openidConnectClient - OpenID Connect-Client (openidConnectClient)

Der OpenID Connect-Client.

NameTypeDefaultDescription
idstringEine eindeutige Konfigurations-ID.
scopetokenTypeopenid profileDer OpenID Connect-Geltungsbereich (gemäß Festlegung in der OpenID Connect-Spezifikation), der für den Provider zulässig ist.
userIdentityToCreateSubjectstringsubGibt eine Benutzer-ID im ID-Token an, die zum Erstellen des Benutzersubjekts verwendet wird.
httpsRequiredbooleantrueGibt an, ob die SSL-Kommunikation zwischen dem OpenID-Relying-Party- und dem Provider-Service erforderlich ist.
grantType
  • implicit
  • authorization_code
authorization_codeGibt den für diesen Client zu verwendenden Granttyp an.
implicit
Impliziter Granttyp
authorization_code
Granttyp für Berechtigungscode
clientIdstringDie Identität (ID) des Clients.
clientSecretUmkehrbar verschlüsseltes Kennwort (string)Der geheime Schlüssel des Clients.
redirectToRPHostAndPortstringGibt einen OpenID-Relying-Party-Host und die zugehörige Portnummer für Umleitungen an.
redirectJunctionPathstringGibt das in die Umleitungs-URL hinter dem Hostnamen und dem Port einzufügende Pfadfragment an. Der Standardwert ist eine leere Zeichenfolge.
isClientSideRedirectSupportedbooleantrueGibt an, ob der Client die Umleitung auf Clientseite unterstützt.
issuerIdentifierstringEine Aussteller-ID ist eine URL mit Berücksichtigung der Groß-/Kleinschreibung, die das HTTPS-Schema verwendet, das die Komponenten Schema und Host und optional die Komponenten Portnummer und Pfad enthält.
mapIdentityToRegistryUserbooleanfalseGibt an, ob die ID einem Registry-Benutzer zugeordnet wird. Wenn die Option auf false gesetzt ist, wird die Benutzerregistry nicht zum Erstellen des Benutzersubjekts verwendet.
trustStoreRefReferenz auf das keyStore-Element (string) der höchsten Ebene.Ein Keystore, der den öffentlichen Schlüssel enthält, der für die Verifizierung der Signatur des ID-Tokens erforderlich ist.
trustAliasNamestringDer Schlüsselaliasname, mit dem der öffentliche Schlüssel für die Signaturvalidierung mit einem asymmetrischen Algorithmus gesucht wird.
nonceEnabledbooleanfalseAktiviert den Nonce-Parameter im Berechtigungscodeablauf.
realmNamestringGibt den Realnamen an, der zum Erstellen des Benutzersubjekts verwendet werden soll, wenn mapIdentityToRegistryUser auf false gesetzt ist.
sslRefReferenz auf das ssl-Element (string) der höchsten Ebene.Gibt an, dass die ID der SSL-Konfiguration verwendet wird, um eine Verbindung zum OpenID Connect-Provider herzustellen.
signatureAlgorithm
  • HS256
  • RS256
  • none
HS256Gibt den Signaturalgorithmus an, der für die Verifizierung der Signatur des ID-Tokens verwendet wird.
HS256
HS256-Signaturalgorithmus zum Signieren und Prüfen von Token verwenden
RS256
RS256-Signaturalgorithmus zum Signieren und Prüfen von Token verwenden
none
Token müssen nicht signiert werden
includeIdTokenInSubjectbooleantrueGibt an, ob das ID-Token in das Clientsubjekt eingeschlossen werden soll.
accessTokenInLtpaCookiebooleanfalseGibt an, ob das LTPA-Token das Zugriffstoken enthält.
initialStateCacheCapacityint
Min: 0
3000Gibt die Anfangskapazität des Zustandscaches an. Die Kapazität wird bei Bedarf automatisch erhöht.
hostNameVerificationEnabledbooleanfalseGibt an, ob die Hostnamensprüfung aktiviert wird.
authorizationEndpointUrlstringGibt die URL für einen Berechtigungsendpunkt an.
tokenEndpointUrlstringGibt die URL für einen Tokenendpunkt an.
jwkEndpointUrlstringGibt die URL für einen JWK-Endpunkt (JSON Web Key) an.
jwkClientIdstringGibt die Client-ID an, die in das Basisauthentifizierungsschema der JWK-Anforderung eingeschlossen werden soll.
jwkClientSecretUmkehrbar verschlüsseltes Kennwort (string)Gibt das Clientkennwort an, das in das Basisauthentifizierungsschema der JWK-Anforderung eingeschlossen werden soll.
responseType
  • id_token token
  • code
  • id_token
  • token
Gibt den erforderlichen Antworttyp für diesen Client an.
id_token token
ID-Token und Zugriffstoken
code
Berechtigungscode
id_token
ID-Token
token
Zugriffstoken
userIdentifierstringGibt ein JSON-Attribut im ID-Token an, das als Benutzerprincipalname im Subjekt verwendet wird. Wenn Sie keinen Wert angeben, wird das JSON-Attribut "sub" verwendet.
groupIdentifierstringgroupIdsGibt ein JSON-Attribut im ID-Token an, das als Name der Gruppe verwendet wird, zu der der authentifizierte Principal gehört.
realmIdentifierstringrealmNameGibt ein JSON-Attribut im ID-Token an, das als Realmname verwendet wird.
uniqueUserIdentifierstringuniqueSecurityNameGibt ein JSON-Attribut im ID-Token an, das als eindeutiger Benutzername für den WSCredential im Subjekt verwendet wird.
tokenEndpointAuthMethod
  • post
  • basic
postDie Methode, die zum Senden von Berechtigungsnachweisen an den Tokenendpunkt des OpenID Connect-Providers für die Authentifizierung des Clients verwendet wird.
post
post
basic
basic
inboundPropagation
  • none
  • required
  • supported
noneSteuert die Operation der Weitergabe eingehender Token der OpenID-Relying-Party.
none
Weitergabe eingehender Token nicht unterstützen
required
Weitergabe eingehender Token erforderlich
supported
Weitergabe eingehender Token unterstützen
validationMethod
  • introspect
  • userinfo
introspectDie Methode für die Validierung der Wiedergabe eingehender Token.
introspect
Eingehende Token durch Tokenintrospektion validieren
userinfo
Eingehende Token mit dem userinfo-Endpunkt validieren
headerNamestringDer Name des Headers, der das eingehende Token in der Anforderung enthält.
validationEndpointUrlstringDie Endpunkt-URL für die Validierung der Weitergabe eingehender Token. Der Endpunkttyp wird von der Validierungsmethode bestimmt.
disableIssCheckingbooleanfalseBei Auswahl dieser Option wird der Aussteller nicht geprüft, während die JSON-Antwort für die Weitergabe eingehender Token validiert wird.
authnSessionDisabledbooleantrueEs wird kein Authentifizierungssitzungscookie für die Weitergabe eingehender Token erstellt. Es wird erwartet, dass der Client für jede Anforderung ein gültiges OAuth-Token sendet.
disableLtpaCookiebooleanfalseWenn Sie diese Option auswählen, wird während der Verarbeitung des OAuth-Tokens kein LTPA-Token erstellt. Stattdessen wird ein Cookie des jeweiligen Service-Providers erstellt.
reAuthnOnAccessTokenExpirebooleantrueGibt an, dass ein Benutzer erneut authentifiziert wird, wenn dessen authentifizierendes Zugriffstoken abläuft und disableLtpaCookie auf true gesetzt ist.
reAuthnCushionZeitraum mit Genauigkeit in Millisekunden0sDer zulässige Zeitraum für die erneute Authentifizierung eines Benutzers, wenn dessen Token ablaufen. Die Ablaufzeit eines ID-Tokens wird mit dem exp-Anspruch angegeben. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden.
authFilterRefReferenz auf das authFilter-Element (string) der höchsten Ebene.Gibt die Referenz des Authentifizierungsfilters an.
createSessionbooleantrueGibt an, ob eine HttpSession erstellt werden soll, wenn die aktuelle HttpSession nicht vorhanden ist.
authenticationTimeLimitZeitraum mit Genauigkeit in Millisekunden420sMaximal zulässige Zeit in Millisekunden für die Umleitung an den Authentifizierungsserver und der Rückgabe vom Authentifizierungsserver. Cookies verfallen nach dieser Zeit. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden.

