samlWebSso20 - Autenticación de SAML Web SSO 2.0 (samlWebSso20)

Controla la operación del mecanismo Security Assertion Markup Language Web SSO 2.0.

NameTypeDefaultDescription
idstringUn ID de configuración exclusivo.
httpsRequiredbooleantrueImplementa el uso de la comunicación SSL cuando se accede a un punto final de proveedor de servicio SAML Web SSO, como acs o metadatos.
inboundPropagation
  • none
  • required
noneControla la operación de Security Assertion Markup Language Web SSO 2.0 para la propagación entrante de los mecanismos de servicios web.
none
%inboundPropagation.none
required
%inboundPropagation.required
wantAssertionsSignedbooleantrueIndica un requisito de que los elementos <saml:Assertion> que recibe este proveedor de servicios deben contener un elemento de firma que realiza la firma de la aserción.
signatureMethodAlgorithm
  • SHA256
  • SHA1
  • SHA128
SHA256Indica el algoritmo necesario para este proveedor de servicios.
SHA256
Algoritmo de firma SHA-256
SHA1
Algoritmo de firma SHA-1
SHA128
%signatureMethodAlgorithm.SHA128
createSessionbooleantrueEspecifica si se debe crear una sesión Http si la sesión Http actual no existe.
authnRequestsSignedbooleantrueIndica si los mensajes <samlp:AuthnRequest> que envía este proveedor de servicios se firmarán.
includeX509InSPMetadatabooleantrueEspecifica si se debe incluir el certificado x509 en los metadatos SP de Liberty.
forceAuthnbooleanfalseIndica si el IdP debe forzar la re-autenticación del usuario.
isPassivebooleanfalseIndica que IdP no debe tomar el control de la interfaz de usuario final.
allowCreatebooleanPermitir que IdP cree una cuenta nueva si el usuario solicitante no tiene una.
authnContextComparisonType
  • better
  • exact
  • maximum
  • minimum
exactCuando se especifica un authnContextClassRef, se puede establecer el authnContextComparisonType.
better
Mejor. El contexto de autenticación de la sentencia de autenticación debe ser más fuerte que cualquiera de los contextos de autenticación especificados.
exact
Exacto. El contexto de autenticación de la sentencia de autenticación debe coincidir exactamente con al menos uno de los contextos de autenticación especificados.
maximum
Máximo. El contexto de autenticación de la sentencia de autenticación debe ser tan fuerte como sea posible sin sobrepasar la fuerza de al menos uno de los contextos de autenticación especificados.
minimum
Mínimo. El contexto de autenticación de la sentencia de autenticación debe ser al menos tan fuerte como uno de los contextos de autenticación especificados.
nameIDFormat
  • windowsDomainQualifiedName
  • encrypted
  • unspecified
  • transient
  • x509SubjectName
  • kerberos
  • persistent
  • customize
  • email
  • entity
emailEspecifica la referencia de URI correspondiente a un formato de identificador de nombre definido en la especificación de núcleo de SAML.
windowsDomainQualifiedName
urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName
encrypted
urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
transient
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
x509SubjectName
urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName
kerberos
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
customize
Formato de ID de nombre personalizado.
email
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
entity
urn:oasis:names:tc:SAML:2.0:nameid-format:entity
customizeNameIDFormatstringEspecifica la referencia de URI personalizada correspondiente a un formato de identificador de nombre que no está definido en la especificación de núcleo de SAML.
idpMetadatastring${server.config.dir}/resources/security/idpMetadata.xmlEspecifica el archivo de metadatos IdP.
keyStoreRefUna referencia a un elemento keyStore de nivel superior (string).Un almacén de claves que contiene la clave privada para la firma de la AuthnRequest y el descifrado del elemento EncryptedAssertion. El valor predeterminado es el valor predeterminado del servidor.
keyAliasstringNombre de alias de clave para localizar la clave privada para firmar y descifrar. Esto es opcional si el almacén de claves tiene exactamente una entrada de clave o si tiene una clave con un alias de 'samlsp'.
loginPageURLstringEspecifica el URL de la aplicación de inicio de sesión del IdP de SAML a la que se redirigirá una solicitud no autenticada. Este atributo desencadena SSO iniciado por IdP y sólo es necesario para SSO iniciado por IdP.
errorPageURLstringEspecifica una página de error que se visualizará si la validación de SAML falla. Si este atributo no se especifica y el SAML recibido no es válido, se redirigirá al usuario al IdP de SAML para reiniciar SSO.
clockSkewUn período de tiempo con precisión de milisegundos5mSe utiliza para especificar el desfase horario permitido en minutos cuando se valida la señal SAML. Especifica un entero positivo seguido de una unidad de tiempo, que puede ser horas (h), minutos (m), segundos (s) o milisegundos (ms). Por ejemplo, especifique 500 milisegundos como 500ms. Puede incluir varios valores en una sola entrada. Por ejemplo, 1s500ms es equivalente a 1,5 segundos.
