samlWebSso20 - SAML Web SSO 2.0 鑑別 (samlWebSso20)

控制安全主張標記語言 Web SSO 2.0 機制的作業。

NameTypeDefaultDescription
idstring唯一的配置 ID。
httpsRequiredbooleantrue在存取 SAML WebSSO 服務提供者端點(如:acs 或中繼資料)時,強制使用 SSL 通訊。
inboundPropagation
  • none
  • required
none控制「Web 服務機制」的入埠延伸之「安全主張標記語言 Web SSO 2.0」的作業。
none
%inboundPropagation.none
required
%inboundPropagation.required
wantAssertionsSignedbooleantrue指出此服務提供者所接收的 <saml:Assertion> 元素需包含一個用來簽署「主張」的 Signature 元素。
signatureMethodAlgorithm
  • SHA256
  • SHA1
  • SHA128
SHA256指出此服務提供者所需的演算法。
SHA256
SHA-256 簽章演算法
SHA1
SHA-1 簽章演算法
SHA128
%signatureMethodAlgorithm.SHA128
createSessionbooleantrue指定如果現行 HttpSession 不存在,是否要建立 HttpSession。
authnRequestsSignedbooleantrue指出是否要簽署此服務提供者所傳送的 <samlp:AuthnRequest> 訊息。
includeX509InSPMetadatabooleantrue指定是否將 x509 憑證包含在 Liberty SP meta 資料中。
forceAuthnbooleanfalse指出 IdP 是否應強制使用者重新鑑別。
isPassivebooleanfalse指出 IdP 不得控制一般使用者介面。
allowCreateboolean如果發出要求的使用者沒有帳戶,則容許 IdP 建立新帳戶。
authnContextComparisonType
  • better
  • exact
  • maximum
  • minimum
exact當指定 authnContextClassRef 時,可以設定 authnContextComparisonType。
better
更好。鑑別陳述式中的鑑別環境定義強度必須大於指定的任一項鑑別環境定義。
exact
確切。鑑別陳述式中的鑑別環境定義必須完全符合指定的至少一項鑑別環境定義。
maximum
上限。鑑別陳述式中的鑑別環境定義強度必須越高越好,但不超過指定的至少一項鑑別環境定義的強度。
minimum
下限。鑑別陳述式中的鑑別環境定義強度必須至少等於指定的一項鑑別環境定義。
nameIDFormat
  • windowsDomainQualifiedName
  • encrypted
  • unspecified
  • transient
  • x509SubjectName
  • kerberos
  • persistent
  • customize
  • email
  • entity
email指定對應到 SAML 核心規格中定義之名稱 ID 格式的 URI 參照。
windowsDomainQualifiedName
urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName
encrypted
urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
transient
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
x509SubjectName
urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName
kerberos
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
customize
自訂的名稱 ID 格式。
email
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
entity
urn:oasis:names:tc:SAML:2.0:nameid-format:entity
customizeNameIDFormatstring指定對應到 SAML 核心規格中未定義之名稱 ID 格式的自訂 URI 參照。
idpMetadatastring${server.config.dir}/resources/security/idpMetadata.xml指定 IdP 中繼資料檔。
keyStoreRef最上層 keyStore 元素的參照(字串)。含有用來簽署 AuthnRequest 及解密 EncryptedAssertion 元素之私密金鑰的金鑰儲存庫。預設值是伺服器的預設值。
keyAliasstring這個金鑰別名用來尋找簽署和解密用的私密金鑰。如果金鑰儲存庫單單具有一個金鑰項目,或者其金鑰的別名是 'samlsp',則此項是選用的。
loginPageURLstring指定 SAML IdP 登入應用程式 URL,以便將未經鑑別的要求重新導向至該 URL。這個屬性會觸發 IdP 起始的 SSO,只有 IdP 起始的 SSO 才需要。
errorPageURLstring指定 SAML 驗證失敗時要顯示的錯誤頁面。如果未指定這個屬性,且收到的 SAML 無效,便會將使用者重新導向回 SAML IdP,以重新啟動 SSO。
clockSkew精準度是毫秒的時間量5m用來指定驗證 SAML 記號時,所容許的時間偏差(分鐘)。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。
tokenReplayTimeout精準度是毫秒的時間量30m這個內容用來指定 Liberty SP 應用多久的時間來阻止記號重播。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。
sessionNotOnOrAfter精準度是毫秒的時間量120m指出 SAML 階段作業期間的上限,一旦超過,Liberty SP 應要求使用者重新接受 IdP 的鑑別。如果 IdP 傳回的 SAML 記號沒有包含 sessionNotOnOrAfter 主張,就會使用這個屬性指定的值。只有在 disableLtpaCookie=true 時,才會使用這個內容。預設值為 true。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。
userIdentifierstring指定 SAML 屬性,以作為主體中的使用者主體名稱。如果沒有指定值,會使用 NameID SAML 主張元素值。
groupIdentifierstring指定 SAML 屬性,以作為已鑑別主體所屬的群組名稱。沒有預設值。
userUniqueIdentifierstring指定 SAML 屬性,以作為套用至主體中之 WSCredential 時的唯一使用者名稱。預設值與 userIdentifier 屬性值相同。
realmIdentifierstring指定將作為領域名稱的 SAML 屬性。如果沒有指定值,會使用發證者 SAML 主張元素值。
includeTokenInSubjectbooleantrue指定是否將 SAML 主張包含在主體中。
mapToUserRegistry
  • No
  • Group
  • User
No指定如何將身分對映至登錄使用者。選項是 No、User 和 Group。預設值是 No,表示不使用使用者登錄來建立使用者主體。
No
不將 SAML 身分對映至登錄中的使用者或群組
Group
將 SAML 身分對映至使用者登錄中所定義的群組
User
將 SAML 身分對映至登錄中所定義的使用者
authFilterRef最上層 authFilter 元素的參照(字串)。指定鑑別過濾器參照。
disableLtpaCookiebooleantrue在處理 SAML 主張期間,不建立 LTPA 記號。改為建立特定服務提供者的 Cookie。
realmNamestring指定當 mapToUserRegistry 設為 No 或 Group 時的網域範圍名稱。
authnRequestTime精準度是毫秒的時間量10m指定從服務提供者產生並傳送到要求「SAML 記號」之 IdP 的 authnReuqest 的存活時段。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。
enabledbooleantrue若為 true,表示啟用服務提供者;若為 false,表示停用。
allowCustomCacheKeybooleantrue容許產生自訂快取金鑰,以存取鑑別快取並取得主體。
spHostAndPortstring指定 SAML 服務提供者的主機名稱和埠號。
reAuthnOnAssertionExpirebooleanfalse當「SAML 主張」即將到期時,重新鑑別送入的 HTTP 要求。
reAuthnCushion精準度是毫秒的時間量0m「SAML 主張」即將到期時的重新鑑別時段,可用 NotOnOrAfter 陳述式或「SAML 主張」的 SessionNotOnOrAfter 屬性表示。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。
targetPageUrlstring如果遺漏 relayState,IdP-initiated SSO 的預設登入頁面。如果 useRelayStateForTarget 設為 false,則必須將這個內容設為有效 URL。
useRelayStateForTargetbooleantrue當執行由 IdP 起始的 SSO 時,這個內容指定是否應將 SAMLResponse 中的 relayState 作為目標 URL。如果設為 false,則一律會以 targetPageUrl 的值作為目標 URL。

