Authentification SAML Web SSO 2.0 (samlWebSso20)
Contrôle le fonctionnement du mécanisme SAML (Security Assertion Markup Language) Web SSO 2.0.
Nom de l'attribut | Type de données | Valeur par défaut | Description |
---|---|---|---|
allowCreate | boolean | Autorise le fournisseur d'identité à créer un compte si le demandeur n'en a pas. | |
allowCustomCacheKey | boolean | true | Autoriser la génération d'une clé de mémoire cache personnalisée pour accéder au cache d'authentification et obtenir le sujet. |
authFilterRef | Référence à lélément {0} de niveau supérieur (chaîne). | Spécifie la référence de filtre d'authentification. | |
authnContextComparisonType |
|
exact | Avec authnContextClassRef, authnContextComparisonType peut être défini.
|
authnRequestTime | Période avec une précision à la milliseconde près | 10m | Indique la plage de temps d'un authnReuqest qui est généré et envoyé depuis le fournisseur de services à un fournisseur d'identité pour la demande d'un jeton SAML. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie. |
authnRequestsSigned | boolean | true | Indique si les messages <samlp:AuthnRequest> envoyés par ce fournisseur de services sont signés. |
clockSkew | Période avec une précision à la milliseconde près | 5m | Permet d'indiquer le décalage d'horloge admis (en minutes) lors de la validation du jeton SAML. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie. |
createSession | boolean | true | Indique si une session HttpSession doit être créée si la session HttpSession n'existe pas. |
customizeNameIDFormat | string | Indique la référence d'URI personnalisée correspondant à un format d'identificateur de nom qui n'est pas défini dans la spécification de coeur SAML. | |
disableLtpaCookie | boolean | true | Ne pas créer de jeton LTPA pendant le traitement de l'assertion SAML. Créer à la place un cookie pour le fournisseur de services. |
enabled | boolean | true | Si true, le fournisseur de services est activé. Si false, le fournisseur de services est désactivé. |
errorPageURL | string | Indique une page d'erreur à afficher en cas d'échec de la validation SAML. Si cet attribut n'est pas défini, et si le SAML reçu n'est pas valide, l'utilisateur sera redirigé vers le fournisseur d'identité SAML pour redémarrer la connexion unique. | |
forceAuthn | boolean | false | Indique si le fournisseur d'identité doit forcer l'utilisateur à s'authentifier à nouveau. |
groupIdentifier | string | Indique un attribut SAML qui est utilisé comme nom du groupe dont le principal authentifié est membre. Il n’existe aucune valeur par défaut. | |
httpsRequired | boolean | true | Application de la communication SSL lorsque l'accès au noeud final d'un fournisseur de services SAML WebSSO, tel qu'ACS ou des métadonnées. |
id | string | ID de configuration unique. | |
idpMetadata | string | ${server.config.dir}/resources/security/idpMetadata.xml | Indique le fichier de métadonnées du fournisseur d'identité. |
inboundPropagation |
|
none | Contrôle le fonctionnement du mécanisme de connexion unique (SSO) SAML (Security Assertion Markup Language) Web 2.0 pour propagation entrante des mécanismes de services Web.
|
includeTokenInSubject | boolean | true | Indique s'il faut inclure une assertion SAML dans le sujet. |
includeX509InSPMetadata | boolean | true | Indique si le certificat x509 doit être inclus dans les métadonnées du fournisseur de service Liberty. |
isPassive | boolean | false | Indique si le fournisseur d'identité doit prendre le contrôle de l'interface de l'utilisateur final. |
keyAlias | string | Nom de l'alias de clé permettant de localiser la clé privée pour la signature et le déchiffrement. Cela est facultatif si si le magasin de clés comporte exactement une entrée de clé, ou s'il contient une clé avec l'alias 'samlsp'. | |
keyStoreRef | Référence à lélément {0} de niveau supérieur (chaîne). | Fichier de clés contenant la clé privée pour la signature de l'élément AuthnRequest et le déchiffrement de l'élément EncryptedAssertion. La valeur par défaut est celle du serveur. | |
loginPageURL | string | URL de l'application de connexion au fournisseur d'identité SAML vers laquelle sont renvoyées les demandes non authentifiées. Cet attribut déclenche une connexion unique initiée par le fournisseur d'identité, et n'est requis que pour ce type de connexion. | |
mapToUserRegistry |
|
No | Indique comment mapper une identité à un utilisateur du registre. Les options sont Non, Utilisateur et Groupe. La valeur par défaut est Non et le registre d'utilisateurs n'est pas utilisé pour créer le sujet utilisateur.
|
nameIDFormat |
|
Indique la référence d'URI correspondant à un format d'identificateur de nom défini dans la spécification de coeur SAML.
