samlWebSso20 - Autenticazione SAML Web SSO 2.0 (samlWebSso20)

Controlla le operazioni del meccanismo SAML (Security Assertion Markup Language9 Web SSO 2.0.

NameTypeDefaultDescription
idstringaUn ID di configurazione univoco.
httpsRequiredbooleanotrueForza l'utilizzo della comunicazione SSL quando si accede ad un endpoint del provider del servizio WebSSO SAML come ad esempio acs o metadati.
inboundPropagation
  • none
  • required
noneControlla le operazioni SAML (Security Assertion Markup Language) Web SSO 2.0 per la propagazione in entrata dei meccanismi per i servizi Web.
none
%inboundPropagation.none
required
%inboundPropagation.required
wantAssertionsSignedbooleanotrueIndica che è necessario che gli elementi <saml:Assertion> ricevuti da questo provider del servizio contengano un elemento Firma che firmi l'asserzione.
signatureMethodAlgorithm
  • SHA256
  • SHA1
  • SHA128
SHA256Indica l'algoritmo richiesto da questo provider del servizio.
SHA256
Algoritmo di firma SHA-256
SHA1
Algoritmo di firma SHA-1
SHA128
%signatureMethodAlgorithm.SHA128
createSessionbooleanotrueSpecifica se creare una HttpSession nel caso in cui l'HttpSession corrente non esista.
authnRequestsSignedbooleanotrueIndica se i messaggi <samlp:AuthnRequest> inviati da questo provider del servizio devono essere firmati o meno.
includeX509InSPMetadatabooleanotrueSpecifica se includere il certificato x509 nei metadati Liberty SP.
forceAuthnbooleanofalseIndica se l'IdP deve forzare l'utente a riautenticarsi.
isPassivebooleanofalseIndica che IdP non deve prendere il controllo dell'interfaccia utente finale.
allowCreatebooleanoConsente a IdP di creare un nuovo account se l'utente richiedente non ne ha uno.
authnContextComparisonType
  • better
  • exact
  • maximum
  • minimum
exactQuando si specifica un authnContextClassRef, è possibile impostare authnContextComparisonType.
better
Migliore. Il contesto di autenticazione nell'istruzione di autenticazione deve essere più forte di uno qualsiasi dei contesti di autenticazione specificati.
exact
Esatto. Il contesto di autenticazione nell'istruzione di autenticazione deve essere una corrispondenza esatta di almeno uno dei contesti di autenticazione specificati.
maximum
Massimo. Il contesto di autenticazione nell'istruzione di autenticazione deve essere più forte possibile senza superare la forza di almeno uno dei contesti di autenticazione specificati.
minimum
Minimo. Il contesto di autenticazione nell'istruzione di autenticazione deve essere forte almeno quanto uno dei contesti di autenticazione specificati.
nameIDFormat
  • windowsDomainQualifiedName
  • encrypted
  • unspecified
  • transient
  • x509SubjectName
  • kerberos
  • persistent
  • customize
  • email
  • entity
emailSpecifica il riferimento URI corrispondente ad un formato identificativo nome definito nella specifica principale SAML.
windowsDomainQualifiedName
urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName
encrypted
urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
transient
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
x509SubjectName
urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName
kerberos
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
customize
Formato ID nome personalizzato.
email
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
entity
urn:oasis:names:tc:SAML:2.0:nameid-format:entity
customizeNameIDFormatstringSpecifica il riferimento URI personalizzato corrispondente ad un formato identificativo nome che non è definito nella specifica principale SAML.
idpMetadatastring${server.config.dir}/resources/security/idpMetadata.xmlSpecifica il file metadati IdP.
keyStoreRefUn riferimento allelemento di livello più alto {0} (stringa).Un keystore contenente la chiave privata per la firma di AuthnRequest e la descrizione dell'elemento EncryptedAssertion. Il valore predefinito è il predefinito del server.
keyAliasstringUn nome alias di chiave per individuare la chiave privata per la firma e la decodifica. È facoltativo se il keystore ha esattamente una voce chiave o se ha una chiave con un alias di 'samlsp'.
loginPageURLstringSpecifica l'URL dell'applicazione di login IdP SAML a cui viene reindirizzata una richiesta non autenticata. Questo attributo attiva l'SSO avviato da IdP ed è richiesto solo per l'SSO avviato da IdP.
errorPageURLstringSpecifica una pagina di errore da visualizzare se la convalida SAML non riesce. Se non si specifica questo attributo e il SAML ricevuto non è valido, l'utente viene reindirizzato di nuovo all'IdP SAML per riavviare l'SSO.
clockSkewUn periodo di tempo con precisione al millisecondo5mViene utilizzato per specificare la differenza oraria consentita in minuti durante la convalida del token SAML. Specificare un numero intero positivo seguito da un'unità di tempo, che può essere ore (h), minuti (m), secondi (s) o millisecondi (ms). Ad esempio, specificare 500 millisecondi come 500ms. È possibile includere più valori in una singola immissione. Ad esempio, 1s500ms è equivalente a 1,5 secondi.
