Controla la operación del mecanismo Security Assertion Markup Language Web SSO 2.0.
Name | Type | Default | Description |
---|---|---|---|
id | string | Un ID de configuración exclusivo. | |
httpsRequired | boolean | true | Implementa el uso de la comunicación SSL cuando se accede a un punto final de proveedor de servicio SAML Web SSO, como acs o metadatos. |
inboundPropagation |
| none | Controla la operación de Security Assertion Markup Language Web SSO 2.0 para la propagación entrante de los mecanismos de servicios web. none %inboundPropagation.none required %inboundPropagation.required |
wantAssertionsSigned | boolean | true | Indica un requisito de que los elementos <saml:Assertion> que recibe este proveedor de servicios deben contener un elemento de firma que realiza la firma de la aserción. |
signatureMethodAlgorithm |
| SHA256 | Indica el algoritmo necesario para este proveedor de servicios. SHA256 Algoritmo de firma SHA-256 SHA1 Algoritmo de firma SHA-1 SHA128 %signatureMethodAlgorithm.SHA128 |
createSession | boolean | true | Especifica si se debe crear una sesión Http si la sesión Http actual no existe. |
authnRequestsSigned | boolean | true | Indica si los mensajes <samlp:AuthnRequest> que envía este proveedor de servicios se firmarán. |
includeX509InSPMetadata | boolean | true | Especifica si se debe incluir el certificado x509 en los metadatos SP de Liberty. |
forceAuthn | boolean | false | Indica si el IdP debe forzar la re-autenticación del usuario. |
isPassive | boolean | false | Indica que IdP no debe tomar el control de la interfaz de usuario final. |
allowCreate | boolean | Permitir que IdP cree una cuenta nueva si el usuario solicitante no tiene una. | |
authnContextComparisonType |
| exact | Cuando se especifica un authnContextClassRef, se puede establecer el authnContextComparisonType. better Mejor. El contexto de autenticación de la sentencia de autenticación debe ser más fuerte que cualquiera de los contextos de autenticación especificados. exact Exacto. El contexto de autenticación de la sentencia de autenticación debe coincidir exactamente con al menos uno de los contextos de autenticación especificados. maximum Máximo. El contexto de autenticación de la sentencia de autenticación debe ser tan fuerte como sea posible sin sobrepasar la fuerza de al menos uno de los contextos de autenticación especificados. minimum Mínimo. El contexto de autenticación de la sentencia de autenticación debe ser al menos tan fuerte como uno de los contextos de autenticación especificados. |
nameIDFormat |
| Especifica la referencia de URI correspondiente a un formato de identificador de nombre definido en la especificación de núcleo de SAML. windowsDomainQualifiedName urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName encrypted urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted unspecified urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified transient urn:oasis:names:tc:SAML:2.0:nameid-format:transient x509SubjectName urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName kerberos urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos persistent urn:oasis:names:tc:SAML:2.0:nameid-format:persistent customize Formato de ID de nombre personalizado. urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress entity urn:oasis:names:tc:SAML:2.0:nameid-format:entity | |
customizeNameIDFormat | string | Especifica la referencia de URI personalizada correspondiente a un formato de identificador de nombre que no está definido en la especificación de núcleo de SAML. | |
idpMetadata | string | ${server.config.dir}/resources/security/idpMetadata.xml | Especifica el archivo de metadatos IdP. |
keyStoreRef | Una referencia a un elemento keyStore de nivel superior (string). | Un almacén de claves que contiene la clave privada para la firma de la AuthnRequest y el descifrado del elemento EncryptedAssertion. El valor predeterminado es el valor predeterminado del servidor. | |
keyAlias | string | Nombre de alias de clave para localizar la clave privada para firmar y descifrar. Esto es opcional si el almacén de claves tiene exactamente una entrada de clave o si tiene una clave con un alias de 'samlsp'. | |
loginPageURL | string | Especifica el URL de la aplicación de inicio de sesión del IdP de SAML a la que se redirigirá una solicitud no autenticada. Este atributo desencadena SSO iniciado por IdP y sólo es necesario para SSO iniciado por IdP. | |
