samlWebSso20 - Authentification SAML Web SSO 2.0 (samlWebSso20)

Contrôle le fonctionnement du mécanisme SAML (Security Assertion Markup Language) Web SSO 2.0.

NameTypeDefaultDescription
idstringID de configuration unique.
httpsRequiredbooleantrueApplication de la communication SSL lorsque l'accès au noeud final d'un fournisseur de services SAML WebSSO, tel qu'ACS ou des métadonnées.
inboundPropagation
  • none
  • required
noneContrôle le fonctionnement du mécanisme de connexion unique (SSO) SAML (Security Assertion Markup Language) Web 2.0 pour propagation entrante des mécanismes de services Web.
none
%inboundPropagation.none
required
%inboundPropagation.required
wantAssertionsSignedbooleantrueIndique que les éléments <saml:Assertion> reçus par ce fournisseur de services doivent contenir un élément Signature qui signe l'assertion.
signatureMethodAlgorithm
  • SHA256
  • SHA1
  • SHA128
SHA256Algorithme requis par ce fournisseur de services.
SHA256
Algorithme de signature SHA-256
SHA1
Algorithme de signature SHA-1
SHA128
%signatureMethodAlgorithm.SHA128
createSessionbooleantrueIndique si une session HttpSession doit être créée si la session HttpSession n'existe pas.
authnRequestsSignedbooleantrueIndique si les messages <samlp:AuthnRequest> envoyés par ce fournisseur de services sont signés.
includeX509InSPMetadatabooleantrueIndique si le certificat x509 doit être inclus dans les métadonnées du fournisseur de service Liberty.
forceAuthnbooleanfalseIndique si le fournisseur d'identité doit forcer l'utilisateur à s'authentifier à nouveau.
isPassivebooleanfalseIndique si le fournisseur d'identité doit prendre le contrôle de l'interface de l'utilisateur final.
allowCreatebooleanAutorise le fournisseur d'identité à créer un compte si le demandeur n'en a pas.
authnContextComparisonType
  • better
  • exact
  • maximum
  • minimum
exactAvec authnContextClassRef, authnContextComparisonType peut être défini.
better
Meilleur. Le contexte d'authentification dans l'instruction d'authentification doit plus fort que n'importe lequel des contextes d'authentification spécifiés.
exact
Exact. Le contexte d'authentification dans l'instruction d'authentification doit correspondre exactement à l'un des contextes d'authentification spécifiés.
maximum
Maximum. Le contexte d'authentification dans l'instruction d'authentification doit être aussi fort que possible sans dépasser la force d'au mois un des contextes d'authentification spécifiés.
minimum
Minimum. Le contexte d'authentification dans l'instruction d'authentification doit au moins être aussi fort que l'un des contextes d'authentification spécifiés.
nameIDFormat
  • windowsDomainQualifiedName
  • encrypted
  • unspecified
  • transient
  • x509SubjectName
  • kerberos
  • persistent
  • customize
  • email
  • entity
emailIndique la référence d'URI correspondant à un format d'identificateur de nom défini dans la spécification de coeur SAML.
windowsDomainQualifiedName
urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName
encrypted
urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
transient
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
x509SubjectName
urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName
kerberos
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
customize
Format d'ID de nom personnalisé.
email
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
entity
urn:oasis:names:tc:SAML:2.0:nameid-format:entity
customizeNameIDFormatstringIndique la référence d'URI personnalisée correspondant à un format d'identificateur de nom qui n'est pas défini dans la spécification de coeur SAML.
idpMetadatastring${server.config.dir}/resources/security/idpMetadata.xmlIndique le fichier de métadonnées du fournisseur d'identité.
keyStoreRefRéférence à lélément {0} de niveau supérieur (chaîne).Fichier de clés contenant la clé privée pour la signature de l'élément AuthnRequest et le déchiffrement de l'élément EncryptedAssertion. La valeur par défaut est celle du serveur.
keyAliasstringNom de l'alias de clé permettant de localiser la clé privée pour la signature et le déchiffrement. Cela est facultatif si si le magasin de clés comporte exactement une entrée de clé, ou s'il contient une clé avec l'alias 'samlsp'.
loginPageURLstringURL de l'application de connexion au fournisseur d'identité SAML vers laquelle sont renvoyées les demandes non authentifiées. Cet attribut déclenche une connexion unique initiée par le fournisseur d'identité, et n'est requis que pour ce type de connexion.