tokenReplayTimeoutUn periodo di tempo con precisione al millisecondo30mQuesta proprietà viene utilizzata per specificare per quanto tempo Liberty SP deve impedire la risposta del token. Specificare un numero intero positivo seguito da un'unità di tempo, che può essere ore (h), minuti (m), secondi (s) o millisecondi (ms). Ad esempio, specificare 500 millisecondi come 500ms. È possibile includere più valori in una singola immissione. Ad esempio, 1s500ms è equivalente a 1,5 secondi.
sessionNotOnOrAfterUn periodo di tempo con precisione al millisecondo120mIndica un limite superiore sulle durate di sessione SAML, dopo cui il provider del servizio Liberty deve chiedere all'utente di riautenticarsi con l'IdP. Se il token SAML restituito dall'IdP non contiene un'asserzione sessionNotOnOrAfter, viene utilizzato il valore specificato da questo attributo. Questa proprietà  viene utilizzata solo se disableLtpaCookie=true. Il valore predefinito è true. Specificare un numero intero positivo seguito da un'unità di tempo, che può essere ore (h), minuti (m), secondi (s) o millisecondi (ms). Ad esempio, specificare 500 millisecondi come 500ms. È possibile includere più valori in una singola immissione. Ad esempio, 1s500ms è equivalente a 1,5 secondi.
userIdentifierstringSpecifica un attributo SAML utilizzato come nome principal utente nel soggetto. Se non si specifica un valore, viene utilizzato l'elemento asserzione SAML NameID.
groupIdentifierstringSpecifica un attributo SAML utilizzato come nome del gruppo di cui è membro il principal autenticato. Nessun valore predefinito.
userUniqueIdentifierstringSpecifica un attributo SAML utilizzato come il nome utente univoco come applicato a WSCredential nel soggetto. Il valore predefinito è uguale al valore dell'attributo userIdentifier.
realmIdentifierstringSpecifica un attributo SAML utilizzato come nome realm. Se non si specifica un valore, viene utilizzato l'elemento asserzione SAML Issuer.
includeTokenInSubjectbooleanotrueSpecifica se includere un'asserzione SAML nel soggetto.
mapToUserRegistry
  • No
  • Group
  • User
NoSpecifica come associare un'identità a un utente del registro. Le opzioni sono No, Utente e Gruppo. Il valore predefinito è No e il registro utente non è utilizzato per creare il soggetto utente.
No
Non associare un'identità SAML a un utente o gruppo nel registro
Group
Non associare un'identità SAML a un gruppo definito nel registro utente
User
Associa un'identità SAML a un utente definito nel registro
authFilterRefUn riferimento allelemento di livello più alto {0} (stringa).Specifica il riferimento al filtro di autenticazione
disableLtpaCookiebooleanotrueNon creare un token LTPA durante l'elaborazione dell'asserzione SAML. Creare invece un cookie del provider del servizio specifico.
realmNamestringSpecifica un nome realm quando mapToUserRegistry è impostato su No o su Gruppo.
authnRequestTimeUn periodo di tempo con precisione al millisecondo10mSpecifica la durata di una authnReuqest generata e inviata da un provider del servizio ad un IdP per richiedere un token SAML. Specificare un numero intero positivo seguito da un'unità di tempo, che può essere ore (h), minuti (m), secondi (s) o millisecondi (ms). Ad esempio, specificare 500 millisecondi come 500ms. È possibile includere più valori in una singola immissione. Ad esempio, 1s500ms è equivalente a 1,5 secondi.
enabledbooleanotrueIl provider del servizio è abilitato se true, disabilitato se false.
allowCustomCacheKeybooleanotrueConsente di generare una chiave di cache personalizzata per accedere alla cache di autenticazione e richiamare il soggetto.
spHostAndPortstringSpecifica numero di porta e nome host per un provider del servizio SAML.
reAuthnOnAssertionExpirebooleanofalseRiautentica la richiesta HTTP in entrata quando un'asserzione SAML sta per scadere.
reAuthnCushionUn periodo di tempo con precisione al millisecondo0mL'intervallo di tempo per la riautenticazione quando un'asserzione SAML sta per scadere, che è indicato dall'istruzione NotOnOrAfter o dall'attributo SessionNotOnOrAfter dell'asserzione SAML. Specificare un numero intero positivo seguito da un'unità di tempo, che può essere ore (h), minuti (m), secondi (s) o millisecondi (ms). Ad esempio, specificare 500 millisecondi come 500ms. È possibile includere più valori in una singola immissione. Ad esempio, 1s500ms è equivalente a 1,5 secondi.
targetPageUrlstringLa pagina di destinazione predefinita per l'SSO avviato da IdP se relayState è mancante. Questa proprietà deve essere impostata su un URL valido se useRelayStateForTarget è impostato su false.
useRelayStateForTargetbooleanotrueQuando si effettua l'SSO avviato dall'IdP, questa proprietà specifica se deve essere utilizzato relayState in una SAMLResponse come URL di destinazione. Se impostato su false, viene sempre utilizzato il valore per targetPageUrl come URL di destinazione.

