Steuert die Ausführung des Security Assertion Markup Language Web SSO 2.0-Mechanismus.
Name | Type | Default | Description |
---|---|---|---|
id | string | Eine eindeutige Konfigurations-ID. | |
httpsRequired | boolean | true | Erzwingt die Verwendung von SSL beim Zugriff auf einen SAML-WebSSO-Service-Provider-Endpunkt, wie z. B. acs oder metadata. |
inboundPropagation |
| none | Steuert die Ausführung von Security Assertion Markup Language Web SSO 2.0 im Hinblick auf die eingehende Weitergabe der Web-Service-Mechanismen. none %inboundPropagation.none required %inboundPropagation.required |
wantAssertionsSigned | boolean | true | Gibt an, dass die von diesem Service-Provider empfangenen <saml:Assertion>-Elemente ein Element Signature enthalten müssen, das die Zusicherung signiert. |
signatureMethodAlgorithm |
| SHA256 | Gibt den von diesem Service-Provider geforderten Algorithmus an. SHA256 SHA-256-Signaturalgorithmus SHA1 SHA-1-Signaturalgorithmus SHA128 %signatureMethodAlgorithm.SHA128 |
createSession | boolean | true | Gibt an, ob eine HttpSession erstellt werden soll, wenn die aktuelle HttpSession nicht vorhanden ist. |
authnRequestsSigned | boolean | true | Gibt an, ob die von diesem Service-Provider gesendeten <samlp:AuthnRequest>-Nachrichten signiert werden. |
includeX509InSPMetadata | boolean | true | Gibt an, ob das x509-Zertifikat in die Liberty SP-Metadaten eingeschlossen werden soll. |
forceAuthn | boolean | false | Gibt an, ob IdP den Benutzer zu einer erneuten Authentifizierung zwingen soll. |
isPassive | boolean | false | Gibt an, ob der Identitätsprovider (IdP) die Steuerung der Endbenutzerschnittstelle übernimmt. |
allowCreate | boolean | Ermöglicht dem Identitätsprovider (IdP), ein neues Konto zu erstellen, falls der anfordernde Benutzer kein Konto besitzt. | |
authnContextComparisonType |
| exact | Wenn eine authnContextClassRef angegeben ist, kann ein authnContextComparisonType definiert werden. better Besser. Der Authentifizierungskontext in der Authentifizierungsanweisung muss stärker als einer der angegebenen Authentifizierungskontexte sein. exact Exakt. Der Authentifizierungskontext in der Authentifizierungsanweisung muss mit mindestens einem der angegebenen Authentifizierungskontexte exakt übereinstimmen. maximum Maximum. Der Authentifizierungskontext in der Authentifizierungsanweisung muss so stark wie möglich sein, ohne die Stärke mindestens eines der angegebenen Authentifizierungskontexte zu überschreiten. minimum Minimum. Der Authentifizierungskontext in der Authentifizierungsanweisung muss mindestens so stark wie einer der angegebenen Authentifizierungskontexte sein. |
nameIDFormat |
| Gibt die URI-Referenz an, die einem in der SAML-Core-Spezifikation definierten Namens-ID-Format entspricht. windowsDomainQualifiedName urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName encrypted urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted unspecified urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified transient urn:oasis:names:tc:SAML:2.0:nameid-format:transient x509SubjectName urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName kerberos urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos persistent urn:oasis:names:tc:SAML:2.0:nameid-format:persistent customize Angepasstes Format für Namens-IDs. urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress entity urn:oasis:names:tc:SAML:2.0:nameid-format:entity | |
customizeNameIDFormat | string | Gibt die angepasste URI-Referenz an, die einem Namens-ID-Format entspricht, das nicht in der SAML-Core-Spezifikation definiert ist. | |
idpMetadata | string | ${server.config.dir}/resources/security/idpMetadata.xml | Gibt die Metadatendatei des Identitätsproviders (IdP) an. |
keyStoreRef | Referenz auf das keyStore-Element (string) der höchsten Ebene. | Ein Keystore, der den privaten Schlüssel für die Signatur der AuthnRequest und die Entschlüsselung des EncryptedAssertion-Elements enthält. Standardmäßig wird der Standardkeystore des Servers verwendet. | |
keyAlias | string | Der Schlüsselaliasname für den privaten Schlüssel für die Signatur und die Entschlüsselung. Diese Angabe ist optional, wenn der Keystore nur einen einzigen Schlüssel mit dem Alias samlsp enthält. | |
loginPageURL | string | Gibt die Anwendungs-URL für die SAML-IdP-Anmeldung an, an die eine nicht authentifizierte Anforderung umgeleitet wird. Dieses Attribut löst ein vom Identitätsprovider (IdP) eingeleitetes SSO (Single Sign-on) aus und ist nur für ein SSO erforderlich, das über den Identitätsprovider eingeleitet wird. | |
errorPageURL | string | Gibt eine Fehlerseite an, die angezeigt werden soll, falls die SAML-Validierung fehlschlägt. Wenn Sie dieses Attribut nicht angeben und die empfangene SAML ungültig ist, wird der Benutzer wieder an den SAML-Identitätsprovider umgeleitet, damit das SSO erneut gestartet wird. | |