errorPageURLstringIndique une page d'erreur à afficher en cas d'échec de la validation SAML. Si cet attribut n'est pas défini, et si le SAML reçu n'est pas valide, l'utilisateur sera redirigé vers le fournisseur d'identité SAML pour redémarrer la connexion unique.
clockSkewPériode avec une précision à la milliseconde près5mPermet d'indiquer le décalage d'horloge admis (en minutes) lors de la validation du jeton SAML. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie.
tokenReplayTimeoutPériode avec une précision à la milliseconde près30mDéfinit la durée pendant laquelle le fournisseur de services Liberty doit empêcher la réutilisation du jeton (token replay). Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie.
sessionNotOnOrAfterPériode avec une précision à la milliseconde près120mIndique une limite supérieure sur les durées de session SAML, au terme duquel le fournisseur de services Liberty doit demander à l'utilisateur de s'authentifier à nouveau auprès du fournisseur d'identité. Si le jeton SAML renvoyé par le fournisseur d'identité ne contient pas d'assertion sessionNotOnOrAfter, la valeur spécifiée par cet attribut est utilisée. Cette propriété est seulement utilisée si disableLtpaCookie=true. La valeur par défaut est true. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie.
userIdentifierstringIndique un attribut SAML qui est utilisé comme nom de principal utilisateur dans le sujet. Si aucune valeur n'est spécifiée, la valeur de l'élément d'assertion SAML NameID est utilisée.
groupIdentifierstringIndique un attribut SAML qui est utilisé comme nom du groupe dont le principal authentifié est membre. Il n’existe aucune valeur par défaut.
userUniqueIdentifierstringIndique un attribut SAML qui est utilisé comme nom d'utilisateur unique dès lors qu'il s'applique à WSCredential dans le sujet. La valeur par défaut est identique à celle de la valeur d'attribut userIdentifier.
realmIdentifierstringIndique un attribut SAML qui est utilisé comme nom de domaine principal. Si aucune valeur n'est spécifiée, la valeur de l'élément d'assertion SAML Issuer est utilisée.
includeTokenInSubjectbooleantrueIndique s'il faut inclure une assertion SAML dans le sujet.
mapToUserRegistry
  • No
  • Group
  • User
NoIndique comment mapper une identité à un utilisateur du registre. Les options sont Non, Utilisateur et Groupe. La valeur par défaut est Non et le registre d'utilisateurs n'est pas utilisé pour créer le sujet utilisateur.
No
Ne pas mapper une identité SAML à un utilisateur ou un groupe dans le registre
Group
Mapper une identité SAML à un groupe défini dans le registre d'utilisateurs
User
Mapper une identité SAML à un utilisateur défini dans le registre
authFilterRefRéférence à lélément {0} de niveau supérieur (chaîne).Spécifie la référence de filtre d'authentification.
disableLtpaCookiebooleantrueNe pas créer de jeton LTPA pendant le traitement de l'assertion SAML. Créer à la place un cookie pour le fournisseur de services.
realmNamestringIndique un nom de domaine lorsque mapToUserRegistry est défini sur No ou Group.
authnRequestTimePériode avec une précision à la milliseconde près10mIndique la plage de temps d'un authnReuqest qui est généré et envoyé depuis le fournisseur de services à un fournisseur d'identité pour la demande d'un jeton SAML. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie.
enabledbooleantrueSi true, le fournisseur de services est activé. Si false, le fournisseur de services est désactivé.
allowCustomCacheKeybooleantrueAutoriser la génération d'une clé de mémoire cache personnalisée pour accéder au cache d'authentification et obtenir le sujet.
spHostAndPortstringIndique le nom d’hôte et le numéro de port d'un fournisseur de services SAML.
reAuthnOnAssertionExpirebooleanfalseRéauthentifiez la demande HTTP lorsqu'une assertion SAML est sur le point d'expirer.
reAuthnCushionPériode avec une précision à la milliseconde près0mPériode pendant laquelle il est possible d'effectuer une réauthentification lorsqu'une assertion SAML est sur le point d'expirer, indiquée soit par l'instruction NotOnOrAfter soit par l'attribut SessionNotOnOrAfter de l'assertion SAML. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie.
targetPageUrlstringPage d'arrivée par défaut pour la connexion unique initiée par IdP si relayState manquant. Cette propriété doit avoir pour valeur une URL valide si useRelayStateForTarget a pour valeur false.
useRelayStateForTargetbooleantrueLorsque vous établissez une connexion unique initiée par le fournisseur d'identité, cette propriété spécifie si relayState dans SAMLResponse doit être utilisé comme URL cible. Si elle a pour valeur false, la valeur de targetPageUrl est toujours utilisée comme URL cible.

