samlWebSso20 - Uwierzytelnianie SAML Web SSO 2.0 (samlWebSso20)

Steruje działaniem mechanizmu Security Assertion Markup Language Web SSO 2.0.

NameTypeDefaultDescription
idłańcuchUnikalny identyfikator konfiguracji.
httpsRequiredbooleantrueWymusza użycie komunikacji za pomocą protokołu SSL podczas uzyskiwania dostępu do punktu końcowego dostawcy usług SAML WebSSO, na przykład acs lub metadanych.
inboundPropagation
  • none
  • required
noneSteruje działaniem mechanizmów Security Assertion Markup Language Web SSO 2.0 na potrzeby propagacji danych przychodzących usług WWW.
none
%inboundPropagation.none
required
%inboundPropagation.required
wantAssertionsSignedbooleantrueWskazuje wymaganie, że elementy <saml:Assertion> odebrane przez tego dostawcę usług muszą zawierać element Signature, który służy do podpisywania asercji.
signatureMethodAlgorithm
  • SHA256
  • SHA1
  • SHA128
SHA256Określa algorytm wymagany przez tego dostawcę usług.
SHA256
Algorytm podpisu SHA-256
SHA1
Algorytm podpisu SHA-1
SHA128
%signatureMethodAlgorithm.SHA128
createSessionbooleantrueWskazuje, czy ma zostać utworzona sesja HTTP, jeśli nie istnieje bieżąca sesja HTTP.
authnRequestsSignedbooleantrueWskazuje, czy komunikaty <samlp:AuthnRequest> wysyłane przez tego dostawcę usług będą podpisane.
includeX509InSPMetadatabooleantrueOkreśla, czy dołączyć certyfikat x509 do metadanych dostawcy usług Liberty.
forceAuthnbooleanfalseOkreśla, czy dostawca tożsamości powinien wymuszać ponowne uwierzytelnienie użytkownika.
isPassivebooleanfalseWskazuje, że dostawca tożsamości nie może przejąć kontroli nad interfejsem użytkownika końcowego.
allowCreatebooleanUmożliwia dostawcy tożsamości utworzenie nowego konta, jeśli użytkownik żądający jeszcze go nie ma.
authnContextComparisonType
  • better
  • exact
  • maximum
  • minimum
exactJeśli jest podana wartość właściwości authnContextClassRef, można ustawić właściwość authnContextComparisonType.
better
Lepsza wartość. Kontekst uwierzytelniania w instrukcji uwierzytelniania musi być silniejszy niż jakikolwiek określony kontekst uwierzytelniania.
exact
Równa wartość. Kontekst uwierzytelniania w instrukcji uwierzytelniania musi być dokładnie zgodny z co najmniej jednym z określonych kontekstów uwierzytelniania.
maximum
Wartość maksymalna. Kontekst uwierzytelniania w instrukcji uwierzytelniania musi być tak silny jak to możliwe, ale nie silniejszy niż co najmniej jeden z określonych kontekstów uwierzytelniania.
minimum
Wartość minimalna. Kontekst uwierzytelniania w instrukcji uwierzytelniania musi być co najmniej tak silny, jak jeden z określonych kontekstów uwierzytelniania.
nameIDFormat
  • windowsDomainQualifiedName
  • encrypted
  • unspecified
  • transient
  • x509SubjectName
  • kerberos
  • persistent
  • customize
  • email
  • entity
emailOkreśla odwołanie identyfikatora URI odpowiadające formatowi identyfikatora nazwy zdefiniowanemu w specyfikacji podstawowej SAML.
windowsDomainQualifiedName
urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName
encrypted
urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
transient
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
x509SubjectName
urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName
kerberos
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
customize
Niestandardowy format identyfikatora nazwy.
email
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
entity
urn:oasis:names:tc:SAML:2.0:nameid-format:entity