authnContextClassRef

Un riferimento URI che identifica una classe contesto di autenticazione che descrive la dichiarazione del contesto di autenticazione. Il valore predefinito è null.

pkixTrustEngine

Specifica le informazioni di affidabilità PKIX utilizzate per valutare l'affidabilità e la validità delle firme XML in una risposta SAML. Non specificare più pkixTrustEngine in un samlWebSso20.

NameTypeDefaultDescription
trustAnchorRefUn riferimento allelemento di livello più alto {0} (stringa).Un keystore contenente la chiave pubblica necessaria per la verifica dell'asserzione e della risposta SAML.

pkixTrustEngine > trustedIssuers

Specifica le identità degli emittenti IdP affidabili. Se il valore è "ALL_ISSUERS", vengono considerate affidabili tutte le identità dell'IdP.

pkixTrustEngine > x509Certificate

Un ID di configurazione univoco.

NameTypeDefaultDescription
idstringaUn ID di configurazione univoco.
pathstringSpecifica il percorso del certificato x509.

pkixTrustEngine > crl

Un ID di configurazione univoco.

NameTypeDefaultDescription
idstringaUn ID di configurazione univoco.
pathstringSpecifica il percorso del crl.

authFilter

Specifica il riferimento al filtro di autenticazione

authFilter > webApp

Un ID di configurazione univoco.

NameTypeDefaultDescription
idstringaUn ID di configurazione univoco.
namestringSpecifica il nome.
matchType
  • contains
  • notContain
  • equals
containsSpecifica il tipo di corrispondenza.
contains
Contiene
notContain
Non contiene
equals
Uguale

authFilter > requestUrl

Un ID di configurazione univoco.

NameTypeDefaultDescription
idstringaUn ID di configurazione univoco.
urlPatternstringSpecifica il pattern dell'URL.
matchType
  • contains
  • notContain
  • equals
containsSpecifica il tipo di corrispondenza.
contains
Contiene
notContain
Non contiene
equals
Uguale

authFilter > remoteAddress

Un ID di configurazione univoco.

NameTypeDefaultDescription
idstringaUn ID di configurazione univoco.
matchType
  • contains
  • notContain
  • equals
  • lessThan
  • greaterThan
containsSpecifica il tipo di corrispondenza.
contains
Contiene
notContain
Non contiene
equals
Uguale
lessThan
Minore di
greaterThan
Maggiore di
ipstringSpecifica l'indirizzo IP.

authFilter > host

Un ID di configurazione univoco.

NameTypeDefaultDescription
idstringaUn ID di configurazione univoco.
namestringSpecifica il nome.
matchType
  • contains
  • notContain
  • equals
containsSpecifica il tipo di corrispondenza.
contains
Contiene
notContain
Non contiene
equals
Uguale

authFilter > userAgent

Un ID di configurazione univoco.

NameTypeDefaultDescription
idstringaUn ID di configurazione univoco.
agentstringSpecifica l'agent utente
matchType
  • contains
  • notContain
  • equals
containsSpecifica il tipo di corrispondenza.
contains
Contiene
notContain
Non contiene
equals
Uguale

headerName

Il nome intestazione della richiesta HTTP che archivia il token SAML.

audiences

L'elenco di audience affidabili per verificare l'audience del token SAML. Se il valore è "ANY", vengono considerati affidabili tutti gli audience.