Der OpenID Connect-Client.
Name | Type | Default | Description |
---|---|---|---|
id | string | Eine eindeutige Konfigurations-ID. | |
scope | tokenType | openid profile | Der OpenID Connect-Geltungsbereich (gemäß Festlegung in der OpenID Connect-Spezifikation), der für den Provider zulässig ist. |
userIdentityToCreateSubject | string | sub | Gibt eine Benutzer-ID im ID-Token an, die zum Erstellen des Benutzersubjekts verwendet wird. |
httpsRequired | boolean | true | Gibt an, ob die SSL-Kommunikation zwischen dem OpenID-Relying-Party- und dem Provider-Service erforderlich ist. |
grantType |
| authorization_code | Gibt den für diesen Client zu verwendenden Granttyp an. implicit Impliziter Granttyp authorization_code Granttyp für Berechtigungscode |
clientId | string | Die Identität (ID) des Clients. | |
clientSecret | Umkehrbar verschlüsseltes Kennwort (string) | Der geheime Schlüssel des Clients. | |
redirectToRPHostAndPort | string | Gibt einen OpenID-Relying-Party-Host und die zugehörige Portnummer für Umleitungen an. | |
redirectJunctionPath | string | Gibt das in die Umleitungs-URL hinter dem Hostnamen und dem Port einzufügende Pfadfragment an. Der Standardwert ist eine leere Zeichenfolge. | |
isClientSideRedirectSupported | boolean | true | Gibt an, ob der Client die Umleitung auf Clientseite unterstützt. |
issuerIdentifier | string | Eine Aussteller-ID ist eine URL mit Berücksichtigung der Groß-/Kleinschreibung, die das HTTPS-Schema verwendet, das die Komponenten Schema und Host und optional die Komponenten Portnummer und Pfad enthält. | |
mapIdentityToRegistryUser | boolean | false | Gibt an, ob die ID einem Registry-Benutzer zugeordnet wird. Wenn die Option auf false gesetzt ist, wird die Benutzerregistry nicht zum Erstellen des Benutzersubjekts verwendet. |
trustStoreRef | Referenz auf das keyStore-Element (string) der höchsten Ebene. | Ein Keystore, der den öffentlichen Schlüssel enthält, der für die Verifizierung der Signatur des ID-Tokens erforderlich ist. | |
trustAliasName | string | Der Schlüsselaliasname, mit dem der öffentliche Schlüssel für die Signaturvalidierung mit einem asymmetrischen Algorithmus gesucht wird. | |
nonceEnabled | boolean | false | Aktiviert den Nonce-Parameter im Berechtigungscodeablauf. |
realmName | string | Gibt den Realnamen an, der zum Erstellen des Benutzersubjekts verwendet werden soll, wenn mapIdentityToRegistryUser auf false gesetzt ist. | |
sslRef | Referenz auf das ssl-Element (string) der höchsten Ebene. | Gibt an, dass die ID der SSL-Konfiguration verwendet wird, um eine Verbindung zum OpenID Connect-Provider herzustellen. | |
signatureAlgorithm |
| HS256 | Gibt den Signaturalgorithmus an, der für die Verifizierung der Signatur des ID-Tokens verwendet wird. HS256 HS256-Signaturalgorithmus zum Signieren und Prüfen von Token verwenden RS256 RS256-Signaturalgorithmus zum Signieren und Prüfen von Token verwenden none Token müssen nicht signiert werden |
includeIdTokenInSubject | boolean | true | Gibt an, ob das ID-Token in das Clientsubjekt eingeschlossen werden soll. |
accessTokenInLtpaCookie | boolean | false | Gibt an, ob das LTPA-Token das Zugriffstoken enthält. |
initialStateCacheCapacity | int Min: 0 | 3000 | Gibt die Anfangskapazität des Zustandscaches an. Die Kapazität wird bei Bedarf automatisch erhöht. |
hostNameVerificationEnabled | boolean | false | Gibt an, ob die Hostnamensprüfung aktiviert wird. |
authorizationEndpointUrl | string | Gibt die URL für einen Berechtigungsendpunkt an. | |
tokenEndpointUrl | string | Gibt die URL für einen Tokenendpunkt an. | |
jwkEndpointUrl | string | Gibt die URL für einen JWK-Endpunkt (JSON Web Key) an. | |
jwkClientId | string | Gibt die Client-ID an, die in das Basisauthentifizierungsschema der JWK-Anforderung eingeschlossen werden soll. | |
jwkClientSecret | Umkehrbar verschlüsseltes Kennwort (string) | Gibt das Clientkennwort an, das in das Basisauthentifizierungsschema der JWK-Anforderung eingeschlossen werden soll. | |
responseType |
| Gibt den erforderlichen Antworttyp für diesen Client an. id_token token ID-Token und Zugriffstoken code Berechtigungscode id_token ID-Token token Zugriffstoken | |
userIdentifier | string | Gibt ein JSON-Attribut im ID-Token an, das als Benutzerprincipalname im Subjekt verwendet wird. Wenn Sie keinen Wert angeben, wird das JSON-Attribut "sub" verwendet. | |
groupIdentifier | string | groupIds | Gibt ein JSON-Attribut im ID-Token an, das als Name der Gruppe verwendet wird, zu der der authentifizierte Principal gehört. |
realmIdentifier | string | realmName | Gibt ein JSON-Attribut im ID-Token an, das als Realmname verwendet wird. |