customizeNameIDFormatstringOkreśla niestandardowe odwołanie identyfikatora URI odpowiadające formatowi identyfikatora nazwy, który nie jest zdefiniowany w specyfikacji podstawowej SAML.
idpMetadatastring${server.config.dir}/resources/security/idpMetadata.xmlOkreśla plik metadanych dostawcy tożsamości.
keyStoreRefOdwołanie do elementu keyStore najwyższego poziomu (łańcuch).Magazyn kluczy zawierający klucz prywatny do podpisywania żądania uwierzytelnienia i do deszyfrowania elementu EncryptedAssertion. Wartością domyślną jest wartość domyślna serwera.
keyAliasstringAlias klucza służący do znajdowania klucza prywatnego używanego do podpisywania i deszyfrowania. Jest on opcjonalny, jeśli magazyn kluczy ma dokładnie jeden wpis klucza lub jeśli ma jeden klucz o aliasie samlsp.
loginPageURLstringOkreśla adres URL aplikacji logowania dostawcy tożsamości SAML, do którego przekierowywane jest nieuwierzytelnione żądanie. Ten atrybut wyzwala logowanie SSO inicjowane przez dostawcę tożsamości. Jest wymagany tylko na potrzeby logowania SSO inicjowanego przez dostawcę tożsamości.
errorPageURLstringOkreśla stronę błędu wyświetlaną w przypadku niepowodzenia sprawdzania poprawności SAML. Jeśli atrybut ten nie jest określony, a odebrany komunikat SAML jest niepoprawny, użytkownik zostanie przekierowany z powrotem do dostawcy tożsamości SAML w celu zrestartowania funkcji pojedynczego logowania SSO.
clockSkewOkres z dokładnością do milisekundy5mTen parametr jest używany do określenia dozwolonego przesunięcia zegara (w minutach) podczas sprawdzania poprawności znacznika SAML. Określ dodatnią liczbę całkowitą, po której następuje jednostka czasu, taka jak godziny (h), minuty (m), sekundy (s) lub milisekundy (ms). Na przykład określ 500 milisekund jako 500ms. W pojedynczej pozycji można zawrzeć wiele wartości. Na przykład 1s500ms oznacza 1,5 sekundy.
tokenReplayTimeoutOkres z dokładnością do milisekundy30mTa właściwość jest używana do określania, jak długo dostawca usług Liberty powinien zapobiegać ponownemu odtwarzaniu znacznika. Określ dodatnią liczbę całkowitą, po której następuje jednostka czasu, taka jak godziny (h), minuty (m), sekundy (s) lub milisekundy (ms). Na przykład określ 500 milisekund jako 500ms. W pojedynczej pozycji można zawrzeć wiele wartości. Na przykład 1s500ms oznacza 1,5 sekundy.
sessionNotOnOrAfterOkres z dokładnością do milisekundy120mOkreśla górną granicę czasu trwania sesji SAML, po upływie którego dostawca usług Liberty powinien poprosić użytkownika o ponowne uwierzytelnienie w dostawcy tożsamości. Jeśli znacznik SAML zwrócony z dostawcy tożsamości nie zawiera asercji sessionNotOnOrAfter, używana jest wartość określona przez ten atrybut. Ta właściwość jest używana tylko wtedy, gdy disableLtpaCookie=true. Domyślną wartością jest true (prawda). Określ dodatnią liczbę całkowitą, po której następuje jednostka czasu, taka jak godziny (h), minuty (m), sekundy (s) lub milisekundy (ms). Na przykład określ 500 milisekund jako 500ms. W pojedynczej pozycji można zawrzeć wiele wartości. Na przykład 1s500ms oznacza 1,5 sekundy.
userIdentifierstringOkreśla atrybut SAML używany jako nazwa użytkownika w podmiocie. Jeśli użytkownik nie określi żadnej wartości, zostanie użyta wartość elementu asercji SAML NameID.
groupIdentifierstringOkreśla atrybut SAML używany jako nazwa grupy, której członkiem jest uwierzytelniona nazwa użytkownika. Brak wartości domyślnej.
