samlWebSso20 - Autenticação do SAML Web SSO 2.0 (samlWebSso20)

Controla a operação do mecanismo do Security Assertion Markup Language Web SSO 2.0.

NameTypeDefaultDescription
idsequênciaUm ID de configuração exclusivo.
httpsRequiredbooleanotrueReforce usando a comunicação de SSL ao acessar um terminal de provedor de serviços SAML WebSSO, como acs ou metadados.
inboundPropagation
  • none
  • required
noneControla a operação do Security Assertion Markup Language Web SSO 2.0 para a propagação de entrada dos Mecanismos de serviços da web.
none
%inboundPropagation.none
required
%inboundPropagation.required
wantAssertionsSignedbooleanotrueIndica um requisito para os elementos <saml:Assertion> recebidos por este provedor de serviços para conter um elemento de assinatura que assina a asserção.
signatureMethodAlgorithm
  • SHA256
  • SHA1
  • SHA128
SHA256Indica o algoritmo requerido por este provedor de serviços.
SHA256
Algoritmo de assinatura SHA-256
SHA1
Algoritmo de assinatura SHA-1
SHA128
%signatureMethodAlgorithm.SHA128
createSessionbooleanotrueEspecifica se um HttpSession deve ser criado caso o HttpSession não exista.
authnRequestsSignedbooleanotrueIndica se as mensagens <samlp:AuthnRequest> enviadas por este provedor de serviços serão assinadas.
includeX509InSPMetadatabooleanotrueEspecifica se deve incluir o certificado x509 nos metadados do SP Liberty.
forceAuthnbooleanofalseIndica se o IdP deve forçar o usuário a autenticar novamente
isPassivebooleanofalseIndica que o IdP não deve assumir o controle da interface do usuário final.
allowCreatebooleanoPermita que o IdP crie uma nova conta se o usuário solicitante não tiver uma.
authnContextComparisonType
  • better
  • exact
  • maximum
  • minimum
exactQuando um authnContextClassRef for especificado, o authnContextComparisonType poderá ser configurado.
better
Melhor. O contexto de autenticação na instrução de autenticação deve ser mais forte que qualquer um dos contextos de autenticação especificados.
exact
Exato. O contexto de autenticação na instrução de autenticação deve ser uma correspondência exata para ao menos um dos contextos de autenticação especificados.
maximum
Máximo. O contexto de autenticação na instrução de autenticação deve ser o mais forte possível sem exceder a força de ao menos um dos contextos de autenticação especificados.
minimum
Mínimo. O contexto de autenticação na instrução de autenticação deve ser ao menos tão forte quanto um dos contextos de autenticação especificados.
nameIDFormat
  • windowsDomainQualifiedName
  • encrypted
  • unspecified
  • transient
  • x509SubjectName
  • kerberos
  • persistent
  • customize
  • email
  • entity
emailEspecifica a referência do URI correspondente a um formato de identificador de nome definido na especificação do núcleo do SAML.
windowsDomainQualifiedName
urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName
encrypted
urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
transient
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
x509SubjectName
urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName
kerberos
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
customize
Formato de ID de nome customizado.
email
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
entity
urn:oasis:names:tc:SAML:2.0:nameid-format:entity
customizeNameIDFormatstringEspecifica a referência de URI customizada correspondente a um formato de identificador do nome não definido na especificação do núcleo do SAML.
idpMetadatastring${server.config.dir}/resources/security/idpMetadata.xmlEspecifica o arquivo de metadados do IdP.
keyStoreRefUma referência para o elemento de nível keyStore (sequência).Uma keystore contendo uma chave privada para a assinatura do AuthnRequest e a descrição do elemento EncryptedAssertion. O padrão é o padrão do servidor.
keyAliasstringNome do alias de chave para localizar a chave privada para assinatura e decriptografia. Isso será opcional se o keystore tiver exatamente uma entrada de chave, ou se tiver uma chave com um alias de 'samlsp'.
loginPageURLstringEspecifica a URL do aplicativo de login IdP do SAML para a qual a solicitação não autenticada é redirecionada. Este atributo aciona SSO iniciada pelo IdP, e ele é requerido somente para SSO iniciada pelo IdP.
errorPageURLstringEspecifica uma página de erro a ser exibida se a validação SAML falhar. Se este atributo não for especificado e o SAML recebido for inválido, o usuário será redirecionado de volta para o IdP do SAML para reiniciar a SSO.
clockSkewUm período de tempo com precisão de milissegundo5mIsto é usado para especificar o clock skew permitido em minutos ao validar o token SAML. Especifique um número inteiro positivo seguido por uma unidade de tempo, que pode ser horas (h), minutos (m), segundos (s) ou milissegundos (ms). Por exemplo, especifique 500 milissegundos como 500 ms. É possível incluir diversos valores em uma única entrada. Por exemplo, 1s500ms é equivalente a 1,5 segundos.
