samlWebSso20 - Идентификация SAML Web SSO 2.0 (samlWebSso20)

Управление работой механизма SAML Web SSO 2.0.

NameTypeDefaultDescription
idstringУникальный ИД конфигурации.
httpsRequiredbooleantrueПринудительно применяет связь по протоколу SSL при обращении к конечной точке поставщика служб WebSSO SAML в виде ACS или метаданных.
inboundPropagation
  • none
  • required
noneУправление работой механизма SAML Web SSO 2.0 для внутреннего распространения веб-служб.
none
%inboundPropagation.none
required
%inboundPropagation.required
wantAssertionsSignedbooleantrueУказывает, что элементы <saml:Assertion>, получаемые данным поставщиком служб, должны содержать элемент Signature, подписывающий Assertion.
signatureMethodAlgorithm
  • SHA256
  • SHA1
  • SHA128
SHA256Алгоритм, требуемый данным поставщиком служб.
SHA256
Алгоритм создания подписи SHA-256
SHA1
Алгоритм создания подписи SHA-1
SHA128
%signatureMethodAlgorithm.SHA128
createSessionbooleantrueУказывает, следует ли создавать HttpSession, если текущий HttpSession не существует.
authnRequestsSignedbooleantrueУказывает, что сообщения <samlp:AuthnRequest>, отправляемые этим поставщиком служб, будут подписываться.
includeX509InSPMetadatabooleantrueУказывает, следует ли включать сертификат x509 в метаданные Liberty SP.
forceAuthnbooleanfalseУказывает, что IdP должен требовать повторной идентификации пользователей.
isPassivebooleanfalseУказывает, что поставщик идентификации не должен брать конечный интерфейс пользователя под контроль.
allowCreatebooleanРазрешает поставщику идентификации создать новую учетную запись, если у запрашивающего пользователя нет учетной записи.
authnContextComparisonType
  • better
  • exact
  • maximum
  • minimum
exactКогда указан authnContextClassRef, можно задать authnContextComparisonType.
better
Лучше. Контекст идентификации в операторе идентификации должен быть более надежным по сравнению с указанными контекстами идентификации.
exact
Совпадение. Уровень надежности контекста идентификации в операторе идентификации должен в точности совпадать с надежностью по крайней мере одного из указанных контекстов идентификации.
maximum
Максимум. Контекст идентификации в операторе идентификации должен быть обеспечивать максимальную надежность, но не должен превышать уровень надежности указанных контекстов идентификации.
minimum
Минимум. Контекст идентификации в операторе идентификации должен быть не менее надежным, чем указанные контексты идентификации.
nameIDFormat
  • windowsDomainQualifiedName
  • encrypted
  • unspecified
  • transient
  • x509SubjectName
  • kerberos
  • persistent
  • customize
  • email
  • entity
emailЗадает ссылку URI, соответствующую формату идентификатора имени, определенному в базовой спецификации SAML.
windowsDomainQualifiedName
urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName
encrypted
urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
transient
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
x509SubjectName
urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName
kerberos
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
customize
Настроенный формат ИД имени.
email
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
entity
urn:oasis:names:tc:SAML:2.0:nameid-format:entity
customizeNameIDFormatstringУказывает пользовательскую ссылку URI, соответствующую формату идентификатора имени, который не определен в базовой спецификации SAML.
idpMetadatastring${server.config.dir}/resources/security/idpMetadata.xmlЗадает файл метаданных поставщика идентификации.
keyStoreRefСсылка на элемент keyStore верхнего уровня (строка).Хранилище ключей содержит личный ключ для подписания AuthnRequest и расшифровки элемента EncryptedAssertion. По умолчанию применяется значение по умолчанию сервера.
keyAliasstringПсевдоним ключа для поиска личного ключа для подписания и расшифровки. Это необязательно, если хранилище ключей содержит ровно одну запись ключа или если есть только один ключ с псевдонимом 'samlsp'.
loginPageURLstringURL приложения входа в поставщик идентификации SAML, куда перенаправляются все неидентифицированные запросы. Этот атрибут запускает инициированный поставщиком идентификации единый вход в систему и требуется только для единого входа в систему, инициированного поставщиком идентификации.
errorPageURLstringСтраница ошибки, показываемая в случае сбоя проверки SAML. Если этот атрибут не указан и полученный SAML недопустимый, пользователь перенаправляется обратно в поставщик идентификации SAML для перезапуска единого входа в систему.
clockSkewПериод (с точностью до миллисекунды)5mЭто используется для указания допустимого расхождения значений времени в минутах при проверке ключа SAML. Укажите положительное целое число, за которым следует единица времени: часы (h), минуты (m), секунды (s) или миллисекунды (ms). Например, укажите 500 миллисекунд как 500ms. Одна запись может включать несколько значений. Так, 1s500ms равно 1,5 сек.
