Authentification SAML Web SSO 2.0 (samlWebSso20)

Contrôle le fonctionnement du mécanisme SAML (Security Assertion Markup Language) Web SSO 2.0.

Nom de l'attribut Type de données Valeur par défaut Description
allowCreate boolean   Autorise le fournisseur d'identité à créer un compte si le demandeur n'en a pas.
allowCustomCacheKey boolean true Autoriser la génération d'une clé de mémoire cache personnalisée pour accéder au cache d'authentification et obtenir le sujet.
authFilterRef Référence à lélément {0} de niveau supérieur (chaîne).   Spécifie la référence de filtre d'authentification.
authnContextComparisonType
  • minimum
  • better
  • maximum
  • exact
exact Avec authnContextClassRef, authnContextComparisonType peut être défini.
minimum
Minimum. Le contexte d'authentification dans l'instruction d'authentification doit au moins être aussi fort que l'un des contextes d'authentification spécifiés.
better
Meilleur. Le contexte d'authentification dans l'instruction d'authentification doit plus fort que n'importe lequel des contextes d'authentification spécifiés.
maximum
Maximum. Le contexte d'authentification dans l'instruction d'authentification doit être aussi fort que possible sans dépasser la force d'au mois un des contextes d'authentification spécifiés.
exact
Exact. Le contexte d'authentification dans l'instruction d'authentification doit correspondre exactement à l'un des contextes d'authentification spécifiés.
authnRequestTime Période avec une précision à la milliseconde près 10m Indique la plage de temps d'un authnReuqest qui est généré et envoyé depuis le fournisseur de services à un fournisseur d'identité pour la demande d'un jeton SAML. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie.
authnRequestsSigned boolean true Indique si les messages <samlp:AuthnRequest> envoyés par ce fournisseur de services sont signés.
clockSkew Période avec une précision à la milliseconde près 5m Permet d'indiquer le décalage d'horloge admis (en minutes) lors de la validation du jeton SAML. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie.
createSession boolean true Indique si une session HttpSession doit être créée si la session HttpSession n'existe pas.
customizeNameIDFormat string   Indique la référence d'URI personnalisée correspondant à un format d'identificateur de nom qui n'est pas défini dans la spécification de coeur SAML.
disableLtpaCookie boolean true Ne pas créer de jeton LTPA pendant le traitement de l'assertion SAML. Créer à la place un cookie pour le fournisseur de services.
enabled boolean true Si true, le fournisseur de services est activé. Si false, le fournisseur de services est désactivé.
errorPageURL string   Indique une page d'erreur à afficher en cas d'échec de la validation SAML. Si cet attribut n'est pas défini, et si le SAML reçu n'est pas valide, l'utilisateur sera redirigé vers le fournisseur d'identité SAML pour redémarrer la connexion unique.
forceAuthn boolean false Indique si le fournisseur d'identité doit forcer l'utilisateur à s'authentifier à nouveau.
groupIdentifier string   Indique un attribut SAML qui est utilisé comme nom du groupe dont le principal authentifié est membre. Il n’existe aucune valeur par défaut.
httpsRequired boolean true Application de la communication SSL lorsque l'accès au noeud final d'un fournisseur de services SAML WebSSO, tel qu'ACS ou des métadonnées.
id string   ID de configuration unique.
idpMetadata string ${server.config.dir}/resources/security/idpMetadata.xml Indique le fichier de métadonnées du fournisseur d'identité.
inboundPropagation
  • none
  • required
none Contrôle le fonctionnement du mécanisme de connexion unique (SSO) SAML (Security Assertion Markup Language) Web 2.0 pour propagation entrante des mécanismes de services Web.
none
%inboundPropagation.none
required
%inboundPropagation.required
includeTokenInSubject boolean true Indique s'il faut inclure une assertion SAML dans le sujet.
includeX509InSPMetadata boolean true Indique si le certificat x509 doit être inclus dans les métadonnées du fournisseur de service Liberty.
isPassive boolean false Indique si le fournisseur d'identité doit prendre le contrôle de l'interface de l'utilisateur final.
keyAlias string   Nom de l'alias de clé permettant de localiser la clé privée pour la signature et le déchiffrement. Cela est facultatif si si le magasin de clés comporte exactement une entrée de clé, ou s'il contient une clé avec l'alias 'samlsp'.
