OpenID Connect 客户机 (openidConnectClient)
OpenID Connect 客户机。
属性名称 | 数据类型 | 缺省值 | 描述 |
---|---|---|---|
authFilterRef | 对顶级 authFilter 元素的引用(字符串)。 | 指定认证过滤器参考。 | |
authnSessionDisabled | 布尔型 | true | 将不会为入站传播创建认证会话 Cookie。客户机预期会针对每个请求发送一个有效 OAuth 令牌。 |
authorizationEndpointUrl | string | 指定授权端点 URL。 | |
clientId | string | 客户的身份。 | |
clientSecret | 可逆向编码的密码(字符串) | 客户机的密钥。 | |
createSession | 布尔型 | true | 指定在当前 HttpSession 不存在的情况下是否创建 HttpSession。 |
disableIssChecking | 布尔型 | false | 验证 JSON 响应以进行入站令牌传播时,不检查发布者。 |
disableLtpaCookie | 布尔型 | false | 请勿在处理 OAuth 令牌期间创建 LTPA 令牌。改为创建特定服务提供程序的 cookie。 |
grantType |
|
authorization_code | 指定要用于此客户机的授予类型。
|
groupIdentifier | string | groupIds | 在标识令牌中指定用作已认证主体所属组的名称的 JSON 属性。 |
headerName | string | 在请求中携带了入站令牌的头的名称。 | |
hostNameVerificationEnabled | 布尔型 | false | 指定是否启用主机名验证。 |
httpsRequired | 布尔型 | true | 在 OpenID 依赖方与提供程序服务之间需要 SSL 通信。 |
id | 字符串 | 唯一配置标识。 | |
inboundPropagation |
|
none | 控制 OpenID 依赖方的令牌入站传播的操作。
|
includeIdTokenInSubject | 布尔型 | true | 指定是否在客户机主题中包括标识令牌。 |
initialStateCacheCapacity | int
最小值:0 |
3000 | 指定状态高速缓存的起始容量。此容量在本身需要时会增长。 |
isClientSideRedirectSupported | 布尔型 | true | 指定客户机是否支持在客户机端执行重定向。 |
issuerIdentifier | string | 颁发者标识是使用 HTTPS 方案的 URL(区分大小写),其中包含方案、主机及(可选的)端口号和路径部分。 | |
jwkEndpointUrl | string | 指定 JWK 端点 URL。 | |
mapIdentityToRegistryUser | 布尔型 | false | 指定是否将身份映射至注册表用户。如果此项设置为 false,那么不会使用用户注册表来创建用户主题。 |
nonceEnabled | 布尔型 | false | 在授权代码流程中启用现时标志参数。 |
reAuthnCushion | 具有毫秒精度的时间段 | 0s | 当用户的令牌将要到期时,要再次认证该用户的时间段。标识令牌的到期时间由其 exp 声明指定。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。 |
reAuthnOnAccessTokenExpire | 布尔型 | true | 当用户的认证访问令牌到期,而 disableLtpaCookie 设置为 true 时,请再次认证该用户。 |
realmIdentifier | string | realmName | 在标识令牌中指定用作域名的 JSON 属性。 |
realmName | string | 指定 mapIdentityToRegistryUser 设置为 false 时用于创建用户主题的域名。 | |
redirectToRPHostAndPort | string | 指定重定向 OpenID 依赖方主机和端口号。 | |
responseType |
|
指定此客户机所需的响应类型。
|
|
scope | tokenType | openid profile | 提供程序允许的 OpenID Connect 作用域(如 OpenID Connect 规范中详述)。 |
signatureAlgorithm |
|
HS256 | 指定将用于验证标识令牌的签名的签名算法。
|
sslRef | 对顶级 ssl 元素的引用(字符串)。 | 指定用于连接至 OpenID Connect 提供程序的 SSL 配置的标识。 | |
tokenEndpointAuthMethod |
|
post | 用于将凭证发送至 OpenID Connect 提供程序的令牌端点以便验证客户机的方法。
|
tokenEndpointUrl | string | 指定令牌端点 URL。 | |
trustAliasName | string | 用于找到公用密钥(与非对称算法一起用于签名验证)的密钥别名名称。 | |
trustStoreRef | 对顶级 keyStore 元素的引用(字符串)。 | 密钥库,包含在验证标识令牌的签名时必需的公用密钥。 | |
uniqueUserIdentifier | string | uniqueSecurityName | 在标识令牌中指定应用到主题中 WSCredential 时用作唯一用户名的 JSON 属性。 |
userIdentifier | string | 在标识令牌中指定用作主题中用户主体名称的 JSON 属性。如果未指定值,那么会使用 JSON 属性“sub”。 | |
userIdentityToCreateSubject | string | sub | 在标识令牌中指定用于创建用户主题的用户身份。 |
validationEndpointUrl | string | 用于验证令牌入站传播的端点 URL。端点的类型由 validationMethod 决定。 | |
validationMethod |
|
introspect | 用于对令牌入站传播进行验证的方法。
|
- authFilter
描述: 指定认证过滤器参考。必需: false数据类型: - authFilter > host
描述: 唯一配置标识。必需: false数据类型: 属性名称 数据类型 缺省值 描述 id 字符串 唯一配置标识。 matchType - equals
- contains
- notContain
contains 指定匹配类型。 - equals
- Equals
- contains
- Contains
- notContain
- Not contain
name string 指定名称。
- authFilter > remoteAddress
描述: 唯一配置标识。必需: false数据类型: 属性名称 数据类型 缺省值 描述 id 字符串 唯一配置标识。 ip string 指定 IP 地址。 matchType - lessThan
- equals
- greaterThan
- contains
- notContain
contains 指定匹配类型。 - lessThan
- Less than
- equals
- Equals
- greaterThan
- Greater than
- contains
- Contains
- notContain
- Not contain
- authFilter > requestUrl
描述: 唯一配置标识。必需: false数据类型: 属性名称 数据类型 缺省值 描述 id 字符串 唯一配置标识。 matchType - equals
- contains
- notContain
contains 指定匹配类型。 - equals
- Equals
- contains
- Contains
- notContain
- Not contain
urlPattern string 指定 URL 模式。