audiences

Die Liste der vertrauenswürdigen Zielgruppen, mit der der aud-Claim im JSON-Web-Token verglichen wird.

authFilter

Gibt die Referenz des Authentifizierungsfilters an.

authFilter > webApp

Eine eindeutige Konfigurations-ID.

NameTypeDefaultDescription
idstringEine eindeutige Konfigurations-ID.
namestringGibt den Namen an.
matchType
  • contains
  • notContain
  • equals
containsGibt den Abgleichstyp an.
contains
Enthält
notContain
Enthält nicht
equals
Gleich

authFilter > requestUrl

Eine eindeutige Konfigurations-ID.

NameTypeDefaultDescription
idstringEine eindeutige Konfigurations-ID.
urlPatternstringGibt das URL-Muster an.
matchType
  • contains
  • notContain
  • equals
containsGibt den Abgleichstyp an.
contains
Enthält
notContain
Enthält nicht
equals
Gleich

authFilter > remoteAddress

Eine eindeutige Konfigurations-ID.

NameTypeDefaultDescription
idstringEine eindeutige Konfigurations-ID.
matchType
  • contains
  • notContain
  • equals
  • lessThan
  • greaterThan
containsGibt den Abgleichstyp an.
contains
Enthält
notContain
Enthält nicht
equals
Gleich
lessThan
Kleiner als
greaterThan
Größer als
ipstringGibt die IP-Adresse an.

authFilter > host

Eine eindeutige Konfigurations-ID.

NameTypeDefaultDescription
idstringEine eindeutige Konfigurations-ID.
namestringGibt den Namen an.
matchType
  • contains
  • notContain
  • equals
containsGibt den Abgleichstyp an.
contains
Enthält
notContain
Enthält nicht
equals
Gleich

authFilter > userAgent

Eine eindeutige Konfigurations-ID.

NameTypeDefaultDescription
idstringEine eindeutige Konfigurations-ID.
agentstringGibt den Benutzeragenten an.
matchType
  • contains
  • notContain
  • equals
containsGibt den Abgleichstyp an.
contains
Enthält
notContain
Enthält nicht
equals
Gleich

resource

In der Anforderung enthaltene Ressourcenparameter.