authnContextClassRef

這個 URI 參照會識別說明鑑別環境定義宣告的鑑別環境定義類別。預設值為 null。

pkixTrustEngine

指定 PKIX 信任資訊,以用來評估 SAML 回應中 XML 簽章的可信度與有效性。請勿在 samlWebSso20 中指定多個 pkixTrustEngine。

NameTypeDefaultDescription
trustAnchorRef最上層 keyStore 元素的參照(字串)。含有驗證 SAMLResponse 和 Assertion 所需之公開金鑰的金鑰儲存庫。

pkixTrustEngine > trustedIssuers

指定信任的 IdP 發證者身分。如果值是 "ALL_ISSUERS",則會信任所有 IdP 身分。

pkixTrustEngine > x509Certificate

唯一的配置 ID。

NameTypeDefaultDescription
idstring唯一的配置 ID。
pathstring指定 X509 憑證的路徑。

pkixTrustEngine > crl

唯一的配置 ID。

NameTypeDefaultDescription
idstring唯一的配置 ID。
pathstring指定 CRL 的路徑。

authFilter

指定鑑別過濾器參照。

authFilter > webApp

唯一的配置 ID。

NameTypeDefaultDescription
idstring唯一的配置 ID。
namestring指定名稱。
matchType
  • contains
  • notContain
  • equals
contains指定相符類型。
contains
包含
notContain
不包含
equals
等於

authFilter > requestUrl

唯一的配置 ID。

NameTypeDefaultDescription
idstring唯一的配置 ID。
urlPatternstring指定 URL 型樣。
matchType
  • contains
  • notContain
  • equals
contains指定相符類型。
contains
包含
notContain
不包含
equals
等於

authFilter > remoteAddress

唯一的配置 ID。

NameTypeDefaultDescription
idstring唯一的配置 ID。
matchType
  • contains
  • notContain
  • equals
  • lessThan
  • greaterThan
contains指定相符類型。
contains
包含
notContain
不包含
equals
等於
lessThan
小於
greaterThan
大於
ipstring指定 IP 位址。

authFilter > host

唯一的配置 ID。

NameTypeDefaultDescription
idstring唯一的配置 ID。
namestring指定名稱。
matchType
  • contains
  • notContain
  • equals
contains指定相符類型。
contains
包含
notContain
不包含
equals
等於

authFilter > userAgent

唯一的配置 ID。

NameTypeDefaultDescription
idstring唯一的配置 ID。
agentstring指定使用者代理程式
matchType
  • contains
  • notContain
  • equals
contains指定相符類型。
contains
包含
notContain
不包含
equals
等於

headerName

儲存 SAML 記號之 HTTP 要求的標頭名稱。

audiences

驗證 SAML 記號的對象時,可信任的對象清單。如果值是 "ANY",則信任所有對象。