wsSecurityProvider - WS-Security 提供程序 (wsSecurityProvider)

Web service 安全性提供程序的缺省配置。

NameTypeDefaultDescription
ws-security.usernamestring用于创建用户名令牌的用户信息。
ws-security.callback-handlerstring密码回调处理程序实现类。
ws-security.encryption.usernamestring用于访问加密密钥库的别名。
ws-security.signature.usernamestring用于访问签名密钥库的别名。
ws-security.enable.nonce.cache布尔型true是否高速缓存 UsernameToken 现时标志。

callerToken

调用者令牌。

NameTypeDefaultDescription
namestring请指定令牌名称。选项为 Usernametoken、X509token 和 Samltoken。
userIdentifierstring指定用作主体集中用户主体名称的 SAML 属性。缺省值为 NameID 断言。
groupIdentifierstring指定用作已认证主体所属的组的名称的 SAML 属性。无缺省值。
userUniqueIdentifierstring指定应用到主体集中 WSCredential 时用作唯一用户名的 SAML 属性。缺省值与 userIdentifier 属性值相同。
realmIdentifierstring指定用作域名的 SAML 属性。缺省值为 issuer。
includeTokenInSubject布尔型true指定是否在主体集中包括 SAML 断言。
mapToUserRegistry
  • No
  • Group
  • User
No指定如何将身份映射至注册表用户。选项为“否”、“用户”和“组”。缺省值为“否”,不会使用用户注册表来创建用户主体集。
No
请勿将 SAML 身份映射至注册表中定义的用户或组
Group
将 SAML 身份映射至用户注册表中定义的组
User
将 SAML 身份映射至注册表中定义的用户
realmNamestringmapToUserRegistry 设置为 No 或 Group 时,指定域名。
allowCustomCacheKey布尔型true允许生成定制高速缓存密钥以访问认证高速缓存和获取主体集。

signatureProperties

必需的签名配置。

NameTypeDefaultDescription
org.apache.ws.security.crypto.merlin.keystore.typestringJKS、JCEKS 或 PKCS11
org.apache.ws.security.crypto.merlin.keystore.aliasstring未指定密钥库别名时使用的缺省密钥库别名。
org.apache.ws.security.crypto.merlin.keystore.password可逆向编码的密码(字符串)用于访问密钥库文件的密码。
org.apache.ws.security.crypto.merlin.filestring密钥库的位置
org.apache.ws.security.crypto.merlin.truststore.filestring信任库的位置
org.apache.ws.security.crypto.merlin.truststore.password可逆向编码的密码(字符串)信任库密码。
org.apache.ws.security.crypto.merlin.truststore.typestring信任库类型。
org.apache.ws.security.crypto.providerstringorg.apache.ws.security.components.crypto.Merlin用于创建密码实例的提供程序。缺省为“org.apache.ws.security.components.crypto.Merlin”。
org.apache.ws.security.crypto.merlin.keystore.providerstring用于装入密钥库的提供程序。缺省为所安装的提供程序。
org.apache.ws.security.crypto.merlin.cert.providerstring用于装入证书的提供程序。缺省为密钥库提供程序。
org.apache.ws.security.crypto.merlin.x509crl.filestring要使用的 (X509) CRL 文件的位置。
org.apache.ws.security.crypto.merlin.keystore.private.password可逆向编码的密码(字符串)用于装入专用密钥的缺省密码。

encryptionProperties

必需的加密配置。

NameTypeDefaultDescription
org.apache.ws.security.crypto.merlin.keystore.typestringJKS、JCEKS 或 PKCS11
org.apache.ws.security.crypto.merlin.keystore.aliasstring未指定密钥库别名时使用的缺省密钥库别名。
org.apache.ws.security.crypto.merlin.keystore.password可逆向编码的密码(字符串)用于访问密钥库文件的密码。
org.apache.ws.security.crypto.providerstringorg.apache.ws.security.components.crypto.Merlin用于创建密码实例的提供程序。缺省为“org.apache.ws.security.components.crypto.Merlin”。
org.apache.ws.security.crypto.merlin.filestring密钥库的位置
org.apache.ws.security.crypto.merlin.keystore.providerstring用于装入密钥库的提供程序。缺省为所安装的提供程序。
org.apache.ws.security.crypto.merlin.cert.providerstring用于装入证书的提供程序。缺省为密钥库提供程序。
org.apache.ws.security.crypto.merlin.x509crl.filestring要使用的 (X509) CRL 文件的位置。
org.apache.ws.security.crypto.merlin.keystore.private.password可逆向编码的密码(字符串)用于装入专用密钥的缺省密码。
org.apache.ws.security.crypto.merlin.truststore.filestring信任库的位置
org.apache.ws.security.crypto.merlin.truststore.password可逆向编码的密码(字符串)信任库密码。
org.apache.ws.security.crypto.merlin.truststore.typestring信任库类型。

samlToken

指定用来评估 SAML 断言的可信度和有效性的属性。

NameTypeDefaultDescription
wantAssertionsSigned布尔型true指示将签署此服务提供程序接收的 <saml:Assertion> 元素的需求。
clockSkew具有毫秒精度的时间段5m此属性用来指定验证 SAML 令牌时允许的时钟偏差(分钟)。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。
requiredSubjectConfirmationMethod
  • bearer
bearer指定在 SAML 断言中是否需要主体集确认方法。缺省值为 true。
bearer
bearer
timeToLive具有毫秒精度的时间段30m指定 SAML 断言在未定义 NoOnOrAfter 条件的情况下的缺省生存时间。缺省值是 30 分钟。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。

samlToken > audienceRestrictions

请指定允许使用 SAML 断言的受众。缺省值为允许所有受众。