uniqueUserIdentifier | string | uniqueSecurityName | Gibt ein JSON-Attribut im ID-Token an, das als eindeutiger Benutzername für den WSCredential im Subjekt verwendet wird. |
tokenEndpointAuthMethod |
| post | Die Methode, die zum Senden von Berechtigungsnachweisen an den Tokenendpunkt des OpenID Connect-Providers für die Authentifizierung des Clients verwendet wird. post post basic basic |
inboundPropagation |
| none | Steuert die Operation der Weitergabe eingehender Token der OpenID-Relying-Party. none Weitergabe eingehender Token nicht unterstützen required Weitergabe eingehender Token erforderlich supported Weitergabe eingehender Token unterstützen |
validationMethod |
| introspect | Die Methode für die Validierung der Wiedergabe eingehender Token. introspect Eingehende Token durch Tokenintrospektion validieren userinfo Eingehende Token mit dem userinfo-Endpunkt validieren |
headerName | string | Der Name des Headers, der das eingehende Token in der Anforderung enthält. | |
validationEndpointUrl | string | Die Endpunkt-URL für die Validierung der Weitergabe eingehender Token. Der Endpunkttyp wird von der Validierungsmethode bestimmt. | |
disableIssChecking | boolean | false | Bei Auswahl dieser Option wird der Aussteller nicht geprüft, während die JSON-Antwort für die Weitergabe eingehender Token validiert wird. |
authnSessionDisabled | boolean | true | Es wird kein Authentifizierungssitzungscookie für die Weitergabe eingehender Token erstellt. Es wird erwartet, dass der Client für jede Anforderung ein gültiges OAuth-Token sendet. |
disableLtpaCookie | boolean | false | Wenn Sie diese Option auswählen, wird während der Verarbeitung des OAuth-Tokens kein LTPA-Token erstellt. Stattdessen wird ein Cookie des jeweiligen Service-Providers erstellt. |
reAuthnOnAccessTokenExpire | boolean | true | Gibt an, dass ein Benutzer erneut authentifiziert wird, wenn dessen authentifizierendes Zugriffstoken abläuft und disableLtpaCookie auf true gesetzt ist. |
reAuthnCushion | Zeitraum mit Genauigkeit in Millisekunden | 0s | Der zulässige Zeitraum für die erneute Authentifizierung eines Benutzers, wenn dessen Token ablaufen. Die Ablaufzeit eines ID-Tokens wird mit dem exp-Anspruch angegeben. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden. |
authFilterRef | Referenz auf das authFilter-Element (string) der höchsten Ebene. | Gibt die Referenz des Authentifizierungsfilters an. | |
createSession | boolean | true | Gibt an, ob eine HttpSession erstellt werden soll, wenn die aktuelle HttpSession nicht vorhanden ist. |
authenticationTimeLimit | Zeitraum mit Genauigkeit in Millisekunden | 420s | Maximal zulässige Zeit in Millisekunden für die Umleitung an den Authentifizierungsserver und der Rückgabe vom Authentifizierungsserver. Cookies verfallen nach dieser Zeit. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden. |
Die Liste der vertrauenswürdigen Zielgruppen, mit der der aud-Claim im JSON-Web-Token verglichen wird.
Gibt die Referenz des Authentifizierungsfilters an.
Eine eindeutige Konfigurations-ID.
Name | Type | Default | Description |
---|---|---|---|
id | string | Eine eindeutige Konfigurations-ID. | |
name | string | Gibt den Namen an. | |
matchType |
| contains | Gibt den Abgleichstyp an. contains Enthält notContain Enthält nicht equals Gleich |
Eine eindeutige Konfigurations-ID.
Name | Type | Default | Description |
---|---|---|---|
id | string | Eine eindeutige Konfigurations-ID. | |
urlPattern | string | Gibt das URL-Muster an. | |
matchType |
| contains | Gibt den Abgleichstyp an. contains Enthält notContain Enthält nicht equals Gleich |
Eine eindeutige Konfigurations-ID.
Name | Type | Default | Description |
---|---|---|---|
id | string | Eine eindeutige Konfigurations-ID. | |
matchType |
| contains | Gibt den Abgleichstyp an. contains Enthält notContain Enthält nicht equals Gleich lessThan Kleiner als greaterThan Größer als |
ip | string | Gibt die IP-Adresse an. |
Eine eindeutige Konfigurations-ID.
Name | Type | Default | Description |
---|---|---|---|
id | string | Eine eindeutige Konfigurations-ID. | |
name | string | Gibt den Namen an. | |
matchType |
| contains | Gibt den Abgleichstyp an. contains Enthält notContain Enthält nicht equals Gleich |
Eine eindeutige Konfigurations-ID.
Name | Type | Default | Description |
---|---|---|---|
id | string | Eine eindeutige Konfigurations-ID. | |
agent | string | Gibt den Benutzeragenten an. | |
matchType |
| contains | Gibt den Abgleichstyp an. contains Enthält notContain Enthält nicht equals Gleich |
In der Anforderung enthaltene Ressourcenparameter.