SAML Web SSO 2.0 認証 (samlWebSso20)
Security Assertion Markup Language Web SSO 2.0 メカニズムの動作を制御します。
属性名 | データ型 | デフォルト値 | 説明 |
---|---|---|---|
allowCreate | boolean | 要求側ユーザーにアカウントがない場合に IdP による新規アカウントの作成を許可します。 | |
allowCustomCacheKey | boolean | true | 認証キャッシュにアクセスし、サブジェクトを取得するために、カスタム・キャッシュ・キーを生成することを許可します。 |
authFilterRef | 最上位の authFilter エレメント (ストリング) の参照。 | 認証フィルター参照を指定します。 | |
authnContextComparisonType |
|
exact | authnContextClassRef が指定されている場合、authnContextComparisonType を設定できます。
|
authnRequestTime | 期間 (精度: ミリ秒) | 10m | SAML トークンを要求するために生成されてサービス・プロバイダーから IdP に送信される authnReuqest の存続期間を指定します。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。 |
authnRequestsSigned | boolean | true | このサービス・プロバイダーによって送信される <samlp:AuthnRequest> メッセージに署名するかどうかを指定します。 |
clockSkew | 期間 (精度: ミリ秒) | 5m | これを使用して、SAML トークンの検証時に許可されるクロック・スキュー (分) を指定します。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。 |
createSession | boolean | true | 現行 HttpSession が存在しない場合に HttpSession を作成するかどうかを指定します。 |
customizeNameIDFormat | string | SAML コア仕様で定義されていない名前 ID フォーマットに対応する、カスタマイズされた URI 参照を指定します。 | |
disableLtpaCookie | boolean | true | SAML アサーションの処理中に LTPA トークンを作成しません。 代わりに、特定のサービス・プロバイダーの Cookie を作成します。 |
enabled | boolean | true | true の場合はサービス・プロバイダーが有効となり、false の場合は無効となります。 |
errorPageURL | string | SAML 検証が失敗した場合に表示するエラー・ページを指定します。 この属性が指定されておらず、受け取った SAML が無効な場合、SSO を再開するためにユーザーは再び SAML IdP にリダイレクトされます。 | |
forceAuthn | boolean | false | IdP によってユーザーに再認証させるかどうかを指定します。 |
groupIdentifier | string | 認証済みプリンシパルをメンバーとして含むグループの名前として使用する SAML 属性を指定します。 デフォルト値はありません。 | |
httpsRequired | boolean | true | ACS やメタデータなどの SAML WebSSO サービス・プロバイダー・エンドポイントにアクセスするときに、SSL 通信の使用を強制します。 |
id | string | 固有の構成 ID。 | |
idpMetadata | string | ${server.config.dir}/resources/security/idpMetadata.xml | IdP メタデータ・ファイルを指定します。 |
inboundPropagation |
|
none | Web Services メカニズムのインバウンド伝搬用の Security Assertion Markup Language Web SSO 2.0 の動作を制御します。
|
includeTokenInSubject | boolean | true | サブジェクトに SAML アサーションを含めるかどうかを指定します。 |
includeX509InSPMetadata | boolean | true | Liberty SP メタデータに x509 証明書を含めるかどうかを指定します。 |
isPassive | boolean | false | IdP がエンド・ユーザー・インターフェースを制御してはならないかを指示します。 |
keyAlias | string | 署名および暗号化解除用の秘密鍵を見つけるための鍵別名。 鍵ストアに含まれている鍵エントリーが 1 つのみの場合、または別名が「samlsp」の鍵が 1 つの場合には、オプションです。 | |
keyStoreRef | 最上位の keyStore エレメント (ストリング) の参照。 | AuthnRequest の署名、および EncryptedAssertion エレメントの暗号化解除に使用する秘密鍵が含まれている鍵ストア。 デフォルトはサーバーのデフォルトです。 | |
loginPageURL | string | 非認証要求のリダイレクト先の SAML IdP ログイン・アプリケーション URL を指定します。 この属性は IdP によって開始される SSO をトリガーし、IdP によって開始される SSO の場合にのみ必要です。 | |
mapToUserRegistry |
|
No | ID をレジストリー・ユーザーにマップする方法を指定します。 オプションは、No、User、および Group です。 デフォルトは No であり、ユーザー・サブジェクトを作成するためにユーザー・レジストリーは使用されません。
|
nameIDFormat |
|
SAML コア仕様で定義された名前 ID フォーマットに対応する URI 参照を指定します。
|
|
