Steruje działaniem mechanizmu Security Assertion Markup Language Web SSO 2.0.
Name | Type | Default | Description |
---|---|---|---|
id | łańcuch | Unikalny identyfikator konfiguracji. | |
httpsRequired | boolean | true | Wymusza użycie komunikacji za pomocą protokołu SSL podczas uzyskiwania dostępu do punktu końcowego dostawcy usług SAML WebSSO, na przykład acs lub metadanych. |
inboundPropagation |
| none | Steruje działaniem mechanizmów Security Assertion Markup Language Web SSO 2.0 na potrzeby propagacji danych przychodzących usług WWW. none %inboundPropagation.none required %inboundPropagation.required |
wantAssertionsSigned | boolean | true | Wskazuje wymaganie, że elementy <saml:Assertion> odebrane przez tego dostawcę usług muszą zawierać element Signature, który służy do podpisywania asercji. |
signatureMethodAlgorithm |
| SHA256 | Określa algorytm wymagany przez tego dostawcę usług. SHA256 Algorytm podpisu SHA-256 SHA1 Algorytm podpisu SHA-1 SHA128 %signatureMethodAlgorithm.SHA128 |
createSession | boolean | true | Wskazuje, czy ma zostać utworzona sesja HTTP, jeśli nie istnieje bieżąca sesja HTTP. |
authnRequestsSigned | boolean | true | Wskazuje, czy komunikaty <samlp:AuthnRequest> wysyłane przez tego dostawcę usług będą podpisane. |
includeX509InSPMetadata | boolean | true | Określa, czy dołączyć certyfikat x509 do metadanych dostawcy usług Liberty. |
forceAuthn | boolean | false | Określa, czy dostawca tożsamości powinien wymuszać ponowne uwierzytelnienie użytkownika. |
isPassive | boolean | false | Wskazuje, że dostawca tożsamości nie może przejąć kontroli nad interfejsem użytkownika końcowego. |
allowCreate | boolean | Umożliwia dostawcy tożsamości utworzenie nowego konta, jeśli użytkownik żądający jeszcze go nie ma. | |
authnContextComparisonType |
| exact | Jeśli jest podana wartość właściwości authnContextClassRef, można ustawić właściwość authnContextComparisonType. better Lepsza wartość. Kontekst uwierzytelniania w instrukcji uwierzytelniania musi być silniejszy niż jakikolwiek określony kontekst uwierzytelniania. exact Równa wartość. Kontekst uwierzytelniania w instrukcji uwierzytelniania musi być dokładnie zgodny z co najmniej jednym z określonych kontekstów uwierzytelniania. maximum Wartość maksymalna. Kontekst uwierzytelniania w instrukcji uwierzytelniania musi być tak silny jak to możliwe, ale nie silniejszy niż co najmniej jeden z określonych kontekstów uwierzytelniania. minimum Wartość minimalna. Kontekst uwierzytelniania w instrukcji uwierzytelniania musi być co najmniej tak silny, jak jeden z określonych kontekstów uwierzytelniania. |
nameIDFormat |
| Określa odwołanie identyfikatora URI odpowiadające formatowi identyfikatora nazwy zdefiniowanemu w specyfikacji podstawowej SAML. windowsDomainQualifiedName urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName encrypted urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted unspecified urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified transient urn:oasis:names:tc:SAML:2.0:nameid-format:transient x509SubjectName urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName kerberos urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos persistent urn:oasis:names:tc:SAML:2.0:nameid-format:persistent customize Niestandardowy format identyfikatora nazwy. urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress entity urn:oasis:names:tc:SAML:2.0:nameid-format:entity | |
customizeNameIDFormat | string | Określa niestandardowe odwołanie identyfikatora URI odpowiadające formatowi identyfikatora nazwy, który nie jest zdefiniowany w specyfikacji podstawowej SAML. | |
