wsSecurityProvider - WS-Security-Provider (wsSecurityProvider)

Die Web Services Security-Standardkonfiguration für Provider.

NameTypeDefaultDescription
ws-security.usernamestringBenutzerinformationen zum Erstellen von Benutzernamenstoken.
ws-security.callback-handlerstringDie Implementierungsklasse des Callback-Handlers für Kennwort.
ws-security.encryption.usernamestringAlias, der für den Zugriff auf den Verschlüsselungskeystore verwendet wird.
ws-security.signature.usernamestringAlias, der für den Zugriff auf den Signaturkeystore verwendet wird.
ws-security.enable.nonce.cachebooleantrueGibt an, ob UsernameToken-Nonce zwischengespeichert werden sollen.

callerToken

Caller-Token.

NameTypeDefaultDescription
namestringGeben Sie den Tokennamen an. Die gültigen Optionen sind Usernametoken, X509token, Samltoken.
userIdentifierstringGibt ein SAML-Attribut an, das als Benutzerprinzipalname im Subjekt verwendet wird. Standardmäßig wird die NameID-Zusicherung verwendet.
groupIdentifierstringGibt ein SAML-Attribut an, das als Name der Gruppe verwendet wird, zu der der authentifizierte Principal gehört. Es gibt keinen Standardwert.
userUniqueIdentifierstringGibt ein SAML-Attribut an, das als eindeutiger Benutzername für den WSCredential im Subjekt verwendet wird. Standardmäßig wird der Wert des Attributs userIdentifier verwendet.
realmIdentifierstringGibt ein SAML-Attribut an, das als Realmname verwendet wird. Standardmäßig wird das Attribut issuer verwendet.
includeTokenInSubjectbooleantrueGibt an, ob eine SAML-Zusicherung in das Subjekt eingeschlossen werden soll.
mapToUserRegistry
  • No
  • Group
  • User
NoGibt an, wie eine ID einem Registry-Benutzer zugeordnet wird. Die Optionen sind No, User und Group. Der Standardwert ist No, d. h., die Benutzerregistry wird nicht zum Erstellen des Benutzersubjekts verwendet.
No
Einem Benutzer oder einer Gruppe in der Registry keine SAML-ID zuordnen
Group
Einer in der Registry definierten Gruppe eine SAML-ID zuordnen
User
Einem in der Registry definierten Benutzer eine SAML-ID zuordnen
realmNamestringGibt einen Realmnamen an, wenn mapToUserRegistry auf No oder Group gesetzt ist.
allowCustomCacheKeybooleantrueLässt die Generierung eines angepassten Cacheschlüssels für den Zugriff auf den Authentifizierungscache und den Abruf des Subjekts zu.

signatureProperties

Die erforderliche Konfiguration für die Signatur.

NameTypeDefaultDescription
org.apache.ws.security.crypto.merlin.keystore.typestringJKS, JCEKS und PKCS11
org.apache.ws.security.crypto.merlin.keystore.aliasstringDer zu verwendende Standard-Keystore-Alias, wenn keiner angegeben ist.
org.apache.ws.security.crypto.merlin.keystore.passwordUmkehrbar verschlüsseltes Kennwort (string)Kennwort für den Zugriff auf die Keystore-Datei.
org.apache.ws.security.crypto.merlin.filestringDie Position des Keystores.
org.apache.ws.security.crypto.merlin.truststore.filestringDie Postition des Truststores.
org.apache.ws.security.crypto.merlin.truststore.passwordUmkehrbar verschlüsseltes Kennwort (string)Das Truststore-Kennwort.
org.apache.ws.security.crypto.merlin.truststore.typestringDer Truststore-Typ.
org.apache.ws.security.crypto.providerstringorg.apache.ws.security.components.crypto.MerlinDer Provider, der zum Erstellen von Crypto-Instanzen verwendet wird. Nimmt standardmäßig den Wert "org.apache.ws.security.components.crypto.Merlin" an.
org.apache.ws.security.crypto.merlin.keystore.providerstringDer Provider, der zum Laden von Keystores verwendet wird. Standardmäßig wird der Wert des installierten Providers verwendet.
org.apache.ws.security.crypto.merlin.cert.providerstringDer Provider, der zum Laden von Zertifikaten verwendet wird. Standardmäßig der Keystore-Provider.
org.apache.ws.security.crypto.merlin.x509crl.filestringDie Position einer zu verwendenden (X509)-CRL-Datei.
org.apache.ws.security.crypto.merlin.keystore.private.passwordUmkehrbar verschlüsseltes Kennwort (string)Das Standardkennwort, das zum Laden des privaten Schlüssels verwendet wird.