reAuthnCushion | 期間 (精度: ミリ秒) | 0m | SAML アサーションのステートメント NotOnOrAfter または属性 SessionNotOnOrAfter のいずれかで示される SAML アサーションの有効期限が切れそうなときに再認証する期間。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。 |
reAuthnOnAssertionExpire | boolean | false | SAML アサーションの有効期限が切れそうなときに着信 HTTP 要求をもう一度認証します。 |
realmIdentifier | string | レルム名として使用する SAML 属性を指定します。 値が指定されないと、Issuer SAML アサーション・エレメント値が使用されます。 | |
realmName | string | mapToUserRegistry が No または Group に設定されている場合、レルム名を指定します。 | |
sessionNotOnOrAfter | 期間 (精度: ミリ秒) | 120m | SAML セッション期間の上限を指示します。これを超えると、Liberty SP はユーザーに IdP への再認証を求めます。 IdP から戻された SAML トークンに sessionNotOnOrAfter アサーションが含まれない場合に、この属性で指定した値が使用されます。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。 |
signatureMethodAlgorithm |
|
SHA256 | このサービス・プロバイダーで必要とされるアルゴリズムを指定します。
|
spHostAndPort | string | SAML サービス・プロバイダーのホスト名とポート番号を指定します。 | |
targetPageUrl | string | relayState が欠落している場合の IdP-initiated SSO のデフォルト・ランディング・ページ。 | |
tokenReplayTimeout | 期間 (精度: ミリ秒) | 30m | このプロパティーを使用して、Liberty SP がトークン再生を防止する期間を指定します。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。 |
userIdentifier | string | サブジェクト内でユーザー・プリンシパル名として使用する SAML 属性を指定します。 値が指定されないと、NameID SAML アサーション・エレメント値が使用されます。 | |
userUniqueIdentifier | string | サブジェクト内の WSCredential に適用される固有のユーザー名として使用する SAML 属性を指定します。 デフォルトは userIdentifier 属性値と同じ値です。 | |
wantAssertionsSigned | boolean | true | このサービス・プロバイダーが受信する <saml:Assertion> エレメントに署名する必要があるかを指定します。 |
- audiences
説明: SAML トークンの対象者を調べるための、信頼されている対象者のリスト。 値が "ANY" の場合は、すべての対象者が信頼されます。必須: falseデータ型: string
- authFilter
説明: 認証フィルター参照を指定します。必須: falseデータ型: - authFilter > host
説明: 固有の構成 ID。必須: falseデータ型: 属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 matchType - equals
- contains
- notContain
contains マッチング・タイプを指定します。 - equals
- 等しい
- contains
- 含む
- notContain
- 含まない
name string 名前を指定します。
- authFilter > remoteAddress
説明: 固有の構成 ID。必須: falseデータ型: 属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 ip string IP アドレスを指定します。 matchType - lessThan
- equals
- greaterThan
- contains
- notContain
contains マッチング・タイプを指定します。 - lessThan
- より小
- equals
- 等しい
- greaterThan
- より大
- contains
- 含む
- notContain
- 含まない
- authFilter > requestUrl
説明: 固有の構成 ID。必須: falseデータ型: 属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 matchType - equals
- contains
- notContain
contains マッチング・タイプを指定します。 - equals
- 等しい
- contains
- 含む
- notContain
- 含まない
urlPattern string URL パターンを指定します。
- pkixTrustEngine
説明: SAML 応答に含まれている XML 署名の信頼性および妥当性を評価するために使用される PKIX トラスト情報を指定します。 複数の pkixTrustEngine を 1 つの samlWebSso20 で指定しないようにしてください。必須: falseデータ型: 属性名 データ型 デフォルト値 説明 trustAnchorRef 最上位の keyStore エレメント (ストリング) の参照。 SAMLResponse および Assertion の署名を検証するために必要な公開鍵が含まれている鍵ストア。 - pkixTrustEngine > crl
説明: 固有の構成 ID。必須: falseデータ型: 属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 path string CRL のパスを指定します。