Seguridad de aplicación de contenedor web (webAppSecurity)
Configura la seguridad de aplicación de contenedor web.
Nombre de atributo | Tipo de datos | Valor predeterminado | Descripción |
---|---|---|---|
allowAuthenticationFailOverToAuthMethod |
|
Especifica el método de migración tras error de autenticación que se utilizará cuando falle la autenticación de certificados. Los valores válidos son BASIC y FORM.
|
|
allowFailOverToBasicAuth | boolean | false | Especifica si se debe utilizar la migración tras error a la autenticación básica cuando falla la autenticación de certificados. La propiedad personalizada equivalente del perfil de servidor de aplicaciones completo es com.ibm.wsspi.security.web.failOverToBasicAuth. |
allowLogoutPageRedirectToAnyHost | boolean | false | Aviso, riesgo de seguridad: Establecer esta propiedad en true puede exponer sus sistemas a posibles ataques de redirección de URL. Si se establece en true, se puede especificar cualquier host para la redirección de la página de cierre de sesión. Si se establece en false y la página de cierre de sesión apunta a un host diferente o a uno que no está listado en la lista de dominios de redirección de la página de cierre de sesión, se muestra una página de cierre de sesión genérica. La propiedad personalizada equivalente del perfil completo del servidor de aplicaciones es com.ibm.websphere.security.allowAnyLogoutExitPageHost. |
displayAuthenticationRealm | boolean | false | Aviso, riesgo de seguridad: si esta propiedad se establece en true y el nombre de reino del registro de usuarios contiene información confidencial, ésta se muestra al usuario. Por ejemplo, si se utiliza una configuración LDAP, se muestra el nombre de host del servidor LDAP y el puerto. Esta configuración controla el contenido que se muestra en la ventana de inicio de sesión de autenticación básica HTTP cuando el nombre de reino no está definido en la aplicación web.xml. Si el nombre de reino está definido en el archivo web.xml de aplicación, se ignora esta propiedad. Si se establece en true, el nombre de reino mostrado será el nombre de reino del registro de usuarios para el mecanismo de autenticación LTPA. Si se establece en false, el nombre de reino mostrado será "Reino por omisión". La propiedad personalizada equivalente del perfil completo del servidor de aplicaciones es com.ibm.websphere.security.displayRealm. |
httpOnlyCookies | boolean | true | Especifica si la opción de cookies sólo HTTP (HttpOnly) está habilitada. |
includePathInWASReqURL | boolean | false | La definición del parámetro Path puede permitir al cliente/navegador gestionar varias cookies WASReqURL durante varios inicios de sesión simultáneos en el mismo agente de usuario. La propiedad personalizada equivalente en el perfil completo del servidor de aplicaciones es com.ibm.websphere.security.setContextRootForFormLogin. |
loginFormURL | string | Especifica el URL global de una página de inicio de sesión de formulario, incluido el contexto raíz. La página de inicio de sesión de formulario debe formar parte del archivo WAR. Si una aplicación de inicio de sesión de formulario no especifica la página de inicio de sesión de formulario en el archivo web.xml, se utiliza el URL de inicio de sesión de formulario global. | |
logoutOnHttpSessionExpire | boolean | false | Especifica si se cerrará la sesión de los usuarios cuando haya caducado el temporizador de sesión HTTP. Si se establece en false, la credencial de usuario permanecerá activa hasta que se supere el tiempo de espera de señal de Inicio de sesión único. La propiedad personalizada equivalente del perfil de servidor de aplicaciones completo es com.ibm.ws.security.web.logoutOnHTTPSessionExpire. |
logoutPageRedirectDomainNames | string | Lista de nombres de domino separados por una barra vertical (|) que están permitidos para la redirección de la página de cierre de sesión (localhost está implícito). La propiedad personalizada equivalente del perfil completo del servidor de aplicaciones es com.ibm.websphere.security.logoutExitPageDomainList. | |
postParamCookieSize | int | 16384 | Tamaño de la cookie de parámetro POST. Si el tamaño de la cookie es mayor que el límite del navegador, puede producirse un comportamiento inesperado. El valor de esta propiedad debe ser un entero positivo y representa el tamaño máximo de la cookie en bytes. La propiedad personalizada equivalente del perfil completo del servidor de aplicaciones es com.ibm.websphere.security.util.postParamMaxCookieSize. |
postParamSaveMethod |
|
Cookie | Especifica dónde se almacenan los parámetros POST después de la redirección. Los valores válidos son cookie (los parámetros POST se almacenan en un cookie), session (los parámetros POST se almacenan en la sesión HTTP) y none (los parámetros POST no se conservan). La propiedad personalizada equivalente del perfil completo del servidor de aplicaciones es com.ibm.websphere.security.util.postParamSaveMethod.
