Configuration par défaut de la sécurité de services Web pour le fournisseur.
Name | Type | Default | Description |
---|---|---|---|
ws-security.username | string | Informations utilisateur permettant de créer un jeton de nom d'utilisateur. | |
ws-security.callback-handler | string | Classe d'implémentation du gestionnaire de rappel de mot de passe. | |
ws-security.encryption.username | string | Alias utilisé pour l'accès au fichier de clés de chiffrement. | |
ws-security.signature.username | string | Alias utilisé pour l'accès au fichier de clés de signature. | |
ws-security.enable.nonce.cache | boolean | true | Indique s'il est nécessaire de mettre en cache les valeurs Nonce UsernameToken. |
Jeton d'appelant.
Name | Type | Default | Description |
---|---|---|---|
name | string | Indiquez le nom du jeton. Les options sont : Usernametoken, X509token, Samltoken. | |
userIdentifier | string | Indique un attribut SAML qui est utilisé comme nom principal d'utilisateur dans le sujet. La valeur par défaut est l'assertion NameID. | |
groupIdentifier | string | Indique un attribut SAML qui est utilisé comme nom du groupe dont le principal authentifié est membre. Il n’existe aucune valeur par défaut. | |
userUniqueIdentifier | string | Indique un attribut SAML qui est utilisé comme nom d'utilisateur unique dès lors qu'il s'applique à WSCredential dans le sujet. La valeur par défaut est identique à celle de la valeur d'attribut userIdentifier. | |
realmIdentifier | string | Indique un attribut SAML qui est utilisé comme nom de domaine principal. La valeur par défaut est issuer. | |
includeTokenInSubject | boolean | true | Indique s'il faut inclure une assertion SAML dans le sujet. |
mapToUserRegistry |
| No | Indique comment mapper une identité à un utilisateur du registre. Les options sont Non, Utilisateur et Groupe. La valeur par défaut est Non et le registre d'utilisateurs n'est pas utilisé pour créer le sujet utilisateur. No Ne pas mapper une identité SAML à un utilisateur ou un groupe dans le registre Group Mapper une identité SAML à un groupe défini dans le registre d'utilisateurs User Mapper une identité SAML à un utilisateur défini dans le registre |
realmName | string | Indique un nom de domaine lorsque mapToUserRegistry est défini sur No ou Group. | |
allowCustomCacheKey | boolean | true | Autoriser la génération d'une clé de mémoire cache personnalisée pour accéder au cache d'authentification et obtenir le sujet . |
Configuration de signature requise.
Name | Type | Default | Description |
---|---|---|---|
org.apache.ws.security.crypto.merlin.keystore.type | string | JKS, JCEKS ou PKCS11 | |
org.apache.ws.security.crypto.merlin.keystore.alias | string | Alias de fichier de clés par défaut à utiliser, si aucun fichier de clés n'est spécifié. | |
org.apache.ws.security.crypto.merlin.keystore.password | Mot de passe codé réversible (chaîne) | Mot de passe pour l'accès au fichier de clés. | |
org.apache.ws.security.crypto.merlin.file | string | Emplacement du fichier de clés | |
org.apache.ws.security.crypto.merlin.truststore.file | string | Emplacement du fichier de clés certifiées | |
org.apache.ws.security.crypto.merlin.truststore.password | Mot de passe codé réversible (chaîne) | Mot de passe du fichier de clés certifiées. | |
org.apache.ws.security.crypto.merlin.truststore.type | string | Type du fichier de clés certifiées | |
org.apache.ws.security.crypto.provider | string | org.apache.ws.security.components.crypto.Merlin | Fournisseur utilisé pour la création d'instances de classe Crypto. La valeur par défaut est "org.apache.ws.security.components.crypto.Merlin". |
org.apache.ws.security.crypto.merlin.keystore.provider | string | Fournisseur utilisé pour le chargement des fichiers de clés. Il s'agit par défaut du fournisseur installé. | |
org.apache.ws.security.crypto.merlin.cert.provider | string | Fournisseur utilisé pour le chargement des certificats. Il s'agit par défaut du fournisseur du fichier de clés. | |
org.apache.ws.security.crypto.merlin.x509crl.file | string | Emplacement d'un fichier CRL (X509) à utiliser. | |
org.apache.ws.security.crypto.merlin.keystore.private.password | Mot de passe codé réversible (chaîne) | Mot de passe par défaut utilisé pour le chargement de la clé privée. |
Configuration de chiffrement requise.
Name | Type | Default | Description |
---|---|---|---|
org.apache.ws.security.crypto.merlin.keystore.type | string | JKS, JCEKS ou PKCS11 | |
org.apache.ws.security.crypto.merlin.keystore.alias | string | Alias de fichier de clés par défaut à utiliser, si aucun fichier de clés n'est spécifié. | |
org.apache.ws.security.crypto.merlin.keystore.password | Mot de passe codé réversible (chaîne) | Mot de passe pour l'accès au fichier de clés. | |
org.apache.ws.security.crypto.provider | string | org.apache.ws.security.components.crypto.Merlin | Fournisseur utilisé pour la création d'instances de classe Crypto. La valeur par défaut est "org.apache.ws.security.components.crypto.Merlin". |
org.apache.ws.security.crypto.merlin.file | string | Emplacement du fichier de clés | |
org.apache.ws.security.crypto.merlin.keystore.provider | string | Fournisseur utilisé pour le chargement des fichiers de clés. Il s'agit par défaut du fournisseur installé. | |
org.apache.ws.security.crypto.merlin.cert.provider | string | Fournisseur utilisé pour le chargement des certificats. Il s'agit par défaut du fournisseur du fichier de clés. | |
org.apache.ws.security.crypto.merlin.x509crl.file | string | Emplacement d'un fichier CRL (X509) à utiliser. | |
org.apache.ws.security.crypto.merlin.keystore.private.password | Mot de passe codé réversible (chaîne) | Mot de passe par défaut utilisé pour le chargement de la clé privée. | |
org.apache.ws.security.crypto.merlin.truststore.file | string | Emplacement du fichier de clés certifiées | |
org.apache.ws.security.crypto.merlin.truststore.password | Mot de passe codé réversible (chaîne) | Mot de passe du fichier de clés certifiées. | |
org.apache.ws.security.crypto.merlin.truststore.type | string | Type du fichier de clés certifiées |
Indique les propriétés qui sont utilisées pour évaluer la fiabilité et la validité d'une assertion SAML.
Name | Type | Default | Description |
---|---|---|---|
wantAssertionsSigned | boolean | true | Indique que les éléments <saml:Assertion> reçus par ce fournisseur de services doivent être signés. |
clockSkew | Période avec une précision à la milliseconde près | 5m | Permet d'indiquer le décalage d'horloge admis (en minutes) lors de la validation du jeton SAML. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie. |
requiredSubjectConfirmationMethod |
| bearer | Indiquez si la méthode de confirmation de sujet est requise dans l'assertion SAML. La valeur par défaut est true. bearer bearer |
timeToLive | Période avec une précision à la milliseconde près | 30m | Indiquez la plage de temps par défaut d'une assertion SAML dans le cas où elle ne définit pas la condition NoOnOrAfter. La valeur par défaut est de 30 minutes. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie. |
samlToken > audienceRestrictions
Indiquez les audiences d'assertion SAML autorisées. La valeur par défaut est l'autorisation de toutes les audiences.