wsSecurityProvider - Dostawca zabezpieczeń WS-Security (wsSecurityProvider)

Konfiguracja domyślna dostawcy zabezpieczeń usług WWW.

NameTypeDefaultDescription
ws-security.usernamestringInformacje o użytkowniku w celu utworzenia znacznika nazwy użytkownika.
ws-security.callback-handlerstringKlasa implementacji procedury obsługi wywołania zwrotnego hasła.
ws-security.encryption.usernamestringAlias używany do uzyskiwania dostępu do magazynu kluczy szyfrowania.
ws-security.signature.usernamestringAlias używany do uzyskiwania dostępu do magazynu kluczy podpisu.
ws-security.enable.nonce.cachebooleantrueOkreśla, czy buforować wartości jednorazowe UsernameToken.

callerToken

Znacznik programu wywołującego.

NameTypeDefaultDescription
namestringPodaj nazwę znacznika. Dostępne opcje: Usernametoken, X509token, Samltoken.
userIdentifierstringOkreśla atrybut SAML używany jako nazwa użytkownika w podmiocie. Wartością domyślną jest asercja NameID.
groupIdentifierstringOkreśla atrybut SAML używany jako nazwa grupy, której członkiem jest uwierzytelniona nazwa użytkownika. Brak wartości domyślnej.
userUniqueIdentifierstringOkreśla atrybut SAML używany jako unikalna nazwa użytkownika stosowana na potrzeby referencji WSCredential w podmiocie. Wartość domyślna jest taka sama jak wartość atrybutu userIdentifier.
realmIdentifierstringOkreśla atrybut SAML używany jako nazwa dziedziny. Wartością domyślną jest atrybut issuer.
includeTokenInSubjectbooleantrueOkreśla, czy należy w podmiocie uwzględnić asercję SAML.
mapToUserRegistry
  • No
  • Group
  • User
NoWskazuje sposób odwzorowania tożsamości na użytkownika z rejestru. Dostępne są opcje: Nie, Użytkownik i Grupa. Wartość domyślna to Nie, co oznacza, że rejestr użytkowników nie jest używany do tworzenia podmiotu użytkownika.
No
Nie odwzorowuj tożsamości SAML na użytkownika ani grupę w rejestrze
Group
Odwzoruj tożsamość SAML na grupę zdefiniowaną w rejestrze użytkowników
User
Odwzoruj tożsamość SAML na użytkownika zdefiniowanego w rejestrze
realmNamestringPodaje nazwę dziedziny, jeśli właściwość mapToUserRegistry ma ustawioną wartość No (Nie) lub Group (Grupa).
allowCustomCacheKeybooleantrueUmożliwia generowanie niestandardowego klucza pamięci podręcznej w celu uzyskania dostępu do pamięci podręcznej uwierzytelniania i pobrania podmiotu.

signatureProperties

Konfiguracja wymaganego podpisu.

NameTypeDefaultDescription
org.apache.ws.security.crypto.merlin.keystore.typestringJKS, JCEKS lub PKCS11
org.apache.ws.security.crypto.merlin.keystore.aliasstringDomyślny alias magazynu kluczy, który ma być używany, jeśli nie zostanie określony inny.
org.apache.ws.security.crypto.merlin.keystore.passwordHasło zakodowane odwracalnie (łańcuch)Hasło umożliwiające uzyskanie dostępu do pliku kluczy.
org.apache.ws.security.crypto.merlin.filestringPołożenie magazynu kluczy
org.apache.ws.security.crypto.merlin.truststore.filestringPołożenie magazynu zaufanych certyfikatów.
org.apache.ws.security.crypto.merlin.truststore.passwordHasło zakodowane odwracalnie (łańcuch)Hasło magazynu zaufanych certyfikatów.
org.apache.ws.security.crypto.merlin.truststore.typestringTyp magazynu zaufanych certyfikatów.
org.apache.ws.security.crypto.providerstringorg.apache.ws.security.components.crypto.MerlinDostawca służący do tworzenia instancji interfejsu Crypto. Wartość domyślna: org.apache.ws.security.components.crypto.Merlin.
org.apache.ws.security.crypto.merlin.keystore.providerstringDostawca służący do ładowania magazynów kluczy. Domyślnie jest to zainstalowany dostawca.
org.apache.ws.security.crypto.merlin.cert.providerstringDostawca służący do ładowania certyfikatów. Domyślnie jest to dostawca magazynu kluczy.
org.apache.ws.security.crypto.merlin.x509crl.filestringPołożenie pliku listy odwołań certyfikatów X509 do użycia.
org.apache.ws.security.crypto.merlin.keystore.private.passwordHasło zakodowane odwracalnie (łańcuch)Domyślne hasło umożliwiające ładowanie klucza prywatnego.

encryptionProperties

Konfiguracja wymaganego szyfrowania.

