Die Web Services Security-Standardkonfiguration für Provider.
Name | Type | Default | Description |
---|---|---|---|
ws-security.username | string | Benutzerinformationen zum Erstellen von Benutzernamenstoken. | |
ws-security.callback-handler | string | Die Implementierungsklasse des Callback-Handlers für Kennwort. | |
ws-security.encryption.username | string | Alias, der für den Zugriff auf den Verschlüsselungskeystore verwendet wird. | |
ws-security.signature.username | string | Alias, der für den Zugriff auf den Signaturkeystore verwendet wird. | |
ws-security.enable.nonce.cache | boolean | true | Gibt an, ob UsernameToken-Nonce zwischengespeichert werden sollen. |
Caller-Token.
Name | Type | Default | Description |
---|---|---|---|
name | string | Geben Sie den Tokennamen an. Die gültigen Optionen sind Usernametoken, X509token, Samltoken. | |
userIdentifier | string | Gibt ein SAML-Attribut an, das als Benutzerprinzipalname im Subjekt verwendet wird. Standardmäßig wird die NameID-Zusicherung verwendet. | |
groupIdentifier | string | Gibt ein SAML-Attribut an, das als Name der Gruppe verwendet wird, zu der der authentifizierte Principal gehört. Es gibt keinen Standardwert. | |
userUniqueIdentifier | string | Gibt ein SAML-Attribut an, das als eindeutiger Benutzername für den WSCredential im Subjekt verwendet wird. Standardmäßig wird der Wert des Attributs userIdentifier verwendet. | |
realmIdentifier | string | Gibt ein SAML-Attribut an, das als Realmname verwendet wird. Standardmäßig wird das Attribut issuer verwendet. | |
includeTokenInSubject | boolean | true | Gibt an, ob eine SAML-Zusicherung in das Subjekt eingeschlossen werden soll. |
mapToUserRegistry |
| No | Gibt an, wie eine ID einem Registry-Benutzer zugeordnet wird. Die Optionen sind No, User und Group. Der Standardwert ist No, d. h., die Benutzerregistry wird nicht zum Erstellen des Benutzersubjekts verwendet. No Einem Benutzer oder einer Gruppe in der Registry keine SAML-ID zuordnen Group Einer in der Registry definierten Gruppe eine SAML-ID zuordnen User Einem in der Registry definierten Benutzer eine SAML-ID zuordnen |
realmName | string | Gibt einen Realmnamen an, wenn mapToUserRegistry auf No oder Group gesetzt ist. | |
allowCustomCacheKey | boolean | true | Lässt die Generierung eines angepassten Cacheschlüssels für den Zugriff auf den Authentifizierungscache und den Abruf des Subjekts zu. |
Die erforderliche Konfiguration für die Signatur.
Name | Type | Default | Description |
---|---|---|---|
org.apache.ws.security.crypto.merlin.keystore.type | string | JKS, JCEKS und PKCS11 | |
org.apache.ws.security.crypto.merlin.keystore.alias | string | Der zu verwendende Standard-Keystore-Alias, wenn keiner angegeben ist. | |
org.apache.ws.security.crypto.merlin.keystore.password | Umkehrbar verschlüsseltes Kennwort (string) | Kennwort für den Zugriff auf die Keystore-Datei. | |
org.apache.ws.security.crypto.merlin.file | string | Die Position des Keystores. | |
org.apache.ws.security.crypto.merlin.truststore.file | string | Die Postition des Truststores. | |
org.apache.ws.security.crypto.merlin.truststore.password | Umkehrbar verschlüsseltes Kennwort (string) | Das Truststore-Kennwort. | |
org.apache.ws.security.crypto.merlin.truststore.type | string | Der Truststore-Typ. | |
org.apache.ws.security.crypto.provider | string | org.apache.ws.security.components.crypto.Merlin | Der Provider, der zum Erstellen von Crypto-Instanzen verwendet wird. Nimmt standardmäßig den Wert "org.apache.ws.security.components.crypto.Merlin" an. |
org.apache.ws.security.crypto.merlin.keystore.provider | string | Der Provider, der zum Laden von Keystores verwendet wird. Standardmäßig wird der Wert des installierten Providers verwendet. | |
org.apache.ws.security.crypto.merlin.cert.provider | string | Der Provider, der zum Laden von Zertifikaten verwendet wird. Standardmäßig der Keystore-Provider. | |
org.apache.ws.security.crypto.merlin.x509crl.file | string | Die Position einer zu verwendenden (X509)-CRL-Datei. | |
org.apache.ws.security.crypto.merlin.keystore.private.password | Umkehrbar verschlüsseltes Kennwort (string) | Das Standardkennwort, das zum Laden des privaten Schlüssels verwendet wird. |
Die erforderliche Konfiguration für die Verschlüsselung.