encryptionProperties

Die erforderliche Konfiguration für die Verschlüsselung.

NameTypeDefaultDescription
org.apache.ws.security.crypto.merlin.keystore.typestringJKS, JCEKS und PKCS11
org.apache.ws.security.crypto.merlin.keystore.aliasstringDer zu verwendende Standard-Keystore-Alias, wenn keiner angegeben ist.
org.apache.ws.security.crypto.merlin.keystore.passwordUmkehrbar verschlüsseltes Kennwort (string)Kennwort für den Zugriff auf die Keystore-Datei.
org.apache.ws.security.crypto.providerstringorg.apache.ws.security.components.crypto.MerlinDer Provider, der zum Erstellen von Crypto-Instanzen verwendet wird. Nimmt standardmäßig den Wert "org.apache.ws.security.components.crypto.Merlin" an.
org.apache.ws.security.crypto.merlin.filestringDie Position des Keystores.
org.apache.ws.security.crypto.merlin.keystore.providerstringDer Provider, der zum Laden von Keystores verwendet wird. Standardmäßig wird der Wert des installierten Providers verwendet.
org.apache.ws.security.crypto.merlin.cert.providerstringDer Provider, der zum Laden von Zertifikaten verwendet wird. Standardmäßig der Keystore-Provider.
org.apache.ws.security.crypto.merlin.x509crl.filestringDie Position einer zu verwendenden (X509)-CRL-Datei.
org.apache.ws.security.crypto.merlin.keystore.private.passwordUmkehrbar verschlüsseltes Kennwort (string)Das Standardkennwort, das zum Laden des privaten Schlüssels verwendet wird.
org.apache.ws.security.crypto.merlin.truststore.filestringDie Postition des Truststores.
org.apache.ws.security.crypto.merlin.truststore.passwordUmkehrbar verschlüsseltes Kennwort (string)Das Truststore-Kennwort.
org.apache.ws.security.crypto.merlin.truststore.typestringDer Truststore-Typ.

samlToken

Gibt die Eigenschaften an, die zum Auswerten der Vertrauenswürdigkeit und Gültigkeit einer SAML-Zusicherung verwendet werden.

NameTypeDefaultDescription
wantAssertionsSignedbooleantrueGibt an, dass die von diesem Service-Provider empfangenen <saml:Assertion>-Elemente signiert werden müssen.
clockSkewZeitraum mit Genauigkeit in Millisekunden5mMit diesem Attribut wird die zulässige Zeitabweichung in Minuten bei der Validierung des SAML-Tokens angegeben. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden.
requiredSubjectConfirmationMethod
  • bearer
bearerGibt an, ob die Subjektbestätigungsmethode in der SAML-Zusicherung erforderlich ist. Die Option ist standardmäßig ausgewählt.
bearer
bearer
timeToLiveZeitraum mit Genauigkeit in Millisekunden30mGibt die Standardlebensdauer einer SAML-Zusicherung an, wenn die Bedingung NoOnOrAfter nicht definiert ist. Der Standardwert ist 30 Minuten. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden.

samlToken > audienceRestrictions

Gibt die für die SAML-Zusicherung zulässigen Zielgruppen an. Standardmäßig sind alle Zielgruppen zulässig.