idpMetadata | string | ${server.config.dir}/resources/security/idpMetadata.xml | Określa plik metadanych dostawcy tożsamości. |
keyStoreRef | Odwołanie do elementu keyStore najwyższego poziomu (łańcuch). | Magazyn kluczy zawierający klucz prywatny do podpisywania żądania uwierzytelnienia i do deszyfrowania elementu EncryptedAssertion. Wartością domyślną jest wartość domyślna serwera. | |
keyAlias | string | Alias klucza służący do znajdowania klucza prywatnego używanego do podpisywania i deszyfrowania. Jest on opcjonalny, jeśli magazyn kluczy ma dokładnie jeden wpis klucza lub jeśli ma jeden klucz o aliasie samlsp. | |
loginPageURL | string | Określa adres URL aplikacji logowania dostawcy tożsamości SAML, do którego przekierowywane jest nieuwierzytelnione żądanie. Ten atrybut wyzwala logowanie SSO inicjowane przez dostawcę tożsamości. Jest wymagany tylko na potrzeby logowania SSO inicjowanego przez dostawcę tożsamości. | |
errorPageURL | string | Określa stronę błędu wyświetlaną w przypadku niepowodzenia sprawdzania poprawności SAML. Jeśli atrybut ten nie jest określony, a odebrany komunikat SAML jest niepoprawny, użytkownik zostanie przekierowany z powrotem do dostawcy tożsamości SAML w celu zrestartowania funkcji pojedynczego logowania SSO. | |
clockSkew | Okres z dokładnością do milisekundy | 5m | Ten parametr jest używany do określenia dozwolonego przesunięcia zegara (w minutach) podczas sprawdzania poprawności znacznika SAML. Określ dodatnią liczbę całkowitą, po której następuje jednostka czasu, taka jak godziny (h), minuty (m), sekundy (s) lub milisekundy (ms). Na przykład określ 500 milisekund jako 500ms. W pojedynczej pozycji można zawrzeć wiele wartości. Na przykład 1s500ms oznacza 1,5 sekundy. |
tokenReplayTimeout | Okres z dokładnością do milisekundy | 30m | Ta właściwość jest używana do określania, jak długo dostawca usług Liberty powinien zapobiegać ponownemu odtwarzaniu znacznika. Określ dodatnią liczbę całkowitą, po której następuje jednostka czasu, taka jak godziny (h), minuty (m), sekundy (s) lub milisekundy (ms). Na przykład określ 500 milisekund jako 500ms. W pojedynczej pozycji można zawrzeć wiele wartości. Na przykład 1s500ms oznacza 1,5 sekundy. |
sessionNotOnOrAfter | Okres z dokładnością do milisekundy | 120m | Określa górną granicę czasu trwania sesji SAML, po upływie którego dostawca usług Liberty powinien poprosić użytkownika o ponowne uwierzytelnienie w dostawcy tożsamości. Jeśli znacznik SAML zwrócony z dostawcy tożsamości nie zawiera asercji sessionNotOnOrAfter, używana jest wartość określona przez ten atrybut. Ta właściwość jest używana tylko wtedy, gdy disableLtpaCookie=true. Domyślną wartością jest true (prawda). Określ dodatnią liczbę całkowitą, po której następuje jednostka czasu, taka jak godziny (h), minuty (m), sekundy (s) lub milisekundy (ms). Na przykład określ 500 milisekund jako 500ms. W pojedynczej pozycji można zawrzeć wiele wartości. Na przykład 1s500ms oznacza 1,5 sekundy. |
userIdentifier | string | Określa atrybut SAML używany jako nazwa użytkownika w podmiocie. Jeśli użytkownik nie określi żadnej wartości, zostanie użyta wartość elementu asercji SAML NameID. | |
groupIdentifier | string | Określa atrybut SAML używany jako nazwa grupy, której członkiem jest uwierzytelniona nazwa użytkownika. Brak wartości domyślnej. | |
userUniqueIdentifier | string | Określa atrybut SAML używany jako unikalna nazwa użytkownika stosowana na potrzeby referencji WSCredential w podmiocie. Wartość domyślna jest taka sama jak wartość atrybutu userIdentifier. | |