tokenReplayTimeoutUm período de tempo com precisão de milissegundo30mEssa propriedade é utilizada para especificar por quanto tempo o Liberty SP deve impedir a reprodução do token. Especifique um número inteiro positivo seguido por uma unidade de tempo, que pode ser horas (h), minutos (m), segundos (s) ou milissegundos (ms). Por exemplo, especifique 500 milissegundos como 500 ms. É possível incluir diversos valores em uma única entrada. Por exemplo, 1s500ms é equivalente a 1,5 segundos.
sessionNotOnOrAfterUm período de tempo com precisão de milissegundo120mIndica um limite superior nas durações da sessão do SAML, depois que o Liberty SP solicitar que o usuário autentique novamente o IdP. Se o token do SAML retornado do IdP não contiver uma asserção sessionNotOnOrAfter, o valor especificado por este atributo será usado. Essa propriedade só é usada se disableLtpaCookie=true. O valor padrão é true. Especifique um número inteiro positivo seguido por uma unidade de tempo, que pode ser horas (h), minutos (m), segundos (s) ou milissegundos (ms). Por exemplo, especifique 500 milissegundos como 500 ms. É possível incluir diversos valores em uma única entrada. Por exemplo, 1s500ms é equivalente a 1,5 segundos.
userIdentifierstringEspecifica um atributo do SAML usado como o nome principal do usuário no assunto. Se nenhum valor for especificado o valor do elemento de asserção SAML NameID será usado.
groupIdentifierstringEspecifica um atributo do SAML usado como o nome do grupo que o principal autenticado é membro. Não há valor padrão.
userUniqueIdentifierstringEspecifica um atributo do SAML usado como um nome de usuário exclusivo conforme se aplica ao WSCredential no assunto. O padrão é o mesmo que o valor do atributo userIdentifier.
realmIdentifierstringEspecifica um atributo do SAML usado como o nome da região. Se nenhum valor for especificado, o valor do elemento de asserção SAML Emissor será usado.
includeTokenInSubjectbooleanotrueEspecifica se deve incluir uma asserção SAML no assunto.
mapToUserRegistry
  • No
  • Group
  • User
NoEspecifica como mapear uma identidade para um usuário de registro. As opções são Não, Usuário e Grupo. O padrão é Não e o registro do usuário não será usado para criar um assunto de usuário.
No
Não mapeie uma identidade SAML para um usuário ou grupo no registro
Group
Mapeie uma identidade SAML para um grupo definido no registro do usuário
User
Mapeia uma identidade SAML para um usuário definido no registro
authFilterRefUma referência para o elemento de nível authFilter (sequência).Especifica a referência do filtro de autenticação.
disableLtpaCookiebooleanotrueNão crie um Token LTPA durante o processamento da asserção SAML. Crie um cookie do Provedor de Serviços específico em vez disso.
realmNamestringEspecifica o nome da região quando o mapToUserRegistry está configurado para Não ou Grupo.
authnRequestTimeUm período de tempo com precisão de milissegundo10mEspecifica o período de tempo de vida de um authnReuqest que é gerado e enviado do provedor de serviços para um IdP para solicitar um token SAML. Especifique um número inteiro positivo seguido por uma unidade de tempo, que pode ser horas (h), minutos (m), segundos (s) ou milissegundos (ms). Por exemplo, especifique 500 milissegundos como 500 ms. É possível incluir diversos valores em uma única entrada. Por exemplo, 1s500ms é equivalente a 1,5 segundos.
enabledbooleanotrueO provedor de serviços está ativado se estiver como true e desativado se estiver como false.
allowCustomCacheKeybooleanotruePermite gerar uma chave de cache customizada para acessar o cache de autenticação e obter o assunto.
spHostAndPortstringEspecifica um nome do host e número da porta do provedor de serviços SAML.
reAuthnOnAssertionExpirebooleanofalseAutentique a solicitação de HTTP recebida novamente quando uma Asserção SAML estiver prestes a expirar.
reAuthnCushionUm período de tempo com precisão de milissegundo0mO período para autenticar novamente quando uma Asserção SAML estiver prestes a expirar, o que é indicado pela instrução NotOnOrAfter ou pelo atributo SessionNotOnOrAfter da Asserção SAML. Especifique um número inteiro positivo seguido por uma unidade de tempo, que pode ser horas (h), minutos (m), segundos (s) ou milissegundos (ms). Por exemplo, especifique 500 milissegundos como 500 ms. É possível incluir diversos valores em uma única entrada. Por exemplo, 1s500ms é equivalente a 1,5 segundos.
targetPageUrlstringA página de entrada padrão para o IdP-initiated SSO se o relayState estiver ausente. Essa propriedade deverá ser configurada para uma URL válida se useRelayStateForTarget estiver configurado para false.
useRelayStateForTargetbooleanotrueAo executar a SSO iniciada por IdP, essa propriedade especifica se o relayState em um SAMLResponse deverá ser usado como a URL de destino. Se configurada para false, o valor para targetPageUrl será sempre usado como a URL de destino.