errorPageURL | string | Especifica una página de error que se visualizará si la validación de SAML falla. Si este atributo no se especifica y el SAML recibido no es válido, se redirigirá al usuario al IdP de SAML para reiniciar SSO. | |
clockSkew | Un período de tiempo con precisión de milisegundos | 5m | Se utiliza para especificar el desfase horario permitido en minutos cuando se valida la señal SAML. Especifica un entero positivo seguido de una unidad de tiempo, que puede ser horas (h), minutos (m), segundos (s) o milisegundos (ms). Por ejemplo, especifique 500 milisegundos como 500ms. Puede incluir varios valores en una sola entrada. Por ejemplo, 1s500ms es equivalente a 1,5 segundos. |
tokenReplayTimeout | Un período de tiempo con precisión de milisegundos | 30m | Esta propiedad se utiliza para especificar cuánto tiempo debe impedir Liberty SP la reproducción de la señal. Especifica un entero positivo seguido de una unidad de tiempo, que puede ser horas (h), minutos (m), segundos (s) o milisegundos (ms). Por ejemplo, especifique 500 milisegundos como 500ms. Puede incluir varios valores en una sola entrada. Por ejemplo, 1s500ms es equivalente a 1,5 segundos. |
sessionNotOnOrAfter | Un período de tiempo con precisión de milisegundos | 120m | Indica una cota superior en duraciones de sesión SAML, sobrepasada la cual Liberty SP debe solicitar al usuario que vuelva a autenticarse con el IdP. Si la señal de SAML devuelta desde el IdP no contiene una aserción sessionNotOnOrAfter, se utiliza el valor especificado por este atributo. Esta propiedad solo se usa si disableLtpaCookie=true. El valor por omisión es true. Especifica un entero positivo seguido de una unidad de tiempo, que puede ser horas (h), minutos (m), segundos (s) o milisegundos (ms). Por ejemplo, especifique 500 milisegundos como 500ms. Puede incluir varios valores en una sola entrada. Por ejemplo, 1s500ms es equivalente a 1,5 segundos. |
userIdentifier | string | Especifica un atributo SAML que se utiliza como el nombre principal de usuario en el sujeto. Si no se ha especificado ningún valor, se utiliza el valor de elemento de aserción SAML NameID. | |
groupIdentifier | string | Especifica un atributo SAML que se utiliza como el nombre del grupo del que es miembro el principal autenticado. No hay ningún valor predeterminado. | |
userUniqueIdentifier | string | Especifica un atributo SAML que se utiliza como nombre de usuario exclusivo ya que se aplica a la WSCredential del sujeto. El valor predeterminado es el mismo que el del valor de atributo userIdentifier. | |
realmIdentifier | string | Especifica un atributo SAML que se utiliza como nombre de reino. Si no se ha especificado ningún valor, se utiliza el valor de elemento de aserción SAML Issuer. | |
includeTokenInSubject | boolean | true | Especifica si se debe incluir una aserción SAML en el sujeto. |
mapToUserRegistry |
| No | Especifica cómo correlacionar una identidad con un usuario de registro. Las opciones son No, User y Group. El valor predeterminado es No, y el registro de usuarios no se utiliza para crear el sujeto de usuario. No No correlacionar una identidad de SAML con un usuario o un grupo en el registro Group Correlacionar una identidad de SAML con un grupo definido en el registro de usuarios User Correlacionar una identidad de SAML con un usuario definido en el registro |
authFilterRef | Una referencia a un elemento authFilter de nivel superior (string). | Especifica la referencia del filtro de autenticación. | |
disableLtpaCookie | boolean | true | No crear una señal LTPA durante el proceso de la aserción SAML. En su lugar, crear un cookie del proveedor de servicios específico. |
realmName | string | Especifica un nombre de reino cuando mapToUserRegistry está establecido en No o Grupo. | |
authnRequestTime | Un período de tiempo con precisión de milisegundos | 10m | Especifica el periodo de tiempo de vida de una solicitud de autenticación que se genera y envía desde el proveedor de servicio a un IdP para solicitar una señal de SAML. Especifica un entero positivo seguido de una unidad de tiempo, que puede ser horas (h), minutos (m), segundos (s) o milisegundos (ms). Por ejemplo, especifique 500 milisegundos como 500ms. Puede incluir varios valores en una sola entrada. Por ejemplo, 1s500ms es equivalente a 1,5 segundos. |
enabled | boolean | true | El proveedor de servicios está habilitado si es verdadero e inhabilitado si es falso. |
allowCustomCacheKey | boolean | true | Permitir la generación de una clave de memoria caché personalizada para acceder a la memoria caché de autenticación y obtener el sujeto. |
