samlWebSso20 - SAML Web SSO 2.0 认证 (samlWebSso20)

控制安全性断言标记语言 Web SSO 2.0 机制的操作。

NameTypeDefaultDescription
id字符串唯一配置标识。
httpsRequired布尔型true访问 SAML WebSSO 服务提供程序端点(例如,acs 或元数据)时强制使用 SSL 通信。
inboundPropagation
  • none
  • required
none控制 Web Service 入站传播的安全性断言标记语言 Web SSO 2.0 机制的操作。
none
%inboundPropagation.none
required
%inboundPropagation.required
wantAssertionsSigned布尔型true指示此服务提供程序接收的 <saml:Assertion> 元素需包含对断言进行签名的“签名”元素的需求。
signatureMethodAlgorithm
  • SHA256
  • SHA1
  • SHA128
SHA256指示此服务提供程序所需的算法。
SHA256
SHA-256 签名算法
SHA1
SHA-1 签名算法
SHA128
%signatureMethodAlgorithm.SHA128
createSession布尔型true指定在当前 HttpSession 不存在的情况下是否创建 HttpSession。
authnRequestsSigned布尔型true指示是否将签署此服务提供程序发送的 <samlp:AuthnRequest> 消息。
includeX509InSPMetadata布尔型true指定是否将 x509 证书包括在 Liberty SP 元数据中。
forceAuthn布尔型false指示 IdP 是否应强制用户重新认证。
isPassive布尔型false指示 IdP 不得控制最终用户界面。
allowCreate布尔型允许 IdP 在请求用户不具有帐户的情况下创建新帐户。
authnContextComparisonType
  • better
  • exact
  • maximum
  • minimum
exact指定了 authnContextClassRef 时,可设置 authnContextComparisonType。
better
强度更高。认证语句中认证上下文强度必须至少比任一指定认证上下文强度高。
exact
精确。认证语句中认证上下文强度必须至少与其中一个指定认证上下文强度正好一样。
maximum
最大值。认证语句中认证上下文的强度必须够强,且不超出至少一个指定认证上下文的强度。
minimum
最小值。认证语句中认证上下文强度必须至少与其中一个指定认证上下文强度一样。
nameIDFormat
  • windowsDomainQualifiedName
  • encrypted
  • unspecified
  • transient
  • x509SubjectName
  • kerberos
  • persistent
  • customize
  • email
  • entity
email指定与 SAML 核心规范中定义的名称标识格式对应的 URI 引用。
windowsDomainQualifiedName
urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName
encrypted
urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
transient
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
x509SubjectName
urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName
kerberos
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
customize
已定制名称标识格式。
email
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
entity
urn:oasis:names:tc:SAML:2.0:nameid-format:entity
customizeNameIDFormatstring指定与 SAML 核心规范中未定义的名称标识格式对应的定制 URI 引用。
idpMetadatastring${server.config.dir}/resources/security/idpMetadata.xml指定 IdP 元数据文件。
keyStoreRef对顶级 keyStore 元素的引用(字符串)。密钥库,包含 AuthnRequest 的签名所需的专用密钥和 EncryptedAssertion 元素的描述。缺省值是服务器的缺省值。
keyAliasstring用于查找签名和加密所需的专用密钥的密钥别名。如果密钥库正好具有一个密钥条目或如果具有一个别名为“samlsp”的密钥,那么这为可选。
loginPageURLstring指定 SAML IdP 登录应用程序 URL,未经认证的请求将重定向到此 URL。此属性可触发 IdP 发起的 SSO,仅 IdP 发起的 SSO 需要此属性。
errorPageURLstring指定在 SAML 验证失败的情况下将显示的错误页面。如果未指定此属性,且收到的 SAML 无效,那么用户将重定向回 SAML IdP 以重新启动 SSO。
clockSkew具有毫秒精度的时间段5m此属性用来指定验证 SAML 令牌时允许的时钟偏差(分钟)。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。
tokenReplayTimeout具有毫秒精度的时间段30m此属性用于指定 Liberty SP 应阻止令牌重放的时间长度。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。
sessionNotOnOrAfter具有毫秒精度的时间段120m指示 SAML 会话持续时间的上限,超出此持续时间,Liberty SP 应请求用户向 IdP 重新认证。如果从 IdP 返回的 SAML 令牌不包含 sessionNotOnOrAfter 断言,那么会使用此属性指定的值。仅当 disableLtpaCookie=true 时,才使用此属性。缺省值为 true。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。
userIdentifierstring指定用作主体集中用户主体名称的 SAML 属性。如果未指定值,那么会使用名称标识 SAML 断言元素值。
groupIdentifierstring指定用作已认证主体所属的组的名称的 SAML 属性。无缺省值。
userUniqueIdentifierstring指定应用到主体集中 WSCredential 时用作唯一用户名的 SAML 属性。缺省值与 userIdentifier 属性值相同。
realmIdentifierstring指定用作域名的 SAML 属性。如果未指定值,那么会使用签发者 SAML 断言元素值。
includeTokenInSubject布尔型true指定是否在主体集中包括 SAML 断言。
mapToUserRegistry
  • No
  • Group
  • User
No指定如何将身份映射至注册表用户。选项为“否”、“用户”和“组”。缺省值为“否”,不会使用用户注册表来创建用户主体集。
No
请勿将 SAML 身份映射至注册表中定义的用户或组
Group
将 SAML 身份映射至用户注册表中定义的组
User
将 SAML 身份映射至注册表中定义的用户
authFilterRef对顶级 authFilter 元素的引用(字符串)。指定认证过滤器参考。
disableLtpaCookie布尔型true请勿在处理 SAML 断言期间创建 LTPA 令牌。改为创建特定服务提供程序的 cookie。
realmNamestringmapToUserRegistry 设置为 No 或 Group 时,指定域名。
authnRequestTime具有毫秒精度的时间段10m指定从服务提供程序生成并发送到 IdP 以请求 SAML 令牌的 authnReuqest 的生存时间段。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。
enabled布尔型true如果为 true,那么服务提供程序处于启用状态;如果为 false,那么服务提供程序处于禁用状态。
allowCustomCacheKey布尔型true允许生成定制高速缓存密钥以访问认证高速缓存和获取主体集。
spHostAndPortstring指定 SAML 服务提供程序主机名和端口号。
reAuthnOnAssertionExpire布尔型falseSAML 声明即将到期时,重新认证新的 HTTP 请求。
reAuthnCushion具有毫秒精度的时间段0mSAML 声明即将到期时,重新认证的时间段,这是通过语句 NotOnOrAfter 或 SAML 声明的属性 SessionNotOnOrAfter 指示的。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。
targetPageUrlstring如果缺少 RelayState,那么缺省登录页面为 IdP 发起的 SSO。如果 useRelayStateForTarget 设置为 false,那么必须将此属性设置为有效 URL。
useRelayStateForTarget布尔型true当执行由 IdP 启动的 SSO 时,此属性指定是否应将 SAMLResponse 中的 relayState 用作目标 URL。如果设置为 false,那么始终将 targetPageUrl 的值用作目标 URL。

