openidConnectClient - OpenID Connect 客户机 (openidConnectClient)

OpenID Connect 客户机。

NameTypeDefaultDescription
id字符串唯一配置标识。
scopetokenTypeopenid profile提供程序允许的 OpenID Connect 作用域(如 OpenID Connect 规范中详述)。
userIdentityToCreateSubjectstringsub在标识令牌中指定用于创建用户主题的用户身份。
httpsRequired布尔型true在 OpenID 依赖方与提供程序服务之间需要 SSL 通信。
grantType
  • implicit
  • authorization_code
authorization_code指定要用于此客户机的授予类型。
implicit
隐式授予类型
authorization_code
授权代码授予类型
clientIdstring客户的身份。
clientSecret可逆向编码的密码(字符串)客户机的密钥。
redirectToRPHostAndPortstring指定重定向 OpenID 依赖方主机和端口号。
redirectJunctionPathstring指定要插入到重定向 URL 中(在主机名和端口后)的路径片段。缺省值为空字符串。
isClientSideRedirectSupported布尔型true指定客户机是否支持在客户机端执行重定向。
issuerIdentifierstring颁发者标识是使用 HTTPS 方案的 URL(区分大小写),其中包含方案、主机及(可选的)端口号和路径部分。
mapIdentityToRegistryUser布尔型false指定是否将身份映射至注册表用户。如果此项设置为 false,那么不会使用用户注册表来创建用户主题。
trustStoreRef对顶级 keyStore 元素的引用(字符串)。密钥库,包含在验证标识令牌的签名时必需的公用密钥。
trustAliasNamestring用于找到公用密钥(与非对称算法一起用于签名验证)的密钥别名名称。
nonceEnabled布尔型false在授权代码流程中启用现时标志参数。
realmNamestring指定 mapIdentityToRegistryUser 设置为 false 时用于创建用户主体集的域名。
sslRef对顶级 ssl 元素的引用(字符串)。指定用于连接至 OpenID Connect 提供程序的 SSL 配置的标识。
signatureAlgorithm
  • HS256
  • RS256
  • none
HS256指定将用于验证标识令牌的签名的签名算法。
HS256
使用 HS256 签名算法为令牌签名和验证令牌
RS256
使用 RS256 签名算法为令牌签名和验证令牌
none
不需要为令牌签名
includeIdTokenInSubject布尔型true指定是否在客户机主题中包括标识令牌。
accessTokenInLtpaCookie布尔型false指定 LTPA 令牌是否包含访问令牌。
initialStateCacheCapacityint
Min: 0
3000指定状态高速缓存的起始容量。此容量在本身需要时会增长。
hostNameVerificationEnabled布尔型false指定是否启用主机名验证。
authorizationEndpointUrlstring指定授权端点 URL。
tokenEndpointUrlstring指定令牌端点 URL。
jwkEndpointUrlstring指定 JWK 端点 URL。
jwkClientIdstring指定要包括在 JWK 请求的基本认证方案中的客户机标识。
jwkClientSecret可逆向编码的密码(字符串)指定要包括在 JWK 请求的基本认证方案中的客户机密码。
responseType
  • id_token token
  • code
  • id_token
  • token
指定此客户机所需的响应类型。
id_token token
标识令牌和访问令牌
code
授权代码
id_token
标识令牌
token
访问令牌
userIdentifierstring在标识令牌中指定用作主题中用户主体名称的 JSON 属性。如果未指定值,那么会使用 JSON 属性“sub”。
groupIdentifierstringgroupIds在标识令牌中指定用作已认证主体所属组的名称的 JSON 属性。
realmIdentifierstringrealmName在标识令牌中指定用作域名的 JSON 属性。
uniqueUserIdentifierstringuniqueSecurityName在标识令牌中指定应用到主题中 WSCredential 时用作唯一用户名的 JSON 属性。
tokenEndpointAuthMethod
  • post
  • basic
post用于将凭证发送至 OpenID Connect 提供程序的令牌端点以便验证客户机的方法。
post
post
basic
basic
inboundPropagation
  • none
  • required
  • supported
none控制 OpenID 依赖方的令牌入站传播的操作。
none
不支持入站令牌传播
required
需要入站令牌传播
supported
支持入站令牌传播
validationMethod
  • introspect
  • userinfo
introspect用于对令牌入站传播进行验证的方法。
introspect
使用令牌自省来验证入站令牌
userinfo
使用 userinfo 端点来验证入站令牌
headerNamestring在请求中携带了入站令牌的头的名称。
validationEndpointUrlstring用于验证令牌入站传播的端点 URL。端点的类型由 validationMethod 决定。
disableIssChecking布尔型false验证 JSON 响应以进行入站令牌传播时,不检查发布者。
authnSessionDisabled布尔型true将不会为入站传播创建认证会话 Cookie。客户机预期会针对每个请求发送一个有效 OAuth 令牌。
disableLtpaCookie布尔型false请勿在处理 OAuth 令牌期间创建 LTPA 令牌。改为创建特定服务提供程序的 cookie。
reAuthnOnAccessTokenExpire布尔型true当用户的认证访问令牌到期,而 disableLtpaCookie 设置为 true 时,请再次认证该用户。
reAuthnCushion具有毫秒精度的时间段0s当用户的令牌将要到期时,要再次认证该用户的时间段。标识令牌的到期时间由其 exp 声明指定。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。
authFilterRef对顶级 authFilter 元素的引用(字符串)。指定认证过滤器参考。
createSession布尔型true指定在当前 HttpSession 不存在的情况下是否创建 HttpSession。
authenticationTimeLimit具有毫秒精度的时间段420s重定向至认证服务器与从认证服务器返回之间的最长持续时间(以毫秒计)。在此持续时间后,cookie 将到期。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。

audiences

根据 JSON Web 令牌中的受众声明验证的可信受众列表。

authFilter

指定认证过滤器参考。

authFilter > webApp

唯一配置标识。

NameTypeDefaultDescription
id字符串唯一配置标识。
namestring指定名称。
matchType
  • contains
  • notContain
  • equals
contains指定匹配类型。
contains
Contains
notContain
Not contain
equals
Equals

authFilter > requestUrl

唯一配置标识。

NameTypeDefaultDescription
id字符串唯一配置标识。
urlPatternstring指定 URL 模式。
matchType
  • contains
  • notContain
  • equals
contains指定匹配类型。
contains
Contains
notContain
Not contain
equals
Equals

authFilter > remoteAddress

唯一配置标识。

NameTypeDefaultDescription
id字符串唯一配置标识。
matchType
  • contains
  • notContain
  • equals
  • lessThan
  • greaterThan
contains指定匹配类型。
contains
Contains
notContain
Not contain
equals
Equals
lessThan
Less than
greaterThan
Greater than
ipstring指定 IP 地址。

authFilter > host

唯一配置标识。

NameTypeDefaultDescription
id字符串唯一配置标识。
namestring指定名称。
matchType
  • contains
  • notContain
  • equals
contains指定匹配类型。
contains
Contains
notContain
Not contain
equals
Equals

authFilter > userAgent

唯一配置标识。

NameTypeDefaultDescription
id字符串唯一配置标识。
agentstring指定用户代理
matchType
  • contains
  • notContain
  • equals
contains指定匹配类型。
contains
Contains
notContain
Not contain
equals
Equals

resource

请求中包含了资源参数。