keyStoreRef Référence à lélément {0} de niveau supérieur (chaîne).   Fichier de clés contenant la clé privée pour la signature de l'élément AuthnRequest et le déchiffrement de l'élément EncryptedAssertion. La valeur par défaut est celle du serveur.
loginPageURL string   URL de l'application de connexion au fournisseur d'identité SAML vers laquelle sont renvoyées les demandes non authentifiées. Cet attribut déclenche une connexion unique initiée par le fournisseur d'identité, et n'est requis que pour ce type de connexion.
mapToUserRegistry
  • User
  • No
  • Group
No Indique comment mapper une identité à un utilisateur du registre. Les options sont Non, Utilisateur et Groupe. La valeur par défaut est Non et le registre d'utilisateurs n'est pas utilisé pour créer le sujet utilisateur.
User
Mapper une identité SAML à un utilisateur défini dans le registre
No
Ne pas mapper une identité SAML à un utilisateur ou un groupe dans le registre
Group
Mapper une identité SAML à un groupe défini dans le registre d'utilisateurs
nameIDFormat
  • encrypted
  • customize
  • persistent
  • x509SubjectName
  • email
  • transient
  • entity
  • unspecified
  • kerberos
  • windowsDomainQualifiedName
email Indique la référence d'URI correspondant à un format d'identificateur de nom défini dans la spécification de coeur SAML.
encrypted
urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
customize
Format d'ID de nom personnalisé.
persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
x509SubjectName
urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName
email
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
transient
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
entity
urn:oasis:names:tc:SAML:2.0:nameid-format:entity
unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
kerberos
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
windowsDomainQualifiedName
urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName
reAuthnCushion Période avec une précision à la milliseconde près 0m Période pendant laquelle il est possible d'effectuer une réauthentification lorsqu'une assertion SAML est sur le point d'expirer, indiquée soit par l'instruction NotOnOrAfter soit par l'attribut SessionNotOnOrAfter de l'assertion SAML. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie.
reAuthnOnAssertionExpire boolean false Réauthentifiez la demande HTTP lorsqu'une assertion SAML est sur le point d'expirer.
realmIdentifier string   Indique un attribut SAML qui est utilisé comme nom de domaine principal. Si aucune valeur n'est spécifiée, la valeur de l'élément d'assertion SAML Issuer est utilisée.
realmName string   Indique un nom de domaine lorsque mapToUserRegistry est défini sur No ou Group.
sessionNotOnOrAfter Période avec une précision à la milliseconde près 120m Indique une limite supérieure sur les durées de session SAML, au terme duquel le fournisseur de services Liberty doit demander à l'utilisateur de s'authentifier à nouveau auprès du fournisseur d'identité. Si le jeton SAML renvoyé par le fournisseur d'identité ne contient pas d'assertion sessionNotOnOrAfter, la valeur spécifiée par cet attribut est utilisée. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie.
signatureMethodAlgorithm
  • SHA256
  • SHA128
  • SHA1
SHA256 Algorithme requis par ce fournisseur de services.
SHA256
Algorithme de signature SHA-256
SHA128
%signatureMethodAlgorithm.SHA128
SHA1
Algorithme de signature SHA-1
spHostAndPort string   Indique le nom d’hôte et le numéro de port d'un fournisseur de services SAML.
targetPageUrl string   Page d'arrivée par défaut pour la connexion unique initiée par IdP si relayState manquant.
tokenReplayTimeout Période avec une précision à la milliseconde près 30m Définit la durée pendant laquelle le fournisseur de services Liberty doit empêcher la réutilisation du jeton (token replay). Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie.
userIdentifier string   Indique un attribut SAML qui est utilisé comme nom principal d'utilisateur dans le sujet. Si aucune valeur n'est spécifiée, la valeur de l'élément d'assertion SAML NameID est utilisée.
userUniqueIdentifier string   Indique un attribut SAML qui est utilisé comme nom d'utilisateur unique dès lors qu'il s'applique à WSCredential dans le sujet. La valeur par défaut est identique à celle de la valeur d'attribut userIdentifier.
wantAssertionsSigned boolean true Indique que les éléments <saml:Assertion> reçus par ce fournisseur de services doivent être signés.
audiences
Description : Liste des audiences admises pour vérifier l'audience du jeton SAML. Si la valeur est "ANY", toutes les audiences sont considérées comme fiables.