|
|
reAuthnCushion | Période avec une précision à la milliseconde près | 0m | Période pendant laquelle il est possible d'effectuer une réauthentification lorsqu'une assertion SAML est sur le point d'expirer, indiquée soit par l'instruction NotOnOrAfter soit par l'attribut SessionNotOnOrAfter de l'assertion SAML. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie. |
reAuthnOnAssertionExpire | boolean | false | Réauthentifiez la demande HTTP lorsqu'une assertion SAML est sur le point d'expirer. |
realmIdentifier | string | Indique un attribut SAML qui est utilisé comme nom de domaine principal. Si aucune valeur n'est spécifiée, la valeur de l'élément d'assertion SAML Issuer est utilisée. | |
realmName | string | Indique un nom de domaine lorsque mapToUserRegistry est défini sur No ou Group. | |
sessionNotOnOrAfter | Période avec une précision à la milliseconde près | 120m | Indique une limite supérieure sur les durées de session SAML, au terme duquel le fournisseur de services Liberty doit demander à l'utilisateur de s'authentifier à nouveau auprès du fournisseur d'identité. Si le jeton SAML renvoyé par le fournisseur d'identité ne contient pas d'assertion sessionNotOnOrAfter, la valeur spécifiée par cet attribut est utilisée. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie. |
signatureMethodAlgorithm |
|
SHA256 | Algorithme requis par ce fournisseur de services.
|
spHostAndPort | string | Indique le nom d’hôte et le numéro de port d'un fournisseur de services SAML. | |
targetPageUrl | string | Page d'arrivée par défaut pour la connexion unique initiée par IdP si relayState manquant. | |
tokenReplayTimeout | Période avec une précision à la milliseconde près | 30m | Définit la durée pendant laquelle le fournisseur de services Liberty doit empêcher la réutilisation du jeton (token replay). Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie. |
userIdentifier | string | Indique un attribut SAML qui est utilisé comme nom principal d'utilisateur dans le sujet. Si aucune valeur n'est spécifiée, la valeur de l'élément d'assertion SAML NameID est utilisée. | |
userUniqueIdentifier | string | Indique un attribut SAML qui est utilisé comme nom d'utilisateur unique dès lors qu'il s'applique à WSCredential dans le sujet. La valeur par défaut est identique à celle de la valeur d'attribut userIdentifier. | |
wantAssertionsSigned | boolean | true | Indique que les éléments <saml:Assertion> reçus par ce fournisseur de services doivent être signés. |
- audiences
Description : Liste des audiences admises pour vérifier l'audience du jeton SAML. Si la valeur est "ANY", toutes les audiences sont considérées comme fiables.Obligatoire : falseType de données string
- authFilter
Description : Spécifie la référence de filtre d'authentification.Obligatoire : falseType de données - authFilter > host
Description : ID de configuration unique.Obligatoire : falseType de données Nom de l'attribut Type de données Valeur par défaut Description id string ID de configuration unique. matchType - equals
- contains
- notContain
contains Spécifie le type de mise en correspondance. - equals
- Egal à
- contains
- Contient
- notContain
- Ne contient pas
name string Spécifie le nom.
- authFilter > remoteAddress
Description : ID de configuration unique.Obligatoire : falseType de données Nom de l'attribut Type de données Valeur par défaut Description id string ID de configuration unique. ip string Spécifie l'adresse IP. matchType - lessThan
- equals
- greaterThan
- contains
- notContain
contains Spécifie le type de mise en correspondance. - lessThan
- Inférieur à
- equals
- Egal à
- greaterThan
- Supérieur à
- contains
- Contient
- notContain
- Ne contient pas
- authFilter > requestUrl
Description : ID de configuration unique.Obligatoire : falseType de données Nom de l'attribut Type de données Valeur par défaut Description id string ID de configuration unique. matchType - equals
- contains
- notContain
contains Spécifie le type de mise en correspondance. - equals
- Egal à
- contains
- Contient
- notContain
- Ne contient pas
urlPattern string Spécifie le masque d'URL.
- authFilter > userAgent
Description : ID de configuration unique.Obligatoire : falseType de données Nom de l'attribut Type de données Valeur par défaut Description agent string Spécifie l'agent utilisateur id string ID de configuration unique. matchType - equals
- contains
- notContain
contains Spécifie le type de mise en correspondance. - equals
- Egal à
- contains
- Contient
- notContain
- Ne contient pas
- authFilter > webApp
Description : ID de configuration unique.Obligatoire : falseType de données Nom de l'attribut Type de données Valeur par défaut Description id string ID de configuration unique. matchType - equals
- contains
- notContain
contains Spécifie le type de mise en correspondance. - equals
- Egal à
- contains
- Contient
- notContain
- Ne contient pas
name string Spécifie le nom.
- authnContextClassRef
Description : Référence d'URI identifiant une classe de contexte d'authentification qui décrit la déclaration de contexte d'authentification. Par défaut, la valeur est Null.Obligatoire : falseType de données string
- headerName
Description : Nom de l'en-tête de la demande HTTP qui stocke le jeton SAML.Obligatoire : falseType de données string
- pkixTrustEngine
Description : Indique les informations de confiance PKIX utilisées pour évaluer la fiabilité et la validité des signatures XML dans une réponse SAML. Ne spécifiez pas plusieurs éléments pkixTrustEngine dans un samlWebSso20.Obligatoire : falseType de données Nom de l'attribut Type de données Valeur par défaut Description trustAnchorRef Référence à lélément {0} de niveau supérieur (chaîne). Fichier de clés contenant la clé publique requise pour vérifier la signature de SAMLResponse et de l'assertion. - pkixTrustEngine > crl
Description : ID de configuration unique.Obligatoire : falseType de données Nom de l'attribut Type de données Valeur par défaut Description id string ID de configuration unique. path string Indique le chemin de la liste de révocation de certificats.