clockSkew | Zeitraum mit Genauigkeit in Millisekunden | 5m | Mit diesem Attribut wird die zulässige Zeitabweichung in Minuten bei der Validierung des SAML-Tokens angegeben. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden. |
tokenReplayTimeout | Zeitraum mit Genauigkeit in Millisekunden | 30m | Mit dieser Eigenschaft können Sie festlegen, wie lange der Liberty-Service-Provider (SP) die Tokenwiedergabe verhindern soll. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden. |
sessionNotOnOrAfter | Zeitraum mit Genauigkeit in Millisekunden | 120m | Gibt eine Obergrenze für die Dauer von SAML-Sitzungen an, bei deren Erreichen der Liberty-SP den Benutzer zur erneuten Authentifizierung beim IdP auffordern soll. Wenn das vom IdP zurückgegebene SAML-Token keine sessionNotOnOrAfter-Zusicherung enthält, wird der mit diesem Attribut angegebene Wert verwendet. Diese Eigenschaft wird nur verwendet, wenn disableLtpaCookie=true definiert ist. Der Standardwert ist true. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden. |
userIdentifier | string | Gibt ein SAML-Attribut an, das als Benutzerprincipalname im Subjekt verwendet wird. Wenn Sie keinen Wert angeben, wird der Wert des SAML-Zusicherungselement NameID verwendet. | |
groupIdentifier | string | Gibt ein SAML-Attribut an, das als Name der Gruppe verwendet wird, zu der der authentifizierte Principal gehört. Es gibt keinen Standardwert. | |
userUniqueIdentifier | string | Gibt ein SAML-Attribut an, das als eindeutiger Benutzername für den WSCredential im Subjekt verwendet wird. Standardmäßig wird der Wert des Attributs userIdentifier verwendet. | |
realmIdentifier | string | Gibt ein SAML-Attribut an, das als Realmname verwendet wird. Wenn Sie keinen Wert angeben, wird der Wert des SAML-Zusicherungselement Issuer verwendet. | |
includeTokenInSubject | boolean | true | Gibt an, ob eine SAML-Zusicherung in das Subjekt eingeschlossen werden soll. |
mapToUserRegistry |
| No | Gibt an, wie eine ID einem Registry-Benutzer zugeordnet wird. Die Optionen sind No, User und Group. Der Standardwert ist No, d. h., die Benutzerregistry wird nicht zum Erstellen des Benutzersubjekts verwendet. No Einem Benutzer oder einer Gruppe in der Registry keine SAML-ID zuordnen Group Einer in der Registry definierten Gruppe eine SAML-ID zuordnen User Einem in der Registry definierten Benutzer eine SAML-ID zuordnen |
authFilterRef | Referenz auf das authFilter-Element (string) der höchsten Ebene. | Gibt die Referenz des Authentifizierungsfilters an. | |
disableLtpaCookie | boolean | true | Wenn Sie diese Option auswählen, wird während der Verarbeitung der SAML-Zusicherung kein LTPA-Token erstellt. Stattdessen wird ein Cookie des jeweiligen Service-Providers erstellt. |
realmName | string | Gibt einen Realmnamen an, wenn mapToUserRegistry auf No oder Group gesetzt ist. | |
authnRequestTime | Zeitraum mit Genauigkeit in Millisekunden | 10m | Gibt die authnRequest-Lebensdauer an, die vom Service-Provider generiert und an einen Identitätsprovider gesendet wird, um ein SAML-Token anzufordern. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden. |
enabled | boolean | true | Der Service-Provider ist aktiviert, wenn diese Option auf true gesetzt ist, und inaktiviert, wenn sie auf false gesetzt ist. |
allowCustomCacheKey | boolean | true | Lässt die Generierung eines angepassten Cacheschlüssels für den Zugriff auf den Authentifizierungscache und den Abruf des Subjekts zu. |
spHostAndPort | string | Gibt einen Hostnamen und einen Portnummer für den SAML-Service-Provider an. | |
reAuthnOnAssertionExpire | boolean | false | Bei Auswahl dieser Option wird die eingehende HTTP-Anforderung erneut authentifiziert, wenn eine SAML-Zusicherung abläuft. |
reAuthnCushion | Zeitraum mit Genauigkeit in Millisekunden | 0m | Die Zeit für die erneute Authentifizierung bei Ablauf einer SAML-Zusicherung, die mit der Anweisung NotOnOrAfter oder dem Attribut SessionNotOnOrAfter der SAML-Zusicherung angegeben wird. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden. |
targetPageUrl | string | Die Standard-Landing-Page für das vom Identitätsprovider eingeleitete SSO, wenn der relayState-Wert fehlt. Diese Eigenschaft muss auf eine gültige URL gesetzt werden, wenn useRelayStateForTarget auf false gesetzt ist. | |
useRelayStateForTarget | boolean | true | Wenn Sie IdP-initiiertes SSO ausführen, gibt diese Eigenschaft an, ob relayState in einer SAMLResponse als Ziel-URL verwendet werden soll. Bei Angabe von false wird der Wert für targetPageUrl immer als Ziel-URL verwendet. |
Eine URI-Referenz, die eine Authentifizierungskontextklasse angibt, die die Authentifizierungskontextdeklaration beschreibt. Der Standardwert ist null.