tokenReplayTimeoutПериод (с точностью до миллисекунды)30mЭто свойство позволяет указать, как долго поставщик служб Liberty должен запрещать повтор ключей. Укажите положительное целое число, за которым следует единица времени: часы (h), минуты (m), секунды (s) или миллисекунды (ms). Например, укажите 500 миллисекунд как 500ms. Одна запись может включать несколько значений. Так, 1s500ms равно 1,5 сек.
sessionNotOnOrAfterПериод (с точностью до миллисекунды)120mЗадает максимальную продолжительность сеанса SAML, после которого Liberty SP должен предлагать пользователю снова пройти идентификацию в IdP. Если маркер SAML, возвращенный из IdP, не содержит утверждение sessionNotOnOrAfter, то применяется значение, указанное в этом атрибуте. Это свойство используется, только когда disableLtpaCookie=true. Значение по умолчанию: true. Укажите положительное целое число, за которым следует единица времени: часы (h), минуты (m), секунды (s) или миллисекунды (ms). Например, укажите 500 миллисекунд как 500ms. Одна запись может включать несколько значений. Так, 1s500ms равно 1,5 сек.
userIdentifierstringЗадает атрибут SAML, который будет использоваться в качестве имени субъекта. Если значение не указано, будет использоваться значение элемента утверждения SAML NameID.
groupIdentifierstringЗадает атрибут SAML, который будет использоваться как имя группы, которой принадлежит идентифицированный субъект. Значение по умолчанию не предусмотрено.
userUniqueIdentifierstringЗадает атрибут SAML, который будет использоваться в качестве уникального имени пользователя для WSCredential в субъекте. Значение по умолчанию совпадает со значением атрибута userIdentifier.
realmIdentifierstringЗадает атрибут SAML, который будет использоваться в качестве имени области. Если значение не указано, будет использоваться значение элемента утверждения SAML Issuer.
includeTokenInSubjectbooleantrueУказывает, следует ли включить утверждение SAML в субъект.
mapToUserRegistry
  • No
  • Group
  • User
NoУказывает, как связать идентификатор с пользователем из реестра. Значения: No, User и Group. Значение по умолчанию - No, то есть реестр пользователя не используется для создания субъекта пользователя.
No
Не связывать идентификатор SAML с пользователем или группой из реестра
Group
Связать идентификатор SAML с группой из реестра
User
Связать идентификатор SAML с пользователем из реестра
authFilterRefСсылка на элемент authFilter верхнего уровня (строка).Задает ссылку на фильтр идентификации.
disableLtpaCookiebooleantrueНе создавать ключ LTPA во время обработки утверждения SAML. Вместо него создавать cookie конкретного поставщика служб.
realmNamestringУказывает имя области, если значением mapToUserRegistry является Нет или Группа.
authnRequestTimeПериод (с точностью до миллисекунды)10mУказывает период времени активности authnReuqest, который создается и отправляется из поставщика служб в поставщике идентификации для запроса маркера SAML. Укажите положительное целое число, за которым следует единица времени: часы (h), минуты (m), секунды (s) или миллисекунды (ms). Например, укажите 500 миллисекунд как 500ms. Одна запись может включать несколько значений. Так, 1s500ms равно 1,5 сек.
enabledbooleantrueПоставщик служб включен при значении true и отключен при значении false.
allowCustomCacheKeybooleantrueРазрешить создание пользовательского ключа кэша для доступа к кэшу идентификации и получения субъекта.
spHostAndPortstringЗадает имя хоста и номер порта провайдера службы SAML
reAuthnOnAssertionExpirebooleanfalseИдентифицировать входящий запрос HTTP повторно, когда срок действия утверждения SAML подходит к концу.
reAuthnCushionПериод (с точностью до миллисекунды)0mПериод времени для повторной идентификации, когда срок действия утверждения SAML подходит к концу, что указывается оператором NotOnOrAfter или атрибутом SessionNotOnOrAfter утверждения SAML. Укажите положительное целое число, за которым следует единица времени: часы (h), минуты (m), секунды (s) или миллисекунды (ms). Например, укажите 500 миллисекунд как 500ms. Одна запись может включать несколько значений. Так, 1s500ms равно 1,5 сек.
targetPageUrlstringЦелевая страница по умолчанию для SSO, выполняемого по запросу IdP, если отсутствует relayState. В этом свойстве необходимо указать допустимый URL, если свойство useRelayStateForTarget содержит значение false.
useRelayStateForTargetbooleantrueВ ходе выполнения SSO, запущенного IdP, это свойство указывает, следует ли применять relayState в SAMLResponse в качестве целевого URL. Если указано значение false, то значение targetPageUrl всегда применяется в качестве целевого URL.