spHostAndPort | string | Especifica un nombre de host y un número de puerto del proveedor de servicios SAML. | |
reAuthnOnAssertionExpire | boolean | false | Autenticar de nuevo la solicitud HTTP entrante cuando una aserción SAML esté a punto de caducar. |
reAuthnCushion | Un período de tiempo con precisión de milisegundos | 0m | Periodo de tiempo para autenticar de nuevo cuando una aserción SAML esté a punto de caducar, de acuerdo con lo indicado por la sentencia NotOnOrAfter o el atributo SessionNotOnOrAfter de la aserción SAML. Especifica un entero positivo seguido de una unidad de tiempo, que puede ser horas (h), minutos (m), segundos (s) o milisegundos (ms). Por ejemplo, especifique 500 milisegundos como 500ms. Puede incluir varios valores en una sola entrada. Por ejemplo, 1s500ms es equivalente a 1,5 segundos. |
targetPageUrl | string | La página de destino predeterminada para el inicio de sesión único iniciado por el IdP si falta relayState. Esta propiedad debe establecerse en un URL válido si useRelayStateForTarget se ha establecido en false. | |
useRelayStateForTarget | boolean | true | Al realizar el inicio de sesión único iniciado por IdP, esta propiedad especifica si relayState en una SAMLResponse debe utilizarse como el URL de destino. Si se establece en falso (false), se utiliza siempre como URL de destino el valor para targetPageUrl. |
Una referencia de URI que identifica la clase de contexto de autenticación que describe la declaración de contexto de autenticación. El valor predeterminado es nulo.
Especifica la información de confianza de PKIX que se utiliza para evaluar la fiabilidad y la validez de las firmas XML en una respuesta de SAML. No especifique varios pkixTrustEngine en un samlWebSso20.
Name | Type | Default | Description |
---|---|---|---|
trustAnchorRef | Una referencia a un elemento keyStore de nivel superior (string). | Un almacén de claves que contiene la clave pública necesaria para verificar la firma de SAMLResponse y Assertion. |
pkixTrustEngine > trustedIssuers
Especifica las identidades de los emisores IdP fiables. Si el valor es "ALL_ISSUERS", todas las identidades de IdP son de confianza.
pkixTrustEngine > x509Certificate
Un ID de configuración exclusivo.
Name | Type | Default | Description |
---|---|---|---|
id | string | Un ID de configuración exclusivo. | |
path | string | Especifica la vía de acceso del certificado x509. |
Un ID de configuración exclusivo.
Name | Type | Default | Description |
---|---|---|---|
id | string | Un ID de configuración exclusivo. | |
path | string | Especifica la vía de acceso al CRL. |
Especifica la referencia del filtro de autenticación.
Un ID de configuración exclusivo.
Name | Type | Default | Description |
---|---|---|---|
id | string | Un ID de configuración exclusivo. | |
name | string | Especifica el nombre. | |
matchType |
| contains | Especifica el tipo de coincidencia. contains Contiene notContain No contiene equals Igual a |
Un ID de configuración exclusivo.
Name | Type | Default | Description |
---|---|---|---|
id | string | Un ID de configuración exclusivo. | |
urlPattern | string | Especifica el patrón del URL. | |
matchType |
| contains | Especifica el tipo de coincidencia. contains Contiene notContain No contiene equals Igual a |
Un ID de configuración exclusivo.
Name | Type | Default | Description |
---|---|---|---|
id | string | Un ID de configuración exclusivo. | |
matchType |
| contains | Especifica el tipo de coincidencia. contains Contiene notContain No contiene equals Igual a lessThan Menor que greaterThan Mayor que |
ip | string | Especifica la dirección IP. |
Un ID de configuración exclusivo.
Name | Type | Default | Description |
---|---|---|---|
id | string | Un ID de configuración exclusivo. | |
name | string | Especifica el nombre. | |
matchType |
| contains | Especifica el tipo de coincidencia. contains Contiene notContain No contiene equals Igual a |
Un ID de configuración exclusivo.
Name | Type | Default | Description |
---|---|---|---|
id | string | Un ID de configuración exclusivo. | |
agent | string | Especifica el agente de usuario | |
matchType |
| contains | Especifica el tipo de coincidencia. contains Contiene notContain No contiene equals Igual a |
El nombre de cabecera de la solicitud HTTP que almacena la señal de SAML.
La lista de audiencias de confianza para verificar la audiencia de la señal de SAML. Si el valor es "ANY", todas las identidades son de confianza.