userUniqueIdentifierstringOkreśla atrybut SAML używany jako unikalna nazwa użytkownika stosowana na potrzeby referencji WSCredential w podmiocie. Wartość domyślna jest taka sama jak wartość atrybutu userIdentifier.
realmIdentifierstringOkreśla atrybut SAML używany jako nazwa dziedziny. Jeśli użytkownik nie określi żadnej wartości, zostanie użyta wartość elementu asercji SAML Issuer.
includeTokenInSubjectbooleantrueOkreśla, czy należy w podmiocie uwzględnić asercję SAML.
mapToUserRegistry
  • No
  • Group
  • User
NoWskazuje sposób odwzorowania tożsamości na użytkownika z rejestru. Dostępne są opcje: Nie, Użytkownik i Grupa. Wartość domyślna to Nie, co oznacza, że rejestr użytkowników nie jest używany do tworzenia podmiotu użytkownika.
No
Nie odwzorowuj tożsamości SAML na użytkownika ani grupę w rejestrze
Group
Odwzoruj tożsamość SAML na grupę zdefiniowaną w rejestrze użytkowników
User
Odwzoruj tożsamość SAML na użytkownika zdefiniowanego w rejestrze
authFilterRefOdwołanie do elementu authFilter najwyższego poziomu (łańcuch).Określa odwołanie do filtru uwierzytelniania.
disableLtpaCookiebooleantrueNie twórz znacznika LTPA podczas przetwarzania asercji SAML. Zamiast tego utwórz plik cookie konkretnego dostawcy usług.
realmNamestringPodaje nazwę dziedziny, jeśli właściwość mapToUserRegistry ma ustawioną wartość No (Nie) lub Group (Grupa).
authnRequestTimeOkres z dokładnością do milisekundy10mOkreśla czas życia żądania uwierzytelnienia, które jest generowane i wysyłane z dostawcy usług do dostawcy tożsamości w celu zażądania znacznika SAML. Określ dodatnią liczbę całkowitą, po której następuje jednostka czasu, taka jak godziny (h), minuty (m), sekundy (s) lub milisekundy (ms). Na przykład określ 500 milisekund jako 500ms. W pojedynczej pozycji można zawrzeć wiele wartości. Na przykład 1s500ms oznacza 1,5 sekundy.
enabledbooleantrueJeśli ma wartość true, dostawca usług jest włączony. Jeśli ma wartość false, dostawca usług jest wyłączony.
allowCustomCacheKeybooleantrueUmożliwia generowanie niestandardowego klucza pamięci podręcznej w celu uzyskania dostępu do pamięci podręcznej uwierzytelniania i pobrania podmiotu.
spHostAndPortstringOkreśla nazwę hosta i numer portu dostawcy usług SAML.
reAuthnOnAssertionExpirebooleanfalsePonownie uwierzytelnij przychodzące żądanie HTTP, gdy asercja SAML ma wkrótce utracić ważność.
reAuthnCushionOkres z dokładnością do milisekundy0mCzas, w którym ma nastąpić ponowne uwierzytelnienie, gdy asercja SAML wkrótce utraci ważność, co jest wskazywane przez instrukcję NotOnOrAfter lub atrybut SessionNotOnOrAfter asercji SAML. Określ dodatnią liczbę całkowitą, po której następuje jednostka czasu, taka jak godziny (h), minuty (m), sekundy (s) lub milisekundy (ms). Na przykład określ 500 milisekund jako 500ms. W pojedynczej pozycji można zawrzeć wiele wartości. Na przykład 1s500ms oznacza 1,5 sekundy.
targetPageUrlstringDomyślna strona docelowa pojedynczego logowania inicjowanego przez dostawcę tożsamości, jeśli brakuje parametru relayState. Jeśli parametr useRelayStateForTarget ma wartość false, ta właściwość musi być ustawiona na poprawny adres URL.
useRelayStateForTargetbooleantruePodczas wykonywania pojedynczego logowania inicjowanego przez dostawcę tożsamości ta właściwość określa, czy jako docelowy adres URL ma zostać użyty parametr relayState w komunikacie SAMLResponse. W przypadku ustawienia wartości false wartość atrybutu targetPageUrl jest zawsze używana jako docelowy adres URL.