realmIdentifier | string | Określa atrybut SAML używany jako nazwa dziedziny. Jeśli użytkownik nie określi żadnej wartości, zostanie użyta wartość elementu asercji SAML Issuer. | |
includeTokenInSubject | boolean | true | Określa, czy należy w podmiocie uwzględnić asercję SAML. |
mapToUserRegistry |
| No | Wskazuje sposób odwzorowania tożsamości na użytkownika z rejestru. Dostępne są opcje: Nie, Użytkownik i Grupa. Wartość domyślna to Nie, co oznacza, że rejestr użytkowników nie jest używany do tworzenia podmiotu użytkownika. No Nie odwzorowuj tożsamości SAML na użytkownika ani grupę w rejestrze Group Odwzoruj tożsamość SAML na grupę zdefiniowaną w rejestrze użytkowników User Odwzoruj tożsamość SAML na użytkownika zdefiniowanego w rejestrze |
authFilterRef | Odwołanie do elementu authFilter najwyższego poziomu (łańcuch). | Określa odwołanie do filtru uwierzytelniania. | |
disableLtpaCookie | boolean | true | Nie twórz znacznika LTPA podczas przetwarzania asercji SAML. Zamiast tego utwórz plik cookie konkretnego dostawcy usług. |
realmName | string | Podaje nazwę dziedziny, jeśli właściwość mapToUserRegistry ma ustawioną wartość No (Nie) lub Group (Grupa). | |
authnRequestTime | Okres z dokładnością do milisekundy | 10m | Określa czas życia żądania uwierzytelnienia, które jest generowane i wysyłane z dostawcy usług do dostawcy tożsamości w celu zażądania znacznika SAML. Określ dodatnią liczbę całkowitą, po której następuje jednostka czasu, taka jak godziny (h), minuty (m), sekundy (s) lub milisekundy (ms). Na przykład określ 500 milisekund jako 500ms. W pojedynczej pozycji można zawrzeć wiele wartości. Na przykład 1s500ms oznacza 1,5 sekundy. |
enabled | boolean | true | Jeśli ma wartość true, dostawca usług jest włączony. Jeśli ma wartość false, dostawca usług jest wyłączony. |
allowCustomCacheKey | boolean | true | Umożliwia generowanie niestandardowego klucza pamięci podręcznej w celu uzyskania dostępu do pamięci podręcznej uwierzytelniania i pobrania podmiotu. |
spHostAndPort | string | Określa nazwę hosta i numer portu dostawcy usług SAML. | |
reAuthnOnAssertionExpire | boolean | false | Ponownie uwierzytelnij przychodzące żądanie HTTP, gdy asercja SAML ma wkrótce utracić ważność. |
reAuthnCushion | Okres z dokładnością do milisekundy | 0m | Czas, w którym ma nastąpić ponowne uwierzytelnienie, gdy asercja SAML wkrótce utraci ważność, co jest wskazywane przez instrukcję NotOnOrAfter lub atrybut SessionNotOnOrAfter asercji SAML. Określ dodatnią liczbę całkowitą, po której następuje jednostka czasu, taka jak godziny (h), minuty (m), sekundy (s) lub milisekundy (ms). Na przykład określ 500 milisekund jako 500ms. W pojedynczej pozycji można zawrzeć wiele wartości. Na przykład 1s500ms oznacza 1,5 sekundy. |
targetPageUrl | string | Domyślna strona docelowa pojedynczego logowania inicjowanego przez dostawcę tożsamości, jeśli brakuje parametru relayState. Jeśli parametr useRelayStateForTarget ma wartość false, ta właściwość musi być ustawiona na poprawny adres URL. | |
useRelayStateForTarget | boolean | true | Podczas wykonywania pojedynczego logowania inicjowanego przez dostawcę tożsamości ta właściwość określa, czy jako docelowy adres URL ma zostać użyty parametr relayState w komunikacie SAMLResponse. W przypadku ustawienia wartości false wartość atrybutu targetPageUrl jest zawsze używana jako docelowy adres URL. |
Odwołanie identyfikatora URI identyfikujące klasę kontekstu uwierzytelniania, która opisuje deklarację kontekstu uwierzytelniania. Wartością domyślną jest NULL.