Obligatoire : false
Type de données string
authFilter
Description : Spécifie la référence de filtre d'authentification.
Obligatoire : false
Type de données
authFilter > host
Description : ID de configuration unique.
Obligatoire : false
Type de données
Nom de l'attribut Type de données Valeur par défaut Description
id string   ID de configuration unique.
matchType
  • equals
  • contains
  • notContain
contains Spécifie le type de mise en correspondance.
equals
Egal à
contains
Contient
notContain
Ne contient pas
name string   Spécifie le nom.
authFilter > remoteAddress
Description : ID de configuration unique.
Obligatoire : false
Type de données
Nom de l'attribut Type de données Valeur par défaut Description
id string   ID de configuration unique.
ip string   Spécifie l'adresse IP.
matchType
  • lessThan
  • equals
  • greaterThan
  • contains
  • notContain
contains Spécifie le type de mise en correspondance.
lessThan
Inférieur à
equals
Egal à
greaterThan
Supérieur à
contains
Contient
notContain
Ne contient pas
authFilter > requestUrl
Description : ID de configuration unique.
Obligatoire : false
Type de données
Nom de l'attribut Type de données Valeur par défaut Description
id string   ID de configuration unique.
matchType
  • equals
  • contains
  • notContain
contains Spécifie le type de mise en correspondance.
equals
Egal à
contains
Contient
notContain
Ne contient pas
urlPattern string   Spécifie le masque d'URL.
authFilter > userAgent
Description : ID de configuration unique.
Obligatoire : false
Type de données
Nom de l'attribut Type de données Valeur par défaut Description
agent string   Spécifie l'agent utilisateur
id string   ID de configuration unique.
matchType
  • equals
  • contains
  • notContain
contains Spécifie le type de mise en correspondance.
equals
Egal à
contains
Contient
notContain
Ne contient pas
authFilter > webApp
Description : ID de configuration unique.
Obligatoire : false
Type de données
Nom de l'attribut Type de données Valeur par défaut Description
id string   ID de configuration unique.
matchType
  • equals
  • contains
  • notContain
contains Spécifie le type de mise en correspondance.
equals
Egal à
contains
Contient
notContain
Ne contient pas
name string   Spécifie le nom.
authnContextClassRef
Description : Référence d'URI identifiant une classe de contexte d'authentification qui décrit la déclaration de contexte d'authentification. Par défaut, la valeur est Null.
Obligatoire : false
Type de données string
headerName
Description : Nom de l'en-tête de la demande HTTP qui stocke le jeton SAML.
Obligatoire : false
Type de données string
pkixTrustEngine
Description : Indique les informations de confiance PKIX utilisées pour évaluer la fiabilité et la validité des signatures XML dans une réponse SAML. Ne spécifiez pas plusieurs éléments pkixTrustEngine dans un samlWebSso20.
Obligatoire : false
Type de données
Nom de l'attribut Type de données Valeur par défaut Description
trustAnchorRef Référence à lélément {0} de niveau supérieur (chaîne).   Fichier de clés contenant la clé publique requise pour vérifier la signature de SAMLResponse et de l'assertion.
pkixTrustEngine > crl
Description : ID de configuration unique.
Obligatoire : false
Type de données
Nom de l'attribut Type de données Valeur par défaut Description
id string   ID de configuration unique.
path string   Indique le chemin de la liste de révocation de certificats.
pkixTrustEngine > trustedIssuers
Description : Indique l'identité d'émetteurs de fournisseur d'identité dignes de confiance. Si la valeur est "ALL_ISSUERS", tous les émetteurs de fournisseur d'identité sont dignes de confiance.
Obligatoire : false
Type de données string
pkixTrustEngine > x509Certificate
Description : ID de configuration unique.
Obligatoire : false
Type de données
Nom de l'attribut Type de données Valeur par défaut Description
id string   ID de configuration unique.
path string   Indique le chemin du certificat x509.

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwlp_config_samlWebSso20
Nom du fichier : rwlp_config_samlWebSso20.html