Name | Type | Default | Description |
---|---|---|---|
org.apache.ws.security.crypto.merlin.keystore.type | string | JKS, JCEKS und PKCS11 | |
org.apache.ws.security.crypto.merlin.keystore.alias | string | Der zu verwendende Standard-Keystore-Alias, wenn keiner angegeben ist. | |
org.apache.ws.security.crypto.merlin.keystore.password | Umkehrbar verschlüsseltes Kennwort (string) | Kennwort für den Zugriff auf die Keystore-Datei. | |
org.apache.ws.security.crypto.provider | string | org.apache.ws.security.components.crypto.Merlin | Der Provider, der zum Erstellen von Crypto-Instanzen verwendet wird. Nimmt standardmäßig den Wert "org.apache.ws.security.components.crypto.Merlin" an. |
org.apache.ws.security.crypto.merlin.file | string | Die Position des Keystores. | |
org.apache.ws.security.crypto.merlin.keystore.provider | string | Der Provider, der zum Laden von Keystores verwendet wird. Standardmäßig wird der Wert des installierten Providers verwendet. | |
org.apache.ws.security.crypto.merlin.cert.provider | string | Der Provider, der zum Laden von Zertifikaten verwendet wird. Standardmäßig der Keystore-Provider. | |
org.apache.ws.security.crypto.merlin.x509crl.file | string | Die Position einer zu verwendenden (X509)-CRL-Datei. | |
org.apache.ws.security.crypto.merlin.keystore.private.password | Umkehrbar verschlüsseltes Kennwort (string) | Das Standardkennwort, das zum Laden des privaten Schlüssels verwendet wird. | |
org.apache.ws.security.crypto.merlin.truststore.file | string | Die Postition des Truststores. | |
org.apache.ws.security.crypto.merlin.truststore.password | Umkehrbar verschlüsseltes Kennwort (string) | Das Truststore-Kennwort. | |
org.apache.ws.security.crypto.merlin.truststore.type | string | Der Truststore-Typ. |
Gibt die Eigenschaften an, die zum Auswerten der Vertrauenswürdigkeit und Gültigkeit einer SAML-Zusicherung verwendet werden.
Name | Type | Default | Description |
---|---|---|---|
wantAssertionsSigned | boolean | true | Gibt an, dass die von diesem Service-Provider empfangenen <saml:Assertion>-Elemente signiert werden müssen. |
clockSkew | Zeitraum mit Genauigkeit in Millisekunden | 5m | Mit diesem Attribut wird die zulässige Zeitabweichung in Minuten bei der Validierung des SAML-Tokens angegeben. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden. |
requiredSubjectConfirmationMethod |
| bearer | Gibt an, ob die Subjektbestätigungsmethode in der SAML-Zusicherung erforderlich ist. Die Option ist standardmäßig ausgewählt. bearer bearer |
timeToLive | Zeitraum mit Genauigkeit in Millisekunden | 30m | Gibt die Standardlebensdauer einer SAML-Zusicherung an, wenn die Bedingung NoOnOrAfter nicht definiert ist. Der Standardwert ist 30 Minuten. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden. |
samlToken > audienceRestrictions
Gibt die für die SAML-Zusicherung zulässigen Zielgruppen an. Standardmäßig sind alle Zielgruppen zulässig.