authnContextClassRef

Odwołanie identyfikatora URI identyfikujące klasę kontekstu uwierzytelniania, która opisuje deklarację kontekstu uwierzytelniania. Wartością domyślną jest NULL.

pkixTrustEngine

Podaje informacje o zaufaniu PKIX, które są używane do oceniania wiarygodności i ważności podpisów XML w odpowiedzi SAML. Nie należy określać wielu mechanizmów pkixTrustEngine w elemencie samlWebSso20.

NameTypeDefaultDescription
trustAnchorRefOdwołanie do elementu keyStore najwyższego poziomu (łańcuch).Magazyn kluczy zawierający klucz publiczny niezbędny do sprawdzenia podpisu odpowiedzi SAML i asercji.

pkixTrustEngine > trustedIssuers

Wskazuje tożsamości zaufanych wystawców dostawców tożsamości. Jeśli wartością jest ALL_ISSUERS, wówczas wszystkie tożsamości dostawców tożsamości są zaufane.

pkixTrustEngine > x509Certificate

Unikalny identyfikator konfiguracji.

NameTypeDefaultDescription
idłańcuchUnikalny identyfikator konfiguracji.
pathstringOkreśla ścieżkę do certyfikatu x509.

pkixTrustEngine > crl

Unikalny identyfikator konfiguracji.

NameTypeDefaultDescription
idłańcuchUnikalny identyfikator konfiguracji.
pathstringOkreśla ścieżkę do listy CRL.

authFilter

Określa odwołanie do filtru uwierzytelniania.

authFilter > webApp

Unikalny identyfikator konfiguracji.

NameTypeDefaultDescription
idłańcuchUnikalny identyfikator konfiguracji.
namestringOkreśla nazwę.
matchType
  • contains
  • notContain
  • equals
containsOkreśla typ zgodności.
contains
zawiera
notContain
nie zawiera
equals
jest równe

authFilter > requestUrl

Unikalny identyfikator konfiguracji.

NameTypeDefaultDescription
idłańcuchUnikalny identyfikator konfiguracji.
urlPatternstringOkreśla wzorzec adresów URL.
matchType
  • contains
  • notContain
  • equals
containsOkreśla typ zgodności.
contains
zawiera
notContain
nie zawiera
equals
jest równe

authFilter > remoteAddress

Unikalny identyfikator konfiguracji.

NameTypeDefaultDescription
idłańcuchUnikalny identyfikator konfiguracji.
matchType
  • contains
  • notContain
  • equals
  • lessThan
  • greaterThan
containsOkreśla typ zgodności.
contains
zawiera
notContain
nie zawiera
equals
jest równe
lessThan
jest mniejsze niż
greaterThan
jest większe niż
ipstringOkreśla adres IP.

authFilter > host

Unikalny identyfikator konfiguracji.

NameTypeDefaultDescription
idłańcuchUnikalny identyfikator konfiguracji.
namestringOkreśla nazwę.
matchType
  • contains
  • notContain
  • equals
containsOkreśla typ zgodności.
contains
zawiera
notContain
nie zawiera
equals
jest równe

authFilter > userAgent

Unikalny identyfikator konfiguracji.

NameTypeDefaultDescription
idłańcuchUnikalny identyfikator konfiguracji.
agentstringOkreśla agent użytkownika
matchType
  • contains
  • notContain
  • equals
containsOkreśla typ zgodności.
contains
zawiera
notContain
nie zawiera
equals
jest równe

headerName

Nazwa nagłówka żądania HTTP przechowującego znacznik SAML.

audiences

Lista zaufanych odbiorców na potrzeby weryfikacji odbiorców znacznika SAML. W przypadku wartości ANY wszyscy odbiorcy są zaufani.