Controlează funcţionarea mecanismului Security Assertion Markup Language Web SSO 2.0.
Name | Type | Default | Description |
---|---|---|---|
id | şir | Un ID de configuraţie unic. | |
httpsRequired | boolean | true | Impuneţi utilizarea comunicaţiei SSL la accesarea unui punct final de furnizor de servicii SAML WebSSO cum ar fi ACS sau metadate. |
inboundPropagation |
| none | Controlează funcţionarea Security Assertion Markup Language Web SSO 2.0 pentru propagarea de intrare a Web Services Mechanisms. none %inboundPropagation.none required %inboundPropagation.required |
wantAssertionsSigned | boolean | true | Indică o cerinţă pentru elementele <saml:Assertion> primite de acest furnizor de servicii pentru a conţine un element Semnătură care semnează Aserţiunea. |
signatureMethodAlgorithm |
| SHA256 | Indică algoritmul cerut de acest furnizor de servicii. SHA256 Algoritm de semnătură SHA-256 SHA1 Algoritm de semnătură SHA-1 SHA128 %signatureMethodAlgorithm.SHA128 |
createSession | boolean | true | Specifică dacă să se creeze o HttpSession dacă HttpSession curentă nu există. |
authnRequestsSigned | boolean | true | Indică dacă mesajele <samlp:AuthnRequest> trimise de acest furnizor de servicii vor fi semnate. |
includeX509InSPMetadata | boolean | true | Specifică dacă să includă certificatul x509 în metadatele Liberty SP. |
forceAuthn | boolean | false | Indică dacă IdP-ul ar trebui să-l oblige pe utilizator să se re-autentifice. |
isPassive | boolean | false | Indicată faptul că IdP nu trebuie să aibă control asupra interfeţei utilizatorului final. |
allowCreate | boolean | Permite IdP-ului să creeze un cont nou dacă utilizatorul care cere acest lucru nu are unul. | |
authnContextComparisonType |
| exact | Când este specificat un authnContextClassRef, poate fi setat authnContextComparisonType. better Mai bun. Contextul de autentificare din instrucţiunea de autentificare trebuie să fie mai puternic decât oricare dintre contextele de autentificare specificate. exact Exact. Contextul de autentificare din instrucţiunea de autentificare trebuie să fie potrivit exact cu cel puţin un context de autentificare specificat. maximum Maxim. Contextul de autentificare din instrucţiunea de autentificare trebuie să fie atât de puternic cât este posibil fără a depăşi puterea a cel puţin unuia dintre contextele de autentificare specificate. minimum Minim. Contextul de autentificare din instrucţiunea de autentificare trebuie să fie cel puţin la fel de puternic cu contextele de autentificare specificate. |
nameIDFormat |
| Specifică referinţa URI care corespunde unui format de identificator de nume definit în specificaţia nucleu SAML. windowsDomainQualifiedName urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName encrypted urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted unspecified urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified transient urn:oasis:names:tc:SAML:2.0:nameid-format:transient x509SubjectName urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName kerberos urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos persistent urn:oasis:names:tc:SAML:2.0:nameid-format:persistent customize Format ID Nume personalizat. urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress entity urn:oasis:names:tc:SAML:2.0:nameid-format:entity | |
customizeNameIDFormat | string | Specifică referinţa URI personalizată care corespunde unui format de identificator de nume icare nu este definit în specificaţia nucleu SAML. | |
idpMetadata | string | ${server.config.dir}/resources/security/idpMetadata.xml | Specifică fişierul de metadate IdP. |
keyStoreRef | O referinţă la elementul de nivel înalt keyStore (şir). | Un depozit de chei care conţine cheia privată pentru semnarea elementului AuthnRequest şi decriptarea elementului EncryptedAssertion. Valoarea implicită este valoarea implicită a serverului. | |
keyAlias | string | Nume de alias de cheie pentru a localiza cheia privată pentru semnare şi decriptare. Acesta este opţional dacă depozitul de chei are exact o intrare de cheie, sau dacă are o singură cheie cu un alias 'samlsp'. | |
loginPageURL | string | Specifică URL-ul aplicaţiei de logare SAML IdP la care este redirecţionată o cerere neautentificată. Acest atribut declanşează SSO-ul iniţializat prin IdP, şi este necesar doar pentru SSO-ul iniţializat prin IdP. | |
