Управление работой механизма SAML Web SSO 2.0.
Name | Type | Default | Description |
---|---|---|---|
id | string | Уникальный ИД конфигурации. | |
httpsRequired | boolean | true | Принудительно применяет связь по протоколу SSL при обращении к конечной точке поставщика служб WebSSO SAML в виде ACS или метаданных. |
inboundPropagation |
| none | Управление работой механизма SAML Web SSO 2.0 для внутреннего распространения веб-служб. none %inboundPropagation.none required %inboundPropagation.required |
wantAssertionsSigned | boolean | true | Указывает, что элементы <saml:Assertion>, получаемые данным поставщиком служб, должны содержать элемент Signature, подписывающий Assertion. |
signatureMethodAlgorithm |
| SHA256 | Алгоритм, требуемый данным поставщиком служб. SHA256 Алгоритм создания подписи SHA-256 SHA1 Алгоритм создания подписи SHA-1 SHA128 %signatureMethodAlgorithm.SHA128 |
createSession | boolean | true | Указывает, следует ли создавать HttpSession, если текущий HttpSession не существует. |
authnRequestsSigned | boolean | true | Указывает, что сообщения <samlp:AuthnRequest>, отправляемые этим поставщиком служб, будут подписываться. |
includeX509InSPMetadata | boolean | true | Указывает, следует ли включать сертификат x509 в метаданные Liberty SP. |
forceAuthn | boolean | false | Указывает, что IdP должен требовать повторной идентификации пользователей. |
isPassive | boolean | false | Указывает, что поставщик идентификации не должен брать конечный интерфейс пользователя под контроль. |
allowCreate | boolean | Разрешает поставщику идентификации создать новую учетную запись, если у запрашивающего пользователя нет учетной записи. | |
authnContextComparisonType |
| exact | Когда указан authnContextClassRef, можно задать authnContextComparisonType. better Лучше. Контекст идентификации в операторе идентификации должен быть более надежным по сравнению с указанными контекстами идентификации. exact Совпадение. Уровень надежности контекста идентификации в операторе идентификации должен в точности совпадать с надежностью по крайней мере одного из указанных контекстов идентификации. maximum Максимум. Контекст идентификации в операторе идентификации должен быть обеспечивать максимальную надежность, но не должен превышать уровень надежности указанных контекстов идентификации. minimum Минимум. Контекст идентификации в операторе идентификации должен быть не менее надежным, чем указанные контексты идентификации. |
nameIDFormat |
| Задает ссылку URI, соответствующую формату идентификатора имени, определенному в базовой спецификации SAML. windowsDomainQualifiedName urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName encrypted urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted unspecified urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified transient urn:oasis:names:tc:SAML:2.0:nameid-format:transient x509SubjectName urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName kerberos urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos persistent urn:oasis:names:tc:SAML:2.0:nameid-format:persistent customize Настроенный формат ИД имени. urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress entity urn:oasis:names:tc:SAML:2.0:nameid-format:entity | |
customizeNameIDFormat | string | Указывает пользовательскую ссылку URI, соответствующую формату идентификатора имени, который не определен в базовой спецификации SAML. | |
idpMetadata | string | ${server.config.dir}/resources/security/idpMetadata.xml | Задает файл метаданных поставщика идентификации. |
keyStoreRef | Ссылка на элемент keyStore верхнего уровня (строка). | Хранилище ключей содержит личный ключ для подписания AuthnRequest и расшифровки элемента EncryptedAssertion. По умолчанию применяется значение по умолчанию сервера. | |
keyAlias | string | Псевдоним ключа для поиска личного ключа для подписания и расшифровки. Это необязательно, если хранилище ключей содержит ровно одну запись ключа или если есть только один ключ с псевдонимом 'samlsp'. | |
loginPageURL | string | URL приложения входа в поставщик идентификации SAML, куда перенаправляются все неидентифицированные запросы. Этот атрибут запускает инициированный поставщиком идентификации единый вход в систему и требуется только для единого входа в систему, инициированного поставщиком идентификации. | |
