei utilizatorului final.
allowCreatebooleanPermite IdP-ului să creeze un cont nou dacă utilizatorul care cere acest lucru nu are unul.
authnContextComparisonType
  • better
  • exact
  • maximum
  • minimum
exactCând este specificat un authnContextClassRef, poate fi setat authnContextComparisonType.
better
Mai bun. Contextul de autentificare din instrucţiunea de autentificare trebuie să fie mai puternic decât oricare dintre contextele de autentificare specificate.
exact
Exact. Contextul de autentificare din instrucţiunea de autentificare trebuie să fie potrivit exact cu cel puţin un context de autentificare specificat.
maximum
Maxim. Contextul de autentificare din instrucţiunea de autentificare trebuie să fie atât de puternic cât este posibil fără a depăşi puterea a cel puţin unuia dintre contextele de autentificare specificate.
minimum
Minim. Contextul de autentificare din instrucţiunea de autentificare trebuie să fie cel puţin la fel de puternic cu contextele de autentificare specificate.
nameIDFormat
  • windowsDomainQualifiedName
  • encrypted
  • unspecified
  • transient
  • x509SubjectName
  • kerberos
  • persistent
  • customize
  • email
  • entity
emailSpecifică referinţa URI care corespunde unui format de identificator de nume definit în specificaţia nucleu SAML.
windowsDomainQualifiedName
urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName
encrypted
urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
transient
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
x509SubjectName
urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName
kerberos
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
customize
Format ID Nume personalizat.
email
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
entity
urn:oasis:names:tc:SAML:2.0:nameid-format:entity
customizeNameIDFormatstringSpecifică referinţa URI personalizată care corespunde unui format de identificator de nume icare nu este definit în specificaţia nucleu SAML.
idpMetadatastring${server.config.dir}/resources/security/idpMetadata.xmlSpecifică fişierul de metadate IdP.
keyStoreRefO referinţă la elementul de nivel înalt keyStore (şir).Un depozit de chei care conţine cheia privată pentru semnarea elementului AuthnRequest şi decriptarea elementului EncryptedAssertion. Valoarea implicită este valoarea implicită a serverului.
keyAliasstringNume de alias de cheie pentru a localiza cheia privată pentru semnare şi decriptare. Acesta este opţional dacă depozitul de chei are exact o intrare de cheie, sau dacă are o singură cheie cu un alias 'samlsp'.
loginPageURLstringSpecifică URL-ul aplicaţiei de logare SAML IdP la care este redirecţionată o cerere neautentificată. Acest atribut declanşează SSO-ul iniţializat prin IdP, şi este necesar doar pentru SSO-ul iniţializat prin IdP.
errorPageURLstringSpecifică o pagină de erori de afişat dacă eşuează validarea SAML. Dacă acest atribut nu este specificat şi SAML-ul primit este invalid, utilizatorul va fi redirecţionat înapoi la SAML IdP pentru a reporni SSO.
clockSkewO perioadă de timp cu precizie de milisecunde5mAceasta este utilizată pentru a specifica decalajul permis al ceasului în minute la validarea jetonului SAML. Specificaţi un întreg pozitiv urmat de o unitate de timp, care poate fi ore (o), minute (m), secunde (s) sau milisecunde (ms). De exemplu, specificaţi 500 milisecunde ca 500ms. Puteţi include valori multiple într-o singură intrare. De exemplu, 1s500ms este echivalent cu 1.5 secunde.
tokenReplayTimeoutO perioadă de timp cu precizie de milisecunde30mAceastă proprietate este folosită pentru a specifica cât timp SP Liberty ar trebui să împiedica răspunsul jetonului. Specificaţi un întreg pozitiv urmat de o unitate de timp, care poate fi ore (o), minute (m), secunde (s) sau milisecunde (ms). De exemplu, specificaţi 500 milisecunde ca 500ms. Puteţi include valori multiple într-o singură intrare. De exemplu, 1s500ms este echivalent cu 1.5 secunde.