tokenReplayTimeoutUn período de tiempo con precisión de milisegundos30mEsta propiedad se utiliza para especificar cuánto tiempo debe impedir Liberty SP la reproducción de la señal. Especifica un entero positivo seguido de una unidad de tiempo, que puede ser horas (h), minutos (m), segundos (s) o milisegundos (ms). Por ejemplo, especifique 500 milisegundos como 500ms. Puede incluir varios valores en una sola entrada. Por ejemplo, 1s500ms es equivalente a 1,5 segundos.
sessionNotOnOrAfterUn período de tiempo con precisión de milisegundos120mIndica una cota superior en duraciones de sesión SAML, sobrepasada la cual Liberty SP debe solicitar al usuario que vuelva a autenticarse con el IdP. Si la señal de SAML devuelta desde el IdP no contiene una aserción sessionNotOnOrAfter, se utiliza el valor especificado por este atributo. Esta propiedad solo se usa si disableLtpaCookie=true. El valor por omisión es true. Especifica un entero positivo seguido de una unidad de tiempo, que puede ser horas (h), minutos (m), segundos (s) o milisegundos (ms). Por ejemplo, especifique 500 milisegundos como 500ms. Puede incluir varios valores en una sola entrada. Por ejemplo, 1s500ms es equivalente a 1,5 segundos.
userIdentifierstringEspecifica un atributo SAML que se utiliza como el nombre principal de usuario en el sujeto. Si no se ha especificado ningún valor, se utiliza el valor de elemento de aserción SAML NameID.
groupIdentifierstringEspecifica un atributo SAML que se utiliza como el nombre del grupo del que es miembro el principal autenticado. No hay ningún valor predeterminado.
userUniqueIdentifierstringEspecifica un atributo SAML que se utiliza como nombre de usuario exclusivo ya que se aplica a la WSCredential del sujeto. El valor predeterminado es el mismo que el del valor de atributo userIdentifier.
realmIdentifierstringEspecifica un atributo SAML que se utiliza como nombre de reino. Si no se ha especificado ningún valor, se utiliza el valor de elemento de aserción SAML Issuer.
includeTokenInSubjectbooleantrueEspecifica si se debe incluir una aserción SAML en el sujeto.
mapToUserRegistry
  • No
  • Group
  • User
NoEspecifica cómo correlacionar una identidad con un usuario de registro. Las opciones son No, User y Group. El valor predeterminado es No, y el registro de usuarios no se utiliza para crear el sujeto de usuario.
No
No correlacionar una identidad de SAML con un usuario o un grupo en el registro
Group
Correlacionar una identidad de SAML con un grupo definido en el registro de usuarios
User
Correlacionar una identidad de SAML con un usuario definido en el registro
authFilterRefUna referencia a un elemento authFilter de nivel superior (string).Especifica la referencia del filtro de autenticación.
disableLtpaCookiebooleantrueNo crear una señal LTPA durante el proceso de la aserción SAML. En su lugar, crear un cookie del proveedor de servicios específico.
realmNamestringEspecifica un nombre de reino cuando mapToUserRegistry está establecido en No o Grupo.
authnRequestTimeUn período de tiempo con precisión de milisegundos10mEspecifica el periodo de tiempo de vida de una solicitud de autenticación que se genera y envía desde el proveedor de servicio a un IdP para solicitar una señal de SAML. Especifica un entero positivo seguido de una unidad de tiempo, que puede ser horas (h), minutos (m), segundos (s) o milisegundos (ms). Por ejemplo, especifique 500 milisegundos como 500ms. Puede incluir varios valores en una sola entrada. Por ejemplo, 1s500ms es equivalente a 1,5 segundos.
enabledbooleantrueEl proveedor de servicios está habilitado si es verdadero e inhabilitado si es falso.
allowCustomCacheKeybooleantruePermitir la generación de una clave de memoria caché personalizada para acceder a la memoria caché de autenticación y obtener el sujeto.
spHostAndPortstringEspecifica un nombre de host y un número de puerto del proveedor de servicios SAML.
reAuthnOnAssertionExpirebooleanfalseAutenticar de nuevo la solicitud HTTP entrante cuando una aserción SAML esté a punto de caducar.
reAuthnCushionUn período de tiempo con precisión de milisegundos0mPeriodo de tiempo para autenticar de nuevo cuando una aserción SAML esté a punto de caducar, de acuerdo con lo indicado por la sentencia NotOnOrAfter o el atributo SessionNotOnOrAfter de la aserción SAML. Especifica un entero positivo seguido de una unidad de tiempo, que puede ser horas (h), minutos (m), segundos (s) o milisegundos (ms). Por ejemplo, especifique 500 milisegundos como 500ms. Puede incluir varios valores en una sola entrada. Por ejemplo, 1s500ms es equivalente a 1,5 segundos.
targetPageUrlstringLa página de destino predeterminada para el inicio de sesión único iniciado por el IdP si falta relayState. Esta propiedad debe establecerse en un URL válido si useRelayStateForTarget se ha establecido en false.
useRelayStateForTargetbooleantrueAl realizar el inicio de sesión único iniciado por IdP, esta propiedad especifica si relayState en una SAMLResponse debe utilizarse como el URL de destino. Si se establece en falso (false), se utiliza siempre como URL de destino el valor para targetPageUrl.