errorPageURL | string | Specifică o pagină de erori de afişat dacă eşuează validarea SAML. Dacă acest atribut nu este specificat şi SAML-ul primit este invalid, utilizatorul va fi redirecţionat înapoi la SAML IdP pentru a reporni SSO. | |
clockSkew | O perioadă de timp cu precizie de milisecunde | 5m | Aceasta este utilizată pentru a specifica decalajul permis al ceasului în minute la validarea jetonului SAML. Specificaţi un întreg pozitiv urmat de o unitate de timp, care poate fi ore (o), minute (m), secunde (s) sau milisecunde (ms). De exemplu, specificaţi 500 milisecunde ca 500ms. Puteţi include valori multiple într-o singură intrare. De exemplu, 1s500ms este echivalent cu 1.5 secunde. |
tokenReplayTimeout | O perioadă de timp cu precizie de milisecunde | 30m | Această proprietate este folosită pentru a specifica cât timp SP Liberty ar trebui să împiedica răspunsul jetonului. Specificaţi un întreg pozitiv urmat de o unitate de timp, care poate fi ore (o), minute (m), secunde (s) sau milisecunde (ms). De exemplu, specificaţi 500 milisecunde ca 500ms. Puteţi include valori multiple într-o singură intrare. De exemplu, 1s500ms este echivalent cu 1.5 secunde. |
sessionNotOnOrAfter | O perioadă de timp cu precizie de milisecunde | 120m | Indică o limită superioară pentru durata unei sesiuni SAML, după ce Liberty SP ar trebui să ceară utilizatorului să se re-autentifice la IdP. Dacă jetonul SAML returnat de IdP nu conţine o aserţiune sessionNotOnOrAfter, nu este utilizată valoarea specificată de acest atribut. Această proprietate este utilizată doar dacă disableLtpaCookie=true. Valoarea implicită este adevăr. Specificaţi un întreg pozitiv urmat de o unitate de timp, care poate fi ore (o), minute (m), secunde (s) sau milisecunde (ms). De exemplu, specificaţi 500 milisecunde ca 500ms. Puteţi include valori multiple într-o singură intrare. De exemplu, 1s500ms este echivalent cu 1.5 secunde. |
userIdentifier | string | Specifică un atribut SAML care este utilizat ca nume principal de utilizator în subiect. Dacă nu este specificată nicio valoare, este utilizată valoarea elementului aserţiunii NameID SAML. | |
groupIdentifier | string | Specifică un atribut SAML care este utilizat ca nume al grupului al cărui membru este principalul autentificat. Nu există nicio valoare implicită. | |
userUniqueIdentifier | string | Specifică un atribut SAML care este utilizat ca nume utilizator unic după cum se aplică la WSCredential în subiect. Valoarea implicită este aceeaşi cu valoarea atributului userIdentifier. | |
realmIdentifier | string | Specifică un atribut SAML care este folosit ca numele regiunii. Dacă nu este specificată nicio valoare, este utilizată valoarea elementului aserţiunii Issuer SAML. | |
includeTokenInSubject | boolean | true | Specifică dacă se include în subiect o aserţiune SAML. |
mapToUserRegistry |
| No | Specifică cum se mapează o identitate la un registru de utilizator. Opţiunile sunt Nu, Utilizator şi Grup. Valoarea implicită este Nu şi registrul de utilizator nu este utilizat pentru a crea subiect de utilizator. No Nu mapaţi o identitate SAML la un utilizator sau grup din registru Group Maparea unei identităţi SAML la un grup definit în registrul de utilizator User Maparea unei identităţi SAML la un hartă defined definit în registru |
authFilterRef | O referinţă la elementul de nivel înalt authFilter (şir). | Specifică referinţa filtrului de autentificare. | |
disableLtpaCookie | boolean | true | Nu creaţi un LTPA Token în timpul procesării aserţiunii SAML. Creaţi în schimb un cookie pentru furnizorul de servicii. |
realmName | string | Specifică un nume de regiune când mapToUserRegistry este setată la Nu sau la Grup. | |
authnRequestTime | O perioadă de timp cu precizie de milisecunde | 10m | Specifică perioada de timp de viaţă a unei authnReuqest care este generată şi trimisă de la un furnizor de servicii la un IdP pentru a cere un jeton SAML. Specificaţi un întreg pozitiv urmat de o unitate de timp, care poate fi ore (o), minute (m), secunde (s) sau milisecunde (ms). De exemplu, specificaţi 500 milisecunde ca 500ms. Puteţi include valori multiple într-o singură intrare. De exemplu, 1s500ms este echivalent cu 1.5 secunde. |
enabled | boolean | true | Furnizorul de servicii este activat la true şi dezactivat la false. |