sessionNotOnOrAfterO perioadă de timp cu precizie de milisecunde120mIndică o limită superioară pentru durata unei sesiuni SAML, după ce Liberty SP ar trebui să ceară utilizatorului să se re-autentifice la IdP. Dacă jetonul SAML returnat de IdP nu conţine o aserţiune sessionNotOnOrAfter, nu este utilizată valoarea specificată de acest atribut. Această proprietate este utilizată doar dacă disableLtpaCookie=true. Valoarea implicită este adevăr. Specificaţi un întreg pozitiv urmat de o unitate de timp, care poate fi ore (o), minute (m), secunde (s) sau milisecunde (ms). De exemplu, specificaţi 500 milisecunde ca 500ms. Puteţi include valori multiple într-o singură intrare. De exemplu, 1s500ms este echivalent cu 1.5 secunde.
userIdentifierstringSpecifică un atribut SAML care este utilizat ca nume principal de utilizator în subiect. Dacă nu este specificată nicio valoare, este utilizată valoarea elementului aserţiunii NameID SAML.
groupIdentifierstringSpecifică un atribut SAML care este utilizat ca nume al grupului al cărui membru este principalul autentificat. Nu există nicio valoare implicită.
userUniqueIdentifierstringSpecifică un atribut SAML care este utilizat ca nume utilizator unic după cum se aplică la WSCredential în subiect. Valoarea implicită este aceeaşi cu valoarea atributului userIdentifier.
realmIdentifierstringSpecifică un atribut SAML care este folosit ca numele regiunii. Dacă nu este specificată nicio valoare, este utilizată valoarea elementului aserţiunii Issuer SAML.
includeTokenInSubjectbooleantrueSpecifică dacă se include în subiect o aserţiune SAML.
mapToUserRegistry
  • No
  • Group
  • User
NoSpecifică cum se mapează o identitate la un registru de utilizator. Opţiunile sunt Nu, Utilizator şi Grup. Valoarea implicită este Nu şi registrul de utilizator nu este utilizat pentru a crea subiect de utilizator.
No
Nu mapaţi o identitate SAML la un utilizator sau grup din registru
Group
Maparea unei identităţi SAML la un grup definit în registrul de utilizator
User
Maparea unei identităţi SAML la un hartă defined definit în registru
authFilterRefO referinţă la elementul de nivel înalt authFilter (şir).Specifică referinţa filtrului de autentificare.
disableLtpaCookiebooleantrueNu creaţi un LTPA Token în timpul procesării aserţiunii SAML. Creaţi în schimb un cookie pentru furnizorul de servicii.
realmNamestringSpecifică un nume de regiune când mapToUserRegistry este setată la Nu sau la Grup.
authnRequestTimeO perioadă de timp cu precizie de milisecunde10mSpecifică perioada de timp de viaţă a unei authnReuqest care este generată şi trimisă de la un furnizor de servicii la un IdP pentru a cere un jeton SAML. Specificaţi un întreg pozitiv urmat de o unitate de timp, care poate fi ore (o), minute (m), secunde (s) sau milisecunde (ms). De exemplu, specificaţi 500 milisecunde ca 500ms. Puteţi include valori multiple într-o singură intrare. De exemplu, 1s500ms este echivalent cu 1.5 secunde.
enabledbooleantrueFurnizorul de servicii este activat la true şi dezactivat la false.
allowCustomCacheKeybooleantruePermiteţi generarea unei chei cache personalizate pentru a accesa cache-ul de autentificare şi a obţine subiectul.
spHostAndPortstringSpecifică un nume de gazdă şi număr de port pentru furnizorul de servicii SAML.
reAuthnOnAssertionExpirebooleanfalseRealizaţi din nou autentificarea cererii HTTP de intrare când aserţiunea SAML este pe cale să expire.
reAuthnCushionO perioadă de timp cu precizie de milisecunde0mIntervalul de timp pentru autentificarea din nou atunci când aserţiunea SAML este pe cale să expire, după cum indică instrucţiunea NotOnOrAfter sau atributul SessionNotOnOrAfter al aserţiunii SAML. Specificaţi un întreg pozitiv urmat de o unitate de timp, care poate fi ore (o), minute (m), secunde (s) sau milisecunde (ms). De exemplu, specificaţi 500 milisecunde ca 500ms. Puteţi include valori multiple într-o singură intrare. De exemplu, 1s500ms este echivalent cu 1.5 secunde.
targetPageUrlstringPagina de aterizare implicită pentru semnare unică (SSO) iniţiată de IdP dacă lipseşte relayState. Această proprietate trebuie să fie setată la un URL valid dacă useRelayStateForTarget este setat la false.
useRelayStateForTargetbooleantrueCând faceţi SSO iniţiat de IdP, această proprietate specifică dacă relayState-ul dintr-un SAMLResponse ar trebui să fie utilizat ca URL destinaţie. Dacă este setat la false, valoarea pentru targetPageUrl este întotdeauna folosită ca URL destinaţie.

