wsSecurityProvider - WS-Security fournisseur (wsSecurityProvider)

Configuration par défaut de la sécurité de services Web pour le fournisseur.

NameTypeDefaultDescription
ws-security.usernamestringInformations utilisateur permettant de créer un jeton de nom d'utilisateur.
ws-security.callback-handlerstringClasse d'implémentation du gestionnaire de rappel de mot de passe.
ws-security.encryption.usernamestringAlias utilisé pour l'accès au fichier de clés de chiffrement.
ws-security.signature.usernamestringAlias utilisé pour l'accès au fichier de clés de signature.
ws-security.enable.nonce.cachebooleantrueIndique s'il est nécessaire de mettre en cache les valeurs Nonce UsernameToken.

callerToken

Jeton d'appelant.

NameTypeDefaultDescription
namestringIndiquez le nom du jeton. Les options sont : Usernametoken, X509token, Samltoken.
userIdentifierstringIndique un attribut SAML qui est utilisé comme nom principal d'utilisateur dans le sujet. La valeur par défaut est l'assertion NameID.
groupIdentifierstringIndique un attribut SAML qui est utilisé comme nom du groupe dont le principal authentifié est membre. Il n’existe aucune valeur par défaut.
userUniqueIdentifierstringIndique un attribut SAML qui est utilisé comme nom d'utilisateur unique dès lors qu'il s'applique à WSCredential dans le sujet. La valeur par défaut est identique à celle de la valeur d'attribut userIdentifier.
realmIdentifierstringIndique un attribut SAML qui est utilisé comme nom de domaine principal. La valeur par défaut est issuer.
includeTokenInSubjectbooleantrueIndique s'il faut inclure une assertion SAML dans le sujet.
mapToUserRegistry
  • No
  • Group
  • User
NoIndique comment mapper une identité à un utilisateur du registre. Les options sont Non, Utilisateur et Groupe. La valeur par défaut est Non et le registre d'utilisateurs n'est pas utilisé pour créer le sujet utilisateur.
No
Ne pas mapper une identité SAML à un utilisateur ou un groupe dans le registre
Group
Mapper une identité SAML à un groupe défini dans le registre d'utilisateurs
User
Mapper une identité SAML à un utilisateur défini dans le registre
realmNamestringIndique un nom de domaine lorsque mapToUserRegistry est défini sur No ou Group.
allowCustomCacheKeybooleantrueAutoriser la génération d'une clé de mémoire cache personnalisée pour accéder au cache d'authentification et obtenir le sujet .

signatureProperties

Configuration de signature requise.

NameTypeDefaultDescription
org.apache.ws.security.crypto.merlin.keystore.typestringJKS, JCEKS ou PKCS11
org.apache.ws.security.crypto.merlin.keystore.aliasstringAlias de fichier de clés par défaut à utiliser, si aucun fichier de clés n'est spécifié.
org.apache.ws.security.crypto.merlin.keystore.passwordMot de passe codé réversible (chaîne)Mot de passe pour l'accès au fichier de clés.
org.apache.ws.security.crypto.merlin.filestringEmplacement du fichier de clés
org.apache.ws.security.crypto.merlin.truststore.filestringEmplacement du fichier de clés certifiées
org.apache.ws.security.crypto.merlin.truststore.passwordMot de passe codé réversible (chaîne)Mot de passe du fichier de clés certifiées.
org.apache.ws.security.crypto.merlin.truststore.typestringType du fichier de clés certifiées
org.apache.ws.security.crypto.providerstringorg.apache.ws.security.components.crypto.MerlinFournisseur utilisé pour la création d'instances de classe Crypto. La valeur par défaut est "org.apache.ws.security.components.crypto.Merlin".
org.apache.ws.security.crypto.merlin.keystore.providerstringFournisseur utilisé pour le chargement des fichiers de clés. Il s'agit par défaut du fournisseur installé.
org.apache.ws.security.crypto.merlin.cert.providerstringFournisseur utilisé pour le chargement des certificats. Il s'agit par défaut du fournisseur du fichier de clés.
org.apache.ws.security.crypto.merlin.x509crl.filestringEmplacement d'un fichier CRL (X509) à utiliser.
org.apache.ws.security.crypto.merlin.keystore.private.passwordMot de passe codé réversible (chaîne)Mot de passe par défaut utilisé pour le chargement de la clé privée.

encryptionProperties

Configuration de chiffrement requise.

NameTypeDefaultDescription
org.apache.ws.security.crypto.merlin.keystore.typestringJKS, JCEKS ou PKCS11
org.apache.ws.security.crypto.merlin.keystore.aliasstringAlias de fichier de clés par défaut à utiliser, si aucun fichier de clés n'est spécifié.
org.apache.ws.security.crypto.merlin.keystore.passwordMot de passe codé réversible (chaîne)Mot de passe pour l'accès au fichier de clés.
org.apache.ws.security.crypto.providerstringorg.apache.ws.security.components.crypto.MerlinFournisseur utilisé pour la création d'instances de classe Crypto. La valeur par défaut est "org.apache.ws.security.components.crypto.Merlin".
org.apache.ws.security.crypto.merlin.filestringEmplacement du fichier de clés
org.apache.ws.security.crypto.merlin.keystore.providerstringFournisseur utilisé pour le chargement des fichiers de clés. Il s'agit par défaut du fournisseur installé.
org.apache.ws.security.crypto.merlin.cert.providerstringFournisseur utilisé pour le chargement des certificats. Il s'agit par défaut du fournisseur du fichier de clés.
org.apache.ws.security.crypto.merlin.x509crl.filestringEmplacement d'un fichier CRL (X509) à utiliser.
org.apache.ws.security.crypto.merlin.keystore.private.passwordMot de passe codé réversible (chaîne)Mot de passe par défaut utilisé pour le chargement de la clé privée.
org.apache.ws.security.crypto.merlin.truststore.filestringEmplacement du fichier de clés certifiées
org.apache.ws.security.crypto.merlin.truststore.passwordMot de passe codé réversible (chaîne)Mot de passe du fichier de clés certifiées.
org.apache.ws.security.crypto.merlin.truststore.typestringType du fichier de clés certifiées

samlToken

Indique les propriétés qui sont utilisées pour évaluer la fiabilité et la validité d'une assertion SAML.

NameTypeDefaultDescription
wantAssertionsSignedbooleantrueIndique que les éléments <saml:Assertion> reçus par ce fournisseur de services doivent être signés.
clockSkewPériode avec une précision à la milliseconde près5mPermet d'indiquer le décalage d'horloge admis (en minutes) lors de la validation du jeton SAML. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie.
requiredSubjectConfirmationMethod
  • bearer
bearerIndiquez si la méthode de confirmation de sujet est requise dans l'assertion SAML. La valeur par défaut est true.
bearer
bearer
timeToLivePériode avec une précision à la milliseconde près30mIndiquez la plage de temps par défaut d'une assertion SAML dans le cas où elle ne définit pas la condition NoOnOrAfter. La valeur par défaut est de 30 minutes. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie.

samlToken > audienceRestrictions

Indiquez les audiences d'assertion SAML autorisées. La valeur par défaut est l'autorisation de toutes les audiences.