errorPageURL | string | Страница ошибки, показываемая в случае сбоя проверки SAML. Если этот атрибут не указан и полученный SAML недопустимый, пользователь перенаправляется обратно в поставщик идентификации SAML для перезапуска единого входа в систему. | |
clockSkew | Период (с точностью до миллисекунды) | 5m | Это используется для указания допустимого расхождения значений времени в минутах при проверке ключа SAML. Укажите положительное целое число, за которым следует единица времени: часы (h), минуты (m), секунды (s) или миллисекунды (ms). Например, укажите 500 миллисекунд как 500ms. Одна запись может включать несколько значений. Так, 1s500ms равно 1,5 сек. |
tokenReplayTimeout | Период (с точностью до миллисекунды) | 30m | Это свойство позволяет указать, как долго поставщик служб Liberty должен запрещать повтор ключей. Укажите положительное целое число, за которым следует единица времени: часы (h), минуты (m), секунды (s) или миллисекунды (ms). Например, укажите 500 миллисекунд как 500ms. Одна запись может включать несколько значений. Так, 1s500ms равно 1,5 сек. |
sessionNotOnOrAfter | Период (с точностью до миллисекунды) | 120m | Задает максимальную продолжительность сеанса SAML, после которого Liberty SP должен предлагать пользователю снова пройти идентификацию в IdP. Если маркер SAML, возвращенный из IdP, не содержит утверждение sessionNotOnOrAfter, то применяется значение, указанное в этом атрибуте. Это свойство используется, только когда disableLtpaCookie=true. Значение по умолчанию: true. Укажите положительное целое число, за которым следует единица времени: часы (h), минуты (m), секунды (s) или миллисекунды (ms). Например, укажите 500 миллисекунд как 500ms. Одна запись может включать несколько значений. Так, 1s500ms равно 1,5 сек. |
userIdentifier | string | Задает атрибут SAML, который будет использоваться в качестве имени субъекта. Если значение не указано, будет использоваться значение элемента утверждения SAML NameID. | |
groupIdentifier | string | Задает атрибут SAML, который будет использоваться как имя группы, которой принадлежит идентифицированный субъект. Значение по умолчанию не предусмотрено. | |
userUniqueIdentifier | string | Задает атрибут SAML, который будет использоваться в качестве уникального имени пользователя для WSCredential в субъекте. Значение по умолчанию совпадает со значением атрибута userIdentifier. | |
realmIdentifier | string | Задает атрибут SAML, который будет использоваться в качестве имени области. Если значение не указано, будет использоваться значение элемента утверждения SAML Issuer. | |
includeTokenInSubject | boolean | true | Указывает, следует ли включить утверждение SAML в субъект. |
mapToUserRegistry |
| No | Указывает, как связать идентификатор с пользователем из реестра. Значения: No, User и Group. Значение по умолчанию - No, то есть реестр пользователя не используется для создания субъекта пользователя. No Не связывать идентификатор SAML с пользователем или группой из реестра Group Связать идентификатор SAML с группой из реестра User Связать идентификатор SAML с пользователем из реестра |
authFilterRef | Ссылка на элемент authFilter верхнего уровня (строка). | Задает ссылку на фильтр идентификации. | |
disableLtpaCookie | boolean | true | Не создавать ключ LTPA во время обработки утверждения SAML. Вместо него создавать cookie конкретного поставщика служб. |
realmName | string | Указывает имя области, если значением mapToUserRegistry является Нет или Группа. | |
authnRequestTime | Период (с точностью до миллисекунды) | 10m | Указывает период времени активности authnReuqest, который создается и отправляется из поставщика служб в поставщике идентификации для запроса маркера SAML. Укажите положительное целое число, за которым следует единица времени: часы (h), минуты (m), секунды (s) или миллисекунды (ms). Например, укажите 500 миллисекунд как 500ms. Одна запись может включать несколько значений. Так, 1s500ms равно 1,5 сек. |
enabled | boolean | true | Поставщик служб включен при значении true и отключен при значении false. |
