wsSecurityProvider - WS-Security 提供者 (wsSecurityProvider)

提供者的「Web 服務安全」預設配置。

NameTypeDefaultDescription
ws-security.usernamestring用來建立使用者名稱記號的使用者資訊。
ws-security.callback-handlerstring密碼回呼處理常式的實作類別。
ws-security.encryption.usernamestring存取加密金鑰儲存庫時所使用的別名。
ws-security.signature.usernamestring存取簽章金鑰儲存庫時所使用的別名。
ws-security.enable.nonce.cachebooleantrue是否快取 UsernameToken Nonce。

callerToken

呼叫端記號。

NameTypeDefaultDescription
namestring指定記號名稱。選項有 Usernametoken、X509token、Samltoken。
userIdentifierstring指定 SAML 屬性,以作為主體中的使用者主體名稱。預設值是 NameID 主張。
groupIdentifierstring指定 SAML 屬性,以作為已鑑別主體所屬的群組名稱。沒有預設值。
userUniqueIdentifierstring指定 SAML 屬性,以作為套用至主體中之 WSCredential 時的唯一使用者名稱。預設值與 userIdentifier 屬性值相同。
realmIdentifierstring指定將作為領域名稱的 SAML 屬性。預設值為 issuer。
includeTokenInSubjectbooleantrue指定是否將 SAML 主張包含在主體中。
mapToUserRegistry
  • No
  • Group
  • User
No指定如何將身分對映至登錄使用者。選項是 No、User 和 Group。預設值是 No,表示不使用使用者登錄來建立使用者主體。
No
不將 SAML 身分對映至登錄中的使用者或群組
Group
將 SAML 身分對映至使用者登錄中所定義的群組
User
將 SAML 身分對映至登錄中所定義的使用者
realmNamestring指定當 mapToUserRegistry 設為 No 或 Group 時的網域範圍名稱。
allowCustomCacheKeybooleantrue容許產生自訂快取金鑰,以存取鑑別快取並取得主體。

signatureProperties

必要的簽章配置。

NameTypeDefaultDescription
org.apache.ws.security.crypto.merlin.keystore.typestringJKS、JCEKS 或 PKCS11
org.apache.ws.security.crypto.merlin.keystore.aliasstring要使用的預設金鑰儲存庫別名(如果沒有指定)。
org.apache.ws.security.crypto.merlin.keystore.password可逆的編碼密碼(字串)用來存取金鑰儲存庫檔案的密碼。
org.apache.ws.security.crypto.merlin.filestring金鑰儲存庫的位置
org.apache.ws.security.crypto.merlin.truststore.filestring信任儲存庫的位置
org.apache.ws.security.crypto.merlin.truststore.password可逆的編碼密碼(字串)信任儲存庫密碼。
org.apache.ws.security.crypto.merlin.truststore.typestring信任儲存庫類型。
org.apache.ws.security.crypto.providerstringorg.apache.ws.security.components.crypto.Merlin用來建立 Crypto 實例的提供者。預設為 "org.apache.ws.security.components.crypto.Merlin"。
org.apache.ws.security.crypto.merlin.keystore.providerstring用來載入金鑰儲存庫的提供者。預設為已安裝的提供者。
org.apache.ws.security.crypto.merlin.cert.providerstring用來載入憑證的提供者。預設為金鑰儲存庫提供者。
org.apache.ws.security.crypto.merlin.x509crl.filestring要用的 (X509) CRL 檔的位置。
org.apache.ws.security.crypto.merlin.keystore.private.password可逆的編碼密碼(字串)用來載入私密金鑰的預設密碼。

encryptionProperties

必要的加密配置。

NameTypeDefaultDescription
org.apache.ws.security.crypto.merlin.keystore.typestringJKS、JCEKS 或 PKCS11
org.apache.ws.security.crypto.merlin.keystore.aliasstring要使用的預設金鑰儲存庫別名(如果沒有指定)。
org.apache.ws.security.crypto.merlin.keystore.password可逆的編碼密碼(字串)用來存取金鑰儲存庫檔案的密碼。
org.apache.ws.security.crypto.providerstringorg.apache.ws.security.components.crypto.Merlin用來建立 Crypto 實例的提供者。預設為 "org.apache.ws.security.components.crypto.Merlin"。
org.apache.ws.security.crypto.merlin.filestring金鑰儲存庫的位置
org.apache.ws.security.crypto.merlin.keystore.providerstring用來載入金鑰儲存庫的提供者。預設為已安裝的提供者。
org.apache.ws.security.crypto.merlin.cert.providerstring用來載入憑證的提供者。預設為金鑰儲存庫提供者。
org.apache.ws.security.crypto.merlin.x509crl.filestring要用的 (X509) CRL 檔的位置。
org.apache.ws.security.crypto.merlin.keystore.private.password可逆的編碼密碼(字串)用來載入私密金鑰的預設密碼。
org.apache.ws.security.crypto.merlin.truststore.filestring信任儲存庫的位置
org.apache.ws.security.crypto.merlin.truststore.password可逆的編碼密碼(字串)信任儲存庫密碼。
org.apache.ws.security.crypto.merlin.truststore.typestring信任儲存庫類型。

samlToken

指定一些內容,以用來評估 SAML 主張的可信度和有效性。

NameTypeDefaultDescription
wantAssertionsSignedbooleantrue指出必須簽署此服務提供者所收到的 <saml:Assertion> 元素。
clockSkew精準度是毫秒的時間量5m用來指定驗證 SAML 記號時,所容許的時間偏差(分鐘)。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。
requiredSubjectConfirmationMethod
  • bearer
bearer指定「SAML 主張」中是否需要「主體確認方法」。預設值是 true。
bearer
bearer
timeToLive精準度是毫秒的時間量30m指定一旦未定義 NoOnOrAfter 條件,則「SAML 主張」的預設生命期限。預設值是 30 分鐘。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。

samlToken > audienceRestrictions

指定容許的「SAML 主張」對象。預設值是容許所有對象。