SAML Web SSO 2.0 認証 (samlWebSso20)

Security Assertion Markup Language Web SSO 2.0 メカニズムの動作を制御します。

属性名 データ型 デフォルト値 説明
allowCreate boolean   要求側ユーザーにアカウントがない場合に IdP による新規アカウントの作成を許可します。
allowCustomCacheKey boolean true 認証キャッシュにアクセスし、サブジェクトを取得するために、カスタム・キャッシュ・キーを生成することを許可します。
authFilterRef 最上位の authFilter エレメント (ストリング) の参照。   認証フィルター参照を指定します。
authnContextComparisonType
  • minimum
  • better
  • maximum
  • exact
exact authnContextClassRef が指定されている場合、authnContextComparisonType を設定できます。
minimum
minimum。 認証ステートメントの認証コンテキストは、指定された認証コンテキストの 1 つと少なくとも同じ強度でなければなりません。
better
better。 認証ステートメントの認証コンテキストは、指定されたどの認証コンテキストよりも強度が高くなければなりません。
maximum
maximum。 認証ステートメントの認証コンテキストは、可能な限り高い強度である必要がありますが、指定された 1 つ以上の認証コンテキストの強度を超えてはなりません。
exact
exact。 認証ステートメントの認証コンテキストは、指定された認証コンテキストの少なくとも 1 つと完全一致でなければなりません。
authnRequestTime 期間 (精度: ミリ秒) 10m SAML トークンを要求するために生成されてサービス・プロバイダーから IdP に送信される authnReuqest の存続期間を指定します。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
authnRequestsSigned boolean true このサービス・プロバイダーによって送信される <samlp:AuthnRequest> メッセージに署名するかどうかを指定します。
clockSkew 期間 (精度: ミリ秒) 5m これを使用して、SAML トークンの検証時に許可されるクロック・スキュー (分) を指定します。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
createSession boolean true 現行 HttpSession が存在しない場合に HttpSession を作成するかどうかを指定します。
customizeNameIDFormat string   SAML コア仕様で定義されていない名前 ID フォーマットに対応する、カスタマイズされた URI 参照を指定します。
disableLtpaCookie boolean true SAML アサーションの処理中に LTPA トークンを作成しません。 代わりに、特定のサービス・プロバイダーの Cookie を作成します。
enabled boolean true true の場合はサービス・プロバイダーが有効となり、false の場合は無効となります。
errorPageURL string   SAML 検証が失敗した場合に表示するエラー・ページを指定します。 この属性が指定されておらず、受け取った SAML が無効な場合、SSO を再開するためにユーザーは再び SAML IdP にリダイレクトされます。
forceAuthn boolean false IdP によってユーザーに再認証させるかどうかを指定します。
groupIdentifier string   認証済みプリンシパルをメンバーとして含むグループの名前として使用する SAML 属性を指定します。 デフォルト値はありません。
httpsRequired boolean true ACS やメタデータなどの SAML WebSSO サービス・プロバイダー・エンドポイントにアクセスするときに、SSL 通信の使用を強制します。
id string   固有の構成 ID。
idpMetadata string ${server.config.dir}/resources/security/idpMetadata.xml IdP メタデータ・ファイルを指定します。
inboundPropagation
  • none
  • required
none Web Services メカニズムのインバウンド伝搬用の Security Assertion Markup Language Web SSO 2.0 の動作を制御します。
none
%inboundPropagation.none
required
%inboundPropagation.required
includeTokenInSubject boolean true サブジェクトに SAML アサーションを含めるかどうかを指定します。
includeX509InSPMetadata boolean true Liberty SP メタデータに x509 証明書を含めるかどうかを指定します。
isPassive boolean false IdP がエンド・ユーザー・インターフェースを制御してはならないかを指示します。
keyAlias string   署名および暗号化解除用の秘密鍵を見つけるための鍵別名。 鍵ストアに含まれている鍵エントリーが 1 つのみの場合、または別名が「samlsp」の鍵が 1 つの場合には、オプションです。
keyStoreRef 最上位の keyStore エレメント (ストリング) の参照。   AuthnRequest の署名、および EncryptedAssertion エレメントの暗号化解除に使用する秘密鍵が含まれている鍵ストア。 デフォルトはサーバーのデフォルトです。
loginPageURL string   非認証要求のリダイレクト先の SAML IdP ログイン・アプリケーション URL を指定します。 この属性は IdP によって開始される SSO をトリガーし、IdP によって開始される SSO の場合にのみ必要です。
mapToUserRegistry
  • User
  • No
  • Group
No ID をレジストリー・ユーザーにマップする方法を指定します。 オプションは、No、User、および Group です。 デフォルトは No であり、ユーザー・サブジェクトを作成するためにユーザー・レジストリーは使用されません。
User
SAML ID をレジストリーで定義されたユーザーにマップする
No
SAML ID をレジストリー内のユーザーまたはグループにマップしない
Group
SAML ID をユーザー・レジストリーで定義されたグループにマップする
nameIDFormat
  • encrypted
  • customize
  • persistent
  • x509SubjectName
  • email
  • transient
  • entity
  • unspecified
  • kerberos
  • windowsDomainQualifiedName
email SAML コア仕様で定義された名前 ID フォーマットに対応する URI 参照を指定します。
encrypted
urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
customize
カスタマイズした名前 ID フォーマット。
persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
x509SubjectName
urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName
email
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
transient
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
entity
urn:oasis:names:tc:SAML:2.0:nameid-format:entity
unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
kerberos
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