Podaje informacje o zaufaniu PKIX, które są używane do oceniania wiarygodności i ważności podpisów XML w odpowiedzi SAML. Nie należy określać wielu mechanizmów pkixTrustEngine w elemencie samlWebSso20.
Name | Type | Default | Description |
---|---|---|---|
trustAnchorRef | Odwołanie do elementu keyStore najwyższego poziomu (łańcuch). | Magazyn kluczy zawierający klucz publiczny niezbędny do sprawdzenia podpisu odpowiedzi SAML i asercji. |
pkixTrustEngine > trustedIssuers
Wskazuje tożsamości zaufanych wystawców dostawców tożsamości. Jeśli wartością jest ALL_ISSUERS, wówczas wszystkie tożsamości dostawców tożsamości są zaufane.
pkixTrustEngine > x509Certificate
Unikalny identyfikator konfiguracji.
Name | Type | Default | Description |
---|---|---|---|
id | łańcuch | Unikalny identyfikator konfiguracji. | |
path | string | Określa ścieżkę do certyfikatu x509. |
Unikalny identyfikator konfiguracji.
Name | Type | Default | Description |
---|---|---|---|
id | łańcuch | Unikalny identyfikator konfiguracji. | |
path | string | Określa ścieżkę do listy CRL. |
Określa odwołanie do filtru uwierzytelniania.
Unikalny identyfikator konfiguracji.
Name | Type | Default | Description |
---|---|---|---|
id | łańcuch | Unikalny identyfikator konfiguracji. | |
name | string | Określa nazwę. | |
matchType |
| contains | Określa typ zgodności. contains zawiera notContain nie zawiera equals jest równe |
Unikalny identyfikator konfiguracji.
Name | Type | Default | Description |
---|---|---|---|
id | łańcuch | Unikalny identyfikator konfiguracji. | |
urlPattern | string | Określa wzorzec adresów URL. | |
matchType |
| contains | Określa typ zgodności. contains zawiera notContain nie zawiera equals jest równe |
Unikalny identyfikator konfiguracji.
Name | Type | Default | Description |
---|---|---|---|
id | łańcuch | Unikalny identyfikator konfiguracji. | |
matchType |
| contains | Określa typ zgodności. contains zawiera notContain nie zawiera equals jest równe lessThan jest mniejsze niż greaterThan jest większe niż |
ip | string | Określa adres IP. |
Unikalny identyfikator konfiguracji.
Name | Type | Default | Description |
---|---|---|---|
id | łańcuch | Unikalny identyfikator konfiguracji. | |
name | string | Określa nazwę. | |
matchType |
| contains | Określa typ zgodności. contains zawiera notContain nie zawiera equals jest równe |
Unikalny identyfikator konfiguracji.
Name | Type | Default | Description |
---|---|---|---|
id | łańcuch | Unikalny identyfikator konfiguracji. | |
agent | string | Określa agent użytkownika | |
matchType |
| contains | Określa typ zgodności. contains zawiera notContain nie zawiera equals jest równe |
Nazwa nagłówka żądania HTTP przechowującego znacznik SAML.
Lista zaufanych odbiorców na potrzeby weryfikacji odbiorców znacznika SAML. W przypadku wartości ANY wszyscy odbiorcy są zaufani.