Gibt die Informationen zur PKIX-Vertrauensbeziehung an, die verwendet werden, um die Vertrauenswürdigkeit und Validität von XML-Signaturen in einer SAML-Antwort zu evaluieren. Die Angabe mehrerer pkixTrustEngine-Elemente in samlWebSso20 ist nicht zulässig.
Name | Type | Default | Description |
---|---|---|---|
trustAnchorRef | Referenz auf das keyStore-Element (string) der höchsten Ebene. | Ein Keystore, der den öffentlichen Schlüssel enthält, der für die Verifizierung der Signatur der SAML-Antwort und der SAML-Zusicherung erforderlich ist. |
pkixTrustEngine > trustedIssuers
Gibt die IDs vertrauenswürdiger IdP-Aussteller an. Wenn Sie den Wert "ALL_ISSUERS" angeben, werden alle IdP-IDs anerkannt.
pkixTrustEngine > x509Certificate
Eine eindeutige Konfigurations-ID.
Name | Type | Default | Description |
---|---|---|---|
id | string | Eine eindeutige Konfigurations-ID. | |
path | string | Gibt den Pfad zum x509-Zertifikat an. |
Eine eindeutige Konfigurations-ID.
Name | Type | Default | Description |
---|---|---|---|
id | string | Eine eindeutige Konfigurations-ID. | |
path | string | Gibt den Pfad zur Zugriffssteuerungsliste an. |
Gibt die Referenz des Authentifizierungsfilters an.
Eine eindeutige Konfigurations-ID.
Name | Type | Default | Description |
---|---|---|---|
id | string | Eine eindeutige Konfigurations-ID. | |
name | string | Gibt den Namen an. | |
matchType |
| contains | Gibt den Abgleichstyp an. contains Enthält notContain Enthält nicht equals Gleich |
Eine eindeutige Konfigurations-ID.
Name | Type | Default | Description |
---|---|---|---|
id | string | Eine eindeutige Konfigurations-ID. | |
urlPattern | string | Gibt das URL-Muster an. | |
matchType |
| contains | Gibt den Abgleichstyp an. contains Enthält notContain Enthält nicht equals Gleich |
Eine eindeutige Konfigurations-ID.
Name | Type | Default | Description |
---|---|---|---|
id | string | Eine eindeutige Konfigurations-ID. | |
matchType |
| contains | Gibt den Abgleichstyp an. contains Enthält notContain Enthält nicht equals Gleich lessThan Kleiner als greaterThan Größer als |
ip | string | Gibt die IP-Adresse an. |
Eine eindeutige Konfigurations-ID.
Name | Type | Default | Description |
---|---|---|---|
id | string | Eine eindeutige Konfigurations-ID. | |
name | string | Gibt den Namen an. | |
matchType |
| contains | Gibt den Abgleichstyp an. contains Enthält notContain Enthält nicht equals Gleich |
Eine eindeutige Konfigurations-ID.
Name | Type | Default | Description |
---|---|---|---|
id | string | Eine eindeutige Konfigurations-ID. | |
agent | string | Gibt den Benutzeragenten an. | |
matchType |
| contains | Gibt den Abgleichstyp an. contains Enthält notContain Enthält nicht equals Gleich |
Der Headername der HTTP-Anforderung, die das SAML-Token speichert.
Die Liste der Zielgruppen, die für die Überprüfung der Zielgruppe des SAML-Tokens anerkannt werden. Wenn Sie den Wert "ANY" angeben, werden alle Zielgruppen als vertrauenswürdig eingestuft.