windowsDomainQualifiedName
urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName
reAuthnCushion 期間 (精度: ミリ秒) 0m SAML アサーションのステートメント NotOnOrAfter または属性 SessionNotOnOrAfter のいずれかで示される SAML アサーションの有効期限が切れそうなときに再認証する期間。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
reAuthnOnAssertionExpire boolean false SAML アサーションの有効期限が切れそうなときに着信 HTTP 要求をもう一度認証します。
realmIdentifier string   レルム名として使用する SAML 属性を指定します。 値が指定されないと、Issuer SAML アサーション・エレメント値が使用されます。
realmName string   mapToUserRegistry が No または Group に設定されている場合、レルム名を指定します。
sessionNotOnOrAfter 期間 (精度: ミリ秒) 120m SAML セッション期間の上限を指示します。これを超えると、Liberty SP はユーザーに IdP への再認証を求めます。 IdP から戻された SAML トークンに sessionNotOnOrAfter アサーションが含まれない場合に、この属性で指定した値が使用されます。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
signatureMethodAlgorithm
  • SHA256
  • SHA128
  • SHA1
SHA256 このサービス・プロバイダーで必要とされるアルゴリズムを指定します。
SHA256
SHA-256 署名アルゴリズム
SHA128
%signatureMethodAlgorithm.SHA128
SHA1
SHA-1 署名アルゴリズム
spHostAndPort string   SAML サービス・プロバイダーのホスト名とポート番号を指定します。
targetPageUrl string   relayState が欠落している場合の IdP-initiated SSO のデフォルト・ランディング・ページ。
tokenReplayTimeout 期間 (精度: ミリ秒) 30m このプロパティーを使用して、Liberty SP がトークン再生を防止する期間を指定します。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
userIdentifier string   サブジェクト内でユーザー・プリンシパル名として使用する SAML 属性を指定します。 値が指定されないと、NameID SAML アサーション・エレメント値が使用されます。
userUniqueIdentifier string   サブジェクト内の WSCredential に適用される固有のユーザー名として使用する SAML 属性を指定します。 デフォルトは userIdentifier 属性値と同じ値です。
wantAssertionsSigned boolean true このサービス・プロバイダーが受信する <saml:Assertion> エレメントに署名する必要があるかを指定します。
audiences
説明:SAML トークンの対象者を調べるための、信頼されている対象者のリスト。 値が "ANY" の場合は、すべての対象者が信頼されます。
必須: false
データ型: string
authFilter
説明:認証フィルター参照を指定します。
必須: false
データ型:
authFilter > host
説明:固有の構成 ID。
必須: false
データ型:
属性名 データ型 デフォルト値 説明
id string   固有の構成 ID。
matchType
  • equals
  • contains
  • notContain
contains マッチング・タイプを指定します。
equals
等しい
contains
含む
notContain
含まない
name string   名前を指定します。
authFilter > remoteAddress
説明:固有の構成 ID。
必須: false
データ型:
属性名 データ型 デフォルト値 説明
id string   固有の構成 ID。
ip string   IP アドレスを指定します。
matchType
  • lessThan
  • equals
  • greaterThan
  • contains
  • notContain
contains マッチング・タイプを指定します。
lessThan
より小
equals
等しい
greaterThan
より大
contains
含む
notContain
含まない
authFilter > requestUrl
説明:固有の構成 ID。
必須: false
データ型:
属性名 データ型 デフォルト値 説明
id string   固有の構成 ID。
matchType
  • equals
  • contains
  • notContain
contains マッチング・タイプを指定します。
equals
等しい
contains
含む
notContain
含まない
urlPattern string   URL パターンを指定します。
authFilter > userAgent
説明:固有の構成 ID。
必須: false
データ型:
属性名 データ型 デフォルト値 説明
agent string   ユーザー・エージェントを指定します。
id string   固有の構成 ID。
matchType
  • equals
  • contains
  • notContain
contains マッチング・タイプを指定します。
equals
等しい
contains
含む
notContain
含まない
authFilter > webApp
説明:固有の構成 ID。
必須: false
データ型:
属性名 データ型 デフォルト値 説明
id string   固有の構成 ID。
matchType
  • equals
  • contains
  • notContain
contains マッチング・タイプを指定します。
equals
等しい
contains
含む
notContain
含まない
name string   名前を指定します。
authnContextClassRef
説明:認証コンテキスト宣言を記述する認証コンテキスト・クラスを識別する URI 参照。 デフォルトはヌルです。
必須: false
データ型: string
headerName
説明:SAML トークンを保管する HTTP 要求のヘッダー名。
必須: false
データ型: string
pkixTrustEngine
説明:SAML 応答に含まれている XML 署名の信頼性および妥当性を評価するために使用される PKIX トラスト情報を指定します。 複数の pkixTrustEngine を 1 つの samlWebSso20 で指定しないようにしてください。
必須: false
データ型:
属性名 データ型 デフォルト値 説明
trustAnchorRef 最上位の keyStore エレメント (ストリング) の参照。   SAMLResponse および Assertion の署名を検証するために必要な公開鍵が含まれている鍵ストア。
pkixTrustEngine > crl
説明:固有の構成 ID。
必須: false
データ型:
属性名 データ型 デフォルト値 説明
id string   固有の構成 ID。
path string   CRL のパスを指定します。
pkixTrustEngine > trustedIssuers
説明:信頼できる IdP 発行者の ID を指定します。 値が「ALL_ISSUERS」の場合、すべての IdP ID が信頼されます。
必須: false
データ型: string
pkixTrustEngine > x509Certificate
説明:固有の構成 ID。
必須: false
データ型:
属性名 データ型 デフォルト値 説明
id string   固有の構成 ID。
path string   x509 証明書のパスを指定します。

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwlp_config_samlWebSso20
ファイル名: rwlp_config_samlWebSso20.html