|
preserveFullyQualifiedReferrerUrl | boolean | false | Aviso, riesgo de seguridad: Establecer esta opción en true puede exponer sus sistemas a posibles ataques de redirección de URL. Esta propiedad especifica si se conserva el URL referenciador completo para las redirecciones de inicio de sesión de formulario. Si tiene el valor false, se elimina el host del URL referenciador y se direcciona hacia el host local. La propiedad personalizada equivalente del perfil completo del servidor de aplicaciones es com.ibm.websphere.security.util.fullyQualifiedURL |
singleSignonEnabled | boolean | true | Especifica si el inicio de sesión único está habilitado. |
ssoCookieName | string | LtpaToken2 | Personaliza el nombre de la cookie SSO. Un nombre de cookie personalizada le permite separar de forma lógica la autenticación entre los dominios SSO y habilitar la autenticación personalizada en un entorno determinado. Antes de establecer este valor, tenga en cuenta que establecer un nombre de cookie personalizada puede provocar una anomalía de autenticación. Por ejemplo, una conexión a un servidor que tiene establecida una propiedad de cookie personalizada envía esta cookie personalizada al navegador. Una conexión posterior con un servidor que utiliza el nombre de cookie por omisión o un nombre de cookie distinto no puede autenticar la solicitud a través de una validación de la cookie de entrada. La propiedad personalizada equivalente del perfil completo del servidor de aplicaciones es com.ibm.websphere.security.customSSOCookieName. |
ssoDomainNames | string | Debe presentarse una lista de nombres de dominio separados por una barra vertical (|) para las cookies SSO. La propiedad personalizada equivalente del perfil completo del servidor de aplicaciones es com.ibm.ws.security.config.SingleSignonConfig | |
ssoRequiresSSL | boolean | false | Especifica si una cookie SSO se envía a través de SSL. La propiedad equivalente del perfil completo del servidor de aplicaciones es requiresSSL. |
ssoUseDomainFromURL | boolean | false | Especifica si se debe utilizar el nombre de dominio del URL de solicitud para el dominio de cookie. |
trackLoggedOutSSOCookies | boolean | false | Especifica si se realiza un seguimiento de tokens de inicio de sesión único LTPA que han cerrado sesión en un servidor de forma que no pueda reutilizarse en el mismo servidor. |
useAuthenticationDataForUnprotectedResource | boolean | true | Especifica si los datos de autenticación pueden utilizarse al acceder a un recurso no protegido. El recurso no protegido puede acceder a datos autenticados validados a los que no podía acceder previamente. Esta opción permite al recurso no protegido llamar a los métodos getRemoteUser, isUserInRole y getUserPrincipal para recuperar una identidad autenticada. La propiedad personalizada equivalente del perfil de servidor de aplicaciones completo es com.ibm.wsspi.security.web.webAuthReq=persisting. |
useOnlyCustomCookieName | boolean | false | Especifica si se debe utilizar sólo el nombre de cookie personalizado. |
wasReqURLRedirectDomainNames | string | Lista de nombres de domino separados por una barra vertical (|) que están permitidos para la redirección de la página WASReqURL. El nombre de host encontrado en la solicitud de inicio de sesión de formulario está implícito. | |
webAlwaysLogin | boolean | false | Especifica si el método login() generará una excepción si ya se ha autenticado una identidad. |