allowCustomCacheKey | boolean | true | Разрешить создание пользовательского ключа кэша для доступа к кэшу идентификации и получения субъекта. |
spHostAndPort | string | Задает имя хоста и номер порта провайдера службы SAML | |
reAuthnOnAssertionExpire | boolean | false | Идентифицировать входящий запрос HTTP повторно, когда срок действия утверждения SAML подходит к концу. |
reAuthnCushion | Период (с точностью до миллисекунды) | 0m | Период времени для повторной идентификации, когда срок действия утверждения SAML подходит к концу, что указывается оператором NotOnOrAfter или атрибутом SessionNotOnOrAfter утверждения SAML. Укажите положительное целое число, за которым следует единица времени: часы (h), минуты (m), секунды (s) или миллисекунды (ms). Например, укажите 500 миллисекунд как 500ms. Одна запись может включать несколько значений. Так, 1s500ms равно 1,5 сек. |
targetPageUrl | string | Целевая страница по умолчанию для SSO, выполняемого по запросу IdP, если отсутствует relayState. В этом свойстве необходимо указать допустимый URL, если свойство useRelayStateForTarget содержит значение false. | |
useRelayStateForTarget | boolean | true | В ходе выполнения SSO, запущенного IdP, это свойство указывает, следует ли применять relayState в SAMLResponse в качестве целевого URL. Если указано значение false, то значение targetPageUrl всегда применяется в качестве целевого URL. |
Ссылка URI, определяющая класс контекста идентификации, который описывает объявление контекста идентификации. Значение по умолчанию - пустое.
Задает информацию механизма доверия PKIX, которая используется для оценки надежности и правильности подписей XML в ответе SAML. Не указывайте в samlWebSso20 несколько pkixTrustEngine.
Name | Type | Default | Description |
---|---|---|---|
trustAnchorRef | Ссылка на элемент keyStore верхнего уровня (строка). | Хранилище ключей, содержащее общий ключ, необходимый для проверки подписи SAMLResponse и Assertion. |
pkixTrustEngine > trustedIssuers
Указывает субъекты доверенных сертификатных компаний поставщика идентификации. Если значение - "ALL_ISSUERS", то все идентификаторы поставщика идентификации считаются надежными.
pkixTrustEngine > x509Certificate
Уникальный ИД конфигурации.
Name | Type | Default | Description |
---|---|---|---|
id | string | Уникальный ИД конфигурации. | |
path | string | Указывает путь к сертификату x509. |
Уникальный ИД конфигурации.
Name | Type | Default | Description |
---|---|---|---|
id | string | Уникальный ИД конфигурации. | |
path | string | Указывает путь к crl. |
Задает ссылку на фильтр идентификации.
Уникальный ИД конфигурации.
Name | Type | Default | Description |
---|---|---|---|
id | string | Уникальный ИД конфигурации. | |
name | string | Задает имя. | |
matchType |
| contains | Задает тип сравнения. contains Содержит notContain Не содержит equals Равно |
Уникальный ИД конфигурации.
Name | Type | Default | Description |
---|---|---|---|
id | string | Уникальный ИД конфигурации. | |
urlPattern | string | Задает шаблон URL. | |
matchType |
| contains | Задает тип сравнения. contains Содержит notContain Не содержит equals Равно |
Уникальный ИД конфигурации.
Name | Type | Default | Description |
---|---|---|---|
id | string | Уникальный ИД конфигурации. | |
matchType |
| contains | Задает тип сравнения. contains Содержит notContain Не содержит equals Равно lessThan Меньше, чем greaterThan Больше, чем |
ip | string | Задает IP-адрес. |
Уникальный ИД конфигурации.
Name | Type | Default | Description |
---|---|---|---|
id | string | Уникальный ИД конфигурации. | |
name | string | Задает имя. | |
matchType |
| contains | Задает тип сравнения. contains Содержит notContain Не содержит equals Равно |
Уникальный ИД конфигурации.
Name | Type | Default | Description |
---|---|---|---|
id | string | Уникальный ИД конфигурации. | |
agent | string | Задает браузер | |
matchType |
| contains | Задает тип сравнения. contains Содержит notContain Не содержит equals Равно |
Имя заголовка запроса HTTP, где хранится ключ SAML.
Список аудиторий, допустимых для проверки аудитории ключа SAML. Если значение - "ANY", то допустимы все аудитории.