authnContextClassRef

标识描述了认证上下文声明的认证上下文类的 URI 引用。缺省值为 null。

pkixTrustEngine

指定用于评估 SAML 响应中 XML 签名的可信度和有效性的 PKIX 信任信息。请勿在 samlWebSso20 中指定多个 pkixTrustEngine。

NameTypeDefaultDescription
trustAnchorRef对顶级 keyStore 元素的引用(字符串)。密钥库,包含在验证 SAMLResponse 和断言的签名时必需的公用密钥。

pkixTrustEngine > trustedIssuers

指定受信任 IdP 签发者的身份。如果值为“ALL_ISSUERS”,那么将信任所有 IdP 身份。

pkixTrustEngine > x509Certificate

唯一配置标识。

NameTypeDefaultDescription
id字符串唯一配置标识。
pathstring指定 x509 证书的路径。

pkixTrustEngine > crl

唯一配置标识。

NameTypeDefaultDescription
id字符串唯一配置标识。
pathstring指定 CRL 的路径。

authFilter

指定认证过滤器参考。

authFilter > webApp

唯一配置标识。

NameTypeDefaultDescription
id字符串唯一配置标识。
namestring指定名称。
matchType
  • contains
  • notContain
  • equals
contains指定匹配类型。
contains
Contains
notContain
Not contain
equals
Equals

authFilter > requestUrl

唯一配置标识。

NameTypeDefaultDescription
id字符串唯一配置标识。
urlPatternstring指定 URL 模式。
matchType
  • contains
  • notContain
  • equals
contains指定匹配类型。
contains
Contains
notContain
Not contain
equals
Equals

authFilter > remoteAddress

唯一配置标识。

NameTypeDefaultDescription
id字符串唯一配置标识。
matchType
  • contains
  • notContain
  • equals
  • lessThan
  • greaterThan
contains指定匹配类型。
contains
Contains
notContain
Not contain
equals
Equals
lessThan
Less than
greaterThan
Greater than
ipstring指定 IP 地址。

authFilter > host

唯一配置标识。

NameTypeDefaultDescription
id字符串唯一配置标识。
namestring指定名称。
matchType
  • contains
  • notContain
  • equals
contains指定匹配类型。
contains
Contains
notContain
Not contain
equals
Equals

authFilter > userAgent

唯一配置标识。

NameTypeDefaultDescription
id字符串唯一配置标识。
agentstring指定用户代理
matchType
  • contains
  • notContain
  • equals
contains指定匹配类型。
contains
Contains
notContain
Not contain
equals
Equals

headerName

用于存储 SAML 令牌的 HTTP 请求的头名称。

audiences

验证 SAML 令牌的受众时受信任的受众列表。如果值为“ANY”,那么将信任所有受众。