allowCustomCacheKey | boolean | true | Permiteţi generarea unei chei cache personalizate pentru a accesa cache-ul de autentificare şi a obţine subiectul. |
spHostAndPort | string | Specifică un nume de gazdă şi număr de port pentru furnizorul de servicii SAML. | |
reAuthnOnAssertionExpire | boolean | false | Realizaţi din nou autentificarea cererii HTTP de intrare când aserţiunea SAML este pe cale să expire. |
reAuthnCushion | O perioadă de timp cu precizie de milisecunde | 0m | Intervalul de timp pentru autentificarea din nou atunci când aserţiunea SAML este pe cale să expire, după cum indică instrucţiunea NotOnOrAfter sau atributul SessionNotOnOrAfter al aserţiunii SAML. Specificaţi un întreg pozitiv urmat de o unitate de timp, care poate fi ore (o), minute (m), secunde (s) sau milisecunde (ms). De exemplu, specificaţi 500 milisecunde ca 500ms. Puteţi include valori multiple într-o singură intrare. De exemplu, 1s500ms este echivalent cu 1.5 secunde. |
targetPageUrl | string | Pagina de aterizare implicită pentru semnare unică (SSO) iniţiată de IdP dacă lipseşte relayState. Această proprietate trebuie să fie setată la un URL valid dacă useRelayStateForTarget este setat la false. | |
useRelayStateForTarget | boolean | true | Când faceţi SSO iniţiat de IdP, această proprietate specifică dacă relayState-ul dintr-un SAMLResponse ar trebui să fie utilizat ca URL destinaţie. Dacă este setat la false, valoarea pentru targetPageUrl este întotdeauna folosită ca URL destinaţie. |
O referinţă URI care identifică o clasă context de autentificare care descrie declaraţia de context de autentificare. Valoarea implicită este null.
Specifică informaţiile de încrederi PKIX utilizate pentru a evalua nivelul de încredere şi validitatea semnăturilor XML dintr-un răspuns SAML. Nu specificaţi multiple pkixTrustEngine într-un samlWebSso20.
Name | Type | Default | Description |
---|---|---|---|
trustAnchorRef | O referinţă la elementul de nivel înalt keyStore (şir). | Un depozit de chei care conţine cheia publică este necesar pentru verificarea semnăturii pentru SAMLResponse şi Assertion. |
pkixTrustEngine > trustedIssuers
Specifică identităţile emitenţilor IdP de încredere. Dacă valoarea este "ALL_ISSUERS", atunci toate identităţile IdP sunt de încredere.
pkixTrustEngine > x509Certificate
Un ID de configuraţie unic.
Name | Type | Default | Description |
---|---|---|---|
id | şir | Un ID de configuraţie unic. | |
path | string | Precizează calea către certificatul x509. |
Un ID de configuraţie unic.
Name | Type | Default | Description |
---|---|---|---|
id | şir | Un ID de configuraţie unic. | |
path | string | Precizează calea către CRL. |
Specifică referinţa filtrului de autentificare.
Un ID de configuraţie unic.
Name | Type | Default | Description |
---|---|---|---|
id | şir | Un ID de configuraţie unic. | |
name | string | Specifică numele. | |
matchType |
| contains | Specifică tipul de potrivire. contains Conţine notContain Nu conţine equals Egal |
Un ID de configuraţie unic.
Name | Type | Default | Description |
---|---|---|---|
id | şir | Un ID de configuraţie unic. | |
urlPattern | string | Specifică tiparul URL-ului. | |
matchType |
| contains | Specifică tipul de potrivire. contains Conţine notContain Nu conţine equals Egal |
Un ID de configuraţie unic.
Name | Type | Default | Description |
---|---|---|---|
id | şir | Un ID de configuraţie unic. | |
matchType |
| contains | Specifică tipul de potrivire. contains Conţine notContain Nu conţine equals Egal lessThan Mai mic decât greaterThan Mai mare decât |
ip | string | Specifică adresa IP. |
Un ID de configuraţie unic.
Name | Type | Default | Description |
---|---|---|---|
id | şir | Un ID de configuraţie unic. | |
name | string | Specifică numele. | |
matchType |
| contains | Specifică tipul de potrivire. contains Conţine notContain Nu conţine equals Egal |
Un ID de configuraţie unic.
Name | Type | Default | Description |
---|---|---|---|
id | şir | Un ID de configuraţie unic. | |
agent | string | Specifică agentul de utilizator | |
matchType |
| contains | Specifică tipul de potrivire. contains Conţine notContain Nu conţine equals Egal |
Numele antetului cererii HTTP care stochează SAML Token.
Lista audienţelor care sunt de încredere pentru a verifica audienţa SAML Token. Dacă valoarea este "ANY", atunci toate audienţele sunt de încredere.