Конфигурация по умолчанию защиты веб-служб для провайдера.
Name | Type | Default | Description |
---|---|---|---|
ws-security.username | string | Информация о пользователе для создания ключа с именем пользователя. | |
ws-security.callback-handler | string | Класс реализации обработчика обратных вызовов паролей. | |
ws-security.encryption.username | string | Псевдоним, используемый для доступа к хранилищу ключей шифрования. | |
ws-security.signature.username | string | Псевдоним, используемый для доступа к хранилищу ключей подписей. | |
ws-security.enable.nonce.cache | boolean | true | Указывает, следует ли кэшировать одноразовые строки UsernameToken. |
Ключ инициатора.
Name | Type | Default | Description |
---|---|---|---|
name | string | Укажите имя маркера. Значения: Usernametoken, X509token, Samltoken. | |
userIdentifier | string | Задает атрибут SAML, который будет использоваться в качестве имени субъекта. По умолчанию применяется утверждение NameID. | |
groupIdentifier | string | Задает атрибут SAML, который будет использоваться как имя группы, которой принадлежит идентифицированный субъект. Значение по умолчанию не предусмотрено. | |
userUniqueIdentifier | string | Задает атрибут SAML, который будет использоваться в качестве уникального имени пользователя для WSCredential в субъекте. Значение по умолчанию совпадает со значением атрибута userIdentifier. | |
realmIdentifier | string | Задает атрибут SAML, который будет использоваться в качестве имени области. По умолчанию применяется отправитель. | |
includeTokenInSubject | boolean | true | Указывает, следует ли включить утверждение SAML в субъект. |
mapToUserRegistry |
| No | Указывает, как связать идентификатор с пользователем из реестра. Значения: No, User и Group. Значение по умолчанию - No, то есть реестр пользователя не используется для создания субъекта пользователя. No Не связывать идентификатор SAML с пользователем или группой из реестра Group Связать идентификатор SAML с группой из реестра User Связать идентификатор SAML с пользователем из реестра |
realmName | string | Указывает имя области, если значением mapToUserRegistry является Нет или Группа. | |
allowCustomCacheKey | boolean | true | Разрешить создание пользовательского ключа кэша для доступа к кэшу идентификации и получения субъекта. |
Требуемая конфигурация подписи.
Name | Type | Default | Description |
---|---|---|---|
org.apache.ws.security.crypto.merlin.keystore.type | string | JKS, JCEKS или PKCS11 | |
org.apache.ws.security.crypto.merlin.keystore.alias | string | Псевдоним хранилища ключей по умолчанию (для применения, если ничего не указано). | |
org.apache.ws.security.crypto.merlin.keystore.password | Пароль с обратимым шифрованием (строка) | Пароль для доступа к файлу хранилища ключей. | |
org.apache.ws.security.crypto.merlin.file | string | Расположение хранилища ключей | |
org.apache.ws.security.crypto.merlin.truststore.file | string | Расположение хранилища доверенных сертификатов | |
org.apache.ws.security.crypto.merlin.truststore.password | Пароль с обратимым шифрованием (строка) | Пароль хранилища доверенных сертификатов. | |
org.apache.ws.security.crypto.merlin.truststore.type | string | Тип хранилища доверенных сертификатов. | |
org.apache.ws.security.crypto.provider | string | org.apache.ws.security.components.crypto.Merlin | Поставщик применяется для создания экземпляров Crypto. По умолчанию применяется значение "org.apache.ws.security.components.crypto.Merlin". |
org.apache.ws.security.crypto.merlin.keystore.provider | string | Поставщик, применяемый для загрузки хранилища ключей. По умолчанию применяется установленный поставщик. | |
org.apache.ws.security.crypto.merlin.cert.provider | string | Поставщик, применяемый для загрузки сертификатов. По умолчанию применяется поставщик хранилища ключей. | |
org.apache.ws.security.crypto.merlin.x509crl.file | string | Расположение файла CRL (X509) для работы. | |
org.apache.ws.security.crypto.merlin.keystore.private.password | Пароль с обратимым шифрованием (строка) | Пароль по умолчанию для загрузки личного ключа. |
Требуемая конфигурация шифрования.
Name | Type | Default | Description |
---|---|---|---|
org.apache.ws.security.crypto.merlin.keystore.type | string | JKS, JCEKS или PKCS11 | |
org.apache.ws.security.crypto.merlin.keystore.alias | string | Псевдоним хранилища ключей по умолчанию (для применения, если ничего не указано). | |
org.apache.ws.security.crypto.merlin.keystore.password | Пароль с обратимым шифрованием (строка) | Пароль для доступа к файлу хранилища ключей. | |
org.apache.ws.security.crypto.provider | string | org.apache.ws.security.components.crypto.Merlin | Поставщик применяется для создания экземпляров Crypto. По умолчанию применяется значение "org.apache.ws.security.components.crypto.Merlin". |
org.apache.ws.security.crypto.merlin.file | string | Расположение хранилища ключей | |
org.apache.ws.security.crypto.merlin.keystore.provider | string | Поставщик, применяемый для загрузки хранилища ключей. По умолчанию применяется установленный поставщик. | |
org.apache.ws.security.crypto.merlin.cert.provider | string | Поставщик, применяемый для загрузки сертификатов. По умолчанию применяется поставщик хранилища ключей. | |
org.apache.ws.security.crypto.merlin.x509crl.file | string | Расположение файла CRL (X509) для работы. | |
org.apache.ws.security.crypto.merlin.keystore.private.password | Пароль с обратимым шифрованием (строка) | Пароль по умолчанию для загрузки личного ключа. | |
org.apache.ws.security.crypto.merlin.truststore.file | string | Расположение хранилища доверенных сертификатов | |
org.apache.ws.security.crypto.merlin.truststore.password | Пароль с обратимым шифрованием (строка) | Пароль хранилища доверенных сертификатов. | |
org.apache.ws.security.crypto.merlin.truststore.type | string | Тип хранилища доверенных сертификатов. |
Задает свойства, применяемые для оценки надежности и правильности утверждений SAML.
Name | Type | Default | Description |
---|---|---|---|
wantAssertionsSigned | boolean | true | Указывает, что элементы <saml:Assertion>, получаемые данным поставщиком служб, должны быть подписаны. |
clockSkew | Период (с точностью до миллисекунды) | 5m | Это используется для указания допустимого расхождения значений времени в минутах при проверке ключа SAML. Укажите положительное целое число, за которым следует единица времени: часы (h), минуты (m), секунды (s) или миллисекунды (ms). Например, укажите 500 миллисекунд как 500ms. Одна запись может включать несколько значений. Так, 1s500ms равно 1,5 сек. |
requiredSubjectConfirmationMethod |
| bearer | Укажите, требуется ли в утверждении SAML способ подтверждения субъекта. Значение по умолчанию - true. bearer bearer |
timeToLive | Период (с точностью до миллисекунды) | 30m | Кроме того, срок действия утверждения SAML по умолчанию, если в нем не задано условие NoOnOrAfter. Значение по умолчанию: 30 минут. Укажите положительное целое число, за которым следует единица времени: часы (h), минуты (m), секунды (s) или миллисекунды (ms). Например, укажите 500 миллисекунд как 500ms. Одна запись может включать несколько значений. Так, 1s500ms равно 1,5 сек. |
samlToken > audienceRestrictions
Укажите допустимые аудитории для утверждения SAML. По умолчанию разрешены все аудитории.