NameTypeDefaultDescription
org.apache.ws.security.crypto.merlin.keystore.typestringJKS, JCEKS lub PKCS11
org.apache.ws.security.crypto.merlin.keystore.aliasstringDomyślny alias magazynu kluczy, który ma być używany, jeśli nie zostanie określony inny.
org.apache.ws.security.crypto.merlin.keystore.passwordHasło zakodowane odwracalnie (łańcuch)Hasło umożliwiające uzyskanie dostępu do pliku kluczy.
org.apache.ws.security.crypto.providerstringorg.apache.ws.security.components.crypto.MerlinDostawca służący do tworzenia instancji interfejsu Crypto. Wartość domyślna: org.apache.ws.security.components.crypto.Merlin.
org.apache.ws.security.crypto.merlin.filestringPołożenie magazynu kluczy
org.apache.ws.security.crypto.merlin.keystore.providerstringDostawca służący do ładowania magazynów kluczy. Domyślnie jest to zainstalowany dostawca.
org.apache.ws.security.crypto.merlin.cert.providerstringDostawca służący do ładowania certyfikatów. Domyślnie jest to dostawca magazynu kluczy.
org.apache.ws.security.crypto.merlin.x509crl.filestringPołożenie pliku listy odwołań certyfikatów X509 do użycia.
org.apache.ws.security.crypto.merlin.keystore.private.passwordHasło zakodowane odwracalnie (łańcuch)Domyślne hasło umożliwiające ładowanie klucza prywatnego.
org.apache.ws.security.crypto.merlin.truststore.filestringPołożenie magazynu zaufanych certyfikatów.
org.apache.ws.security.crypto.merlin.truststore.passwordHasło zakodowane odwracalnie (łańcuch)Hasło magazynu zaufanych certyfikatów.
org.apache.ws.security.crypto.merlin.truststore.typestringTyp magazynu zaufanych certyfikatów.

samlToken

Określa właściwości używane do oceny wiarygodności i ważności asercji SAML.

NameTypeDefaultDescription
wantAssertionsSignedbooleantrueWskazuje wymaganie, że elementy <saml:Assertion> odebrane przez tego dostawcę usług muszą być podpisane.
clockSkewOkres z dokładnością do milisekundy5mTen parametr jest używany do określenia dozwolonego przesunięcia zegara (w minutach) podczas sprawdzania poprawności znacznika SAML. Określ dodatnią liczbę całkowitą, po której następuje jednostka czasu, taka jak godziny (h), minuty (m), sekundy (s) lub milisekundy (ms). Na przykład określ 500 milisekund jako 500ms. W pojedynczej pozycji można zawrzeć wiele wartości. Na przykład 1s500ms oznacza 1,5 sekundy.
requiredSubjectConfirmationMethod
  • bearer
bearerOkreśl, czy w asercji SAML jest wymagana metoda potwierdzenia podmiotu. Wartość domyślna to true.
bearer
bearer
timeToLiveOkres z dokładnością do milisekundy30mOkreśl domyślny czas życia asercji SAML w przypadku, gdy nie definiuje ona warunku NoOnOrAfter. Wartość domyślna: 30 minut. Określ dodatnią liczbę całkowitą, po której następuje jednostka czasu, taka jak godziny (h), minuty (m), sekundy (s) lub milisekundy (ms). Na przykład określ 500 milisekund jako 500ms. W pojedynczej pozycji można zawrzeć wiele wartości. Na przykład 1s500ms oznacza 1,5 sekundy.

samlToken > audienceRestrictions

Określa dozwolonych odbiorców asercji SAML. Domyślnie dozwoleni są wszyscy odbiorcy.