authnContextClassRef

Una referencia de URI que identifica la clase de contexto de autenticación que describe la declaración de contexto de autenticación. El valor predeterminado es nulo.

pkixTrustEngine

Especifica la información de confianza de PKIX que se utiliza para evaluar la fiabilidad y la validez de las firmas XML en una respuesta de SAML. No especifique varios pkixTrustEngine en un samlWebSso20.

NameTypeDefaultDescription
trustAnchorRefUna referencia a un elemento keyStore de nivel superior (string).Un almacén de claves que contiene la clave pública necesaria para verificar la firma de SAMLResponse y Assertion.

pkixTrustEngine > trustedIssuers

Especifica las identidades de los emisores IdP fiables. Si el valor es "ALL_ISSUERS", todas las identidades de IdP son de confianza.

pkixTrustEngine > x509Certificate

Un ID de configuración exclusivo.

NameTypeDefaultDescription
idstringUn ID de configuración exclusivo.
pathstringEspecifica la vía de acceso del certificado x509.

pkixTrustEngine > crl

Un ID de configuración exclusivo.

NameTypeDefaultDescription
idstringUn ID de configuración exclusivo.
pathstringEspecifica la vía de acceso al CRL.

authFilter

Especifica la referencia del filtro de autenticación.

authFilter > webApp

Un ID de configuración exclusivo.

NameTypeDefaultDescription
idstringUn ID de configuración exclusivo.
namestringEspecifica el nombre.
matchType
  • contains
  • notContain
  • equals
containsEspecifica el tipo de coincidencia.
contains
Contiene
notContain
No contiene
equals
Igual a

authFilter > requestUrl

Un ID de configuración exclusivo.

NameTypeDefaultDescription
idstringUn ID de configuración exclusivo.
urlPatternstringEspecifica el patrón del URL.
matchType
  • contains
  • notContain
  • equals
containsEspecifica el tipo de coincidencia.
contains
Contiene
notContain
No contiene
equals
Igual a

authFilter > remoteAddress

Un ID de configuración exclusivo.

NameTypeDefaultDescription
idstringUn ID de configuración exclusivo.
matchType
  • contains
  • notContain
  • equals
  • lessThan
  • greaterThan
containsEspecifica el tipo de coincidencia.
contains
Contiene
notContain
No contiene
equals
Igual a
lessThan
Menor que
greaterThan
Mayor que
ipstringEspecifica la dirección IP.

authFilter > host

Un ID de configuración exclusivo.

NameTypeDefaultDescription
idstringUn ID de configuración exclusivo.
namestringEspecifica el nombre.
matchType
  • contains
  • notContain
  • equals
containsEspecifica el tipo de coincidencia.
contains
Contiene
notContain
No contiene
equals
Igual a

authFilter > userAgent

Un ID de configuración exclusivo.

NameTypeDefaultDescription
idstringUn ID de configuración exclusivo.
agentstringEspecifica el agente de usuario
matchType
  • contains
  • notContain
  • equals
containsEspecifica el tipo de coincidencia.
contains
Contiene
notContain
No contiene
equals
Igual a

headerName

El nombre de cabecera de la solicitud HTTP que almacena la señal de SAML.

audiences

La lista de audiencias de confianza para verificar la audiencia de la señal de SAML. Si el valor es "ANY", todas las identidades son de confianza.