authnContextClassRef

Ссылка URI, определяющая класс контекста идентификации, который описывает объявление контекста идентификации. Значение по умолчанию - пустое.

pkixTrustEngine

Задает информацию механизма доверия PKIX, которая используется для оценки надежности и правильности подписей XML в ответе SAML. Не указывайте в samlWebSso20 несколько pkixTrustEngine.

NameTypeDefaultDescription
trustAnchorRefСсылка на элемент keyStore верхнего уровня (строка).Хранилище ключей, содержащее общий ключ, необходимый для проверки подписи SAMLResponse и Assertion.

pkixTrustEngine > trustedIssuers

Указывает субъекты доверенных сертификатных компаний поставщика идентификации. Если значение - "ALL_ISSUERS", то все идентификаторы поставщика идентификации считаются надежными.

pkixTrustEngine > x509Certificate

Уникальный ИД конфигурации.

NameTypeDefaultDescription
idstringУникальный ИД конфигурации.
pathstringУказывает путь к сертификату x509.

pkixTrustEngine > crl

Уникальный ИД конфигурации.

NameTypeDefaultDescription
idstringУникальный ИД конфигурации.
pathstringУказывает путь к crl.

authFilter

Задает ссылку на фильтр идентификации.

authFilter > webApp

Уникальный ИД конфигурации.

NameTypeDefaultDescription
idstringУникальный ИД конфигурации.
namestringЗадает имя.
matchType
  • contains
  • notContain
  • equals
containsЗадает тип сравнения.
contains
Содержит
notContain
Не содержит
equals
Равно

authFilter > requestUrl

Уникальный ИД конфигурации.

NameTypeDefaultDescription
idstringУникальный ИД конфигурации.
urlPatternstringЗадает шаблон URL.
matchType
  • contains
  • notContain
  • equals
containsЗадает тип сравнения.
contains
Содержит
notContain
Не содержит
equals
Равно

authFilter > remoteAddress

Уникальный ИД конфигурации.

NameTypeDefaultDescription
idstringУникальный ИД конфигурации.
matchType
  • contains
  • notContain
  • equals
  • lessThan
  • greaterThan
containsЗадает тип сравнения.
contains
Содержит
notContain
Не содержит
equals
Равно
lessThan
Меньше, чем
greaterThan
Больше, чем
ipstringЗадает IP-адрес.

authFilter > host

Уникальный ИД конфигурации.

NameTypeDefaultDescription
idstringУникальный ИД конфигурации.
namestringЗадает имя.
matchType
  • contains
  • notContain
  • equals
containsЗадает тип сравнения.
contains
Содержит
notContain
Не содержит
equals
Равно

authFilter > userAgent

Уникальный ИД конфигурации.

NameTypeDefaultDescription
idstringУникальный ИД конфигурации.
agentstringЗадает браузер
matchType
  • contains
  • notContain
  • equals
containsЗадает тип сравнения.
contains
Содержит
notContain
Не содержит
equals
Равно

headerName

Имя заголовка запроса HTTP, где хранится ключ SAML.

audiences

Список аудиторий, допустимых для проверки аудитории ключа SAML. Если значение - "ANY", то допустимы все аудитории.