authnContextClassRef

Référence d'URI identifiant une classe de contexte d'authentification qui décrit la déclaration de contexte d'authentification. Par défaut, la valeur est Null.

pkixTrustEngine

Indique les informations de confiance PKIX utilisées pour évaluer la fiabilité et la validité des signatures XML dans une réponse SAML. Ne spécifiez pas plusieurs éléments pkixTrustEngine dans un samlWebSso20.

NameTypeDefaultDescription
trustAnchorRefRéférence à lélément {0} de niveau supérieur (chaîne).Fichier de clés contenant la clé publique requise pour vérifier la signature de SAMLResponse et de l'assertion.

pkixTrustEngine > trustedIssuers

Indique l'identité d'émetteurs de fournisseur d'identité dignes de confiance. Si la valeur est "ALL_ISSUERS", tous les émetteurs de fournisseur d'identité sont dignes de confiance.

pkixTrustEngine > x509Certificate

ID de configuration unique.

NameTypeDefaultDescription
idstringID de configuration unique.
pathstringIndique le chemin du certificat x509.

pkixTrustEngine > crl

ID de configuration unique.

NameTypeDefaultDescription
idstringID de configuration unique.
pathstringIndique le chemin de la liste de révocation de certificats.

authFilter

Spécifie la référence de filtre d'authentification.

authFilter > webApp

ID de configuration unique.

NameTypeDefaultDescription
idstringID de configuration unique.
namestringSpécifie le nom.
matchType
  • contains
  • notContain
  • equals
containsSpécifie le type de mise en correspondance.
contains
Contient
notContain
Ne contient pas
equals
Egal à

authFilter > requestUrl

ID de configuration unique.

NameTypeDefaultDescription
idstringID de configuration unique.
urlPatternstringSpécifie le masque d'URL.
matchType
  • contains
  • notContain
  • equals
containsSpécifie le type de mise en correspondance.
contains
Contient
notContain
Ne contient pas
equals
Egal à

authFilter > remoteAddress

ID de configuration unique.

NameTypeDefaultDescription
idstringID de configuration unique.
matchType
  • contains
  • notContain
  • equals
  • lessThan
  • greaterThan
containsSpécifie le type de mise en correspondance.
contains
Contient
notContain
Ne contient pas
equals
Egal à
lessThan
Inférieur à
greaterThan
Supérieur à
ipstringSpécifie l'adresse IP.

authFilter > host

ID de configuration unique.

NameTypeDefaultDescription
idstringID de configuration unique.
namestringSpécifie le nom.
matchType
  • contains
  • notContain
  • equals
containsSpécifie le type de mise en correspondance.
contains
Contient
notContain
Ne contient pas
equals
Egal à

authFilter > userAgent

ID de configuration unique.

NameTypeDefaultDescription
idstringID de configuration unique.
agentstringSpécifie l'agent utilisateur
matchType
  • contains
  • notContain
  • equals
containsSpécifie le type de mise en correspondance.
contains
Contient
notContain
Ne contient pas
equals
Egal à

headerName

Nom de l'en-tête de la demande HTTP qui stocke le jeton SAML.

audiences

Liste des audiences admises pour vérifier l'audience du jeton SAML. Si la valeur est "ANY", toutes les audiences sont considérées comme fiables.