authnContextClassRef

O referinţă URI care identifică o clasă context de autentificare care descrie declaraţia de context de autentificare. Valoarea implicită este null.

pkixTrustEngine

Specifică informaţiile de încrederi PKIX utilizate pentru a evalua nivelul de încredere şi validitatea semnăturilor XML dintr-un răspuns SAML. Nu specificaţi multiple pkixTrustEngine într-un samlWebSso20.

NameTypeDefaultDescription
trustAnchorRefO referinţă la elementul de nivel înalt keyStore (şir).Un depozit de chei care conţine cheia publică este necesar pentru verificarea semnăturii pentru SAMLResponse şi Assertion.

pkixTrustEngine > trustedIssuers

Specifică identităţile emitenţilor IdP de încredere. Dacă valoarea este "ALL_ISSUERS", atunci toate identităţile IdP sunt de încredere.

pkixTrustEngine > x509Certificate

Un ID de configuraţie unic.

NameTypeDefaultDescription
idşirUn ID de configuraţie unic.
pathstringPrecizează calea către certificatul x509.

pkixTrustEngine > crl

Un ID de configuraţie unic.

NameTypeDefaultDescription
idşirUn ID de configuraţie unic.
pathstringPrecizează calea către CRL.

authFilter

Specifică referinţa filtrului de autentificare.

authFilter > webApp

Un ID de configuraţie unic.

NameTypeDefaultDescription
idşirUn ID de configuraţie unic.
namestringSpecifică numele.
matchType
  • contains
  • notContain
  • equals
containsSpecifică tipul de potrivire.
contains
Conţine
notContain
Nu conţine
equals
Egal

authFilter > requestUrl

Un ID de configuraţie unic.

NameTypeDefaultDescription
idşirUn ID de configuraţie unic.
urlPatternstringSpecifică tiparul URL-ului.
matchType
  • contains
  • notContain
  • equals
containsSpecifică tipul de potrivire.
contains
Conţine
notContain
Nu conţine
equals
Egal

authFilter > remoteAddress

Un ID de configuraţie unic.

NameTypeDefaultDescription
idşirUn ID de configuraţie unic.
matchType
  • contains
  • notContain
  • equals
  • lessThan
  • greaterThan
containsSpecifică tipul de potrivire.
contains
Conţine
notContain
Nu conţine
equals
Egal
lessThan
Mai mic decât
greaterThan
Mai mare decât
ipstringSpecifică adresa IP.

authFilter > host

Un ID de configuraţie unic.

NameTypeDefaultDescription
idşirUn ID de configuraţie unic.
namestringSpecifică numele.
matchType
  • contains
  • notContain
  • equals
containsSpecifică tipul de potrivire.
contains
Conţine
notContain
Nu conţine
equals
Egal

authFilter > userAgent

Un ID de configuraţie unic.

NameTypeDefaultDescription
idşirUn ID de configuraţie unic.
agentstringSpecifică agentul de utilizator
matchType
  • contains
  • notContain
  • equals
containsSpecifică tipul de potrivire.
contains
Conţine
notContain
Nu conţine
equals
Egal

headerName

Numele antetului cererii HTTP care stochează SAML Token.

audiences

Lista audienţelor care sunt de încredere pentru a verifica audienţa SAML Token. Dacă valoarea este "ANY", atunci toate audienţele sunt de încredere.