authnContextClassRef

Uma referência de URI identificando uma classe de contexto de autenticação que descreve a declaração de contexto de autenticação. O padrão é null.

pkixTrustEngine

Especifica as informações confiáveis do PKIX que são usadas para avaliar a fidelidade e a validade de assinaturas XML em uma resposta SAML. Não especifique vários pkixTrustEngine em um samlWebSso20.

NameTypeDefaultDescription
trustAnchorRefUma referência para o elemento de nível keyStore (sequência).Um keystore contendo a chave pública necessária para verificar a assinatura do SAMLResponse e da asserção.

pkixTrustEngine > trustedIssuers

Especifica as identidades dos emissores de IdP confiáveis. Se o valor for "ALL_ISSUERS", então todas as identidades IdP serão confiáveis.

pkixTrustEngine > x509Certificate

Um ID de configuração exclusivo.

NameTypeDefaultDescription
idsequênciaUm ID de configuração exclusivo.
pathstringEspecifica o caminho para o certificado x509.

pkixTrustEngine > crl

Um ID de configuração exclusivo.

NameTypeDefaultDescription
idsequênciaUm ID de configuração exclusivo.
pathstringEspecifica o caminho para o crl.

authFilter

Especifica a referência do filtro de autenticação.

authFilter > webApp

Um ID de configuração exclusivo.

NameTypeDefaultDescription
idsequênciaUm ID de configuração exclusivo.
namestringEspecifica o nome.
matchType
  • contains
  • notContain
  • equals
containsEspecifica o tipo de correspondência.
contains
Contém
notContain
Não contém
equals
Igual a

authFilter > requestUrl

Um ID de configuração exclusivo.

NameTypeDefaultDescription
idsequênciaUm ID de configuração exclusivo.
urlPatternstringEspecifica o padrão da URL.
matchType
  • contains
  • notContain
  • equals
containsEspecifica o tipo de correspondência.
contains
Contém
notContain
Não contém
equals
Igual a

authFilter > remoteAddress

Um ID de configuração exclusivo.

NameTypeDefaultDescription
idsequênciaUm ID de configuração exclusivo.
matchType
  • contains
  • notContain
  • equals
  • lessThan
  • greaterThan
containsEspecifica o tipo de correspondência.
contains
Contém
notContain
Não contém
equals
Igual a
lessThan
Menor que
greaterThan
Maior que
ipstringEspecifica o endereço IP.

authFilter > host

Um ID de configuração exclusivo.

NameTypeDefaultDescription
idsequênciaUm ID de configuração exclusivo.
namestringEspecifica o nome.
matchType
  • contains
  • notContain
  • equals
containsEspecifica o tipo de correspondência.
contains
Contém
notContain
Não contém
equals
Igual a

authFilter > userAgent

Um ID de configuração exclusivo.

NameTypeDefaultDescription
idsequênciaUm ID de configuração exclusivo.
agentstringEspecifica o agente do usuário
matchType
  • contains
  • notContain
  • equals
containsEspecifica o tipo de correspondência.
contains
Contém
notContain
Não contém
equals
Igual a

headerName

O nome do cabeçalho da solicitação de HTTP que armazena o Token do SAML.

audiences

A lista de públicos que são confiáveis para verificar a audiência do Token SAML. Se o valor for "ANY", então, todos os públicos são confiáveis.