SAML Web SSO 2.0 인증 (samlWebSso20)
Security Assertion Markup Language Web SSO 2.0 메커니즘의 조작을 제어합니다.
속성 이름 | 데이터 유형 | 기본값 | 설명 |
---|---|---|---|
allowCreate | boolean | 요청 중인 사용자에게 계정이 없는 경우 IdP에서 새 계정을 작성하도록 허용합니다. | |
allowCustomCacheKey | boolean | true | 사용자 정의 캐시 키를 생성하면 인증 캐시에 액세스하여 주제를 가져올 수 있습니다. |
authFilterRef | 최상위 레벨 authFilter 요소에 대한 참조입니다(문자열). | 인증 필터 참조를 지정합니다. | |
authnContextComparisonType |
|
exact | authnContextClassRef가 지정되면 authnContextComparisonType을 설정할 수 있습니다.
|
authnRequestTime | 밀리초 정밀도를 사용하는 기간 | 10m | SAML 토큰을 요청하기 위해 서비스 제공자가 IdP에 생성하고 전송한 authnReuqest의 지속 기간을 지정합니다. 시간 단위가 뒤따르는 양수를 지정하십시오. 이는 시간(h), 분(m), 초(s) 또는 밀리초(ms)일 수 있습니다. 예를 들어, 500밀리초를 500ms로 지정하십시오. 하나의 항목에 여러 값을 포함할 수 있습니다. 예를 들어, 1s500ms는 1.5초와 동등합니다. |
authnRequestsSigned | boolean | true | 이 서비스 제공자가 보낸 <samlp:AuthnRequest> 메시지에 서명할지 여부를 표시합니다. |
clockSkew | 밀리초 정밀도를 사용하는 기간 | 5m | 이는 SAML 토큰의 유효성을 검증할 때 허용된 클럭 오차를 분 단위로 지정하는 데 사용됩니다. 시간 단위가 뒤따르는 양수를 지정하십시오. 이는 시간(h), 분(m), 초(s) 또는 밀리초(ms)일 수 있습니다. 예를 들어, 500밀리초를 500ms로 지정하십시오. 하나의 항목에 여러 값을 포함할 수 있습니다. 예를 들어, 1s500ms는 1.5초와 동등합니다. |
createSession | boolean | true | 현재 HttpSession이 존재하지 않는 경우 HttpSession을 작성할지 여부를 지정합니다. |
customizeNameIDFormat | string | SAML 코어 스펙에 정의되지 않은 이름 ID 형식에 해당하는 사용자 정의 URI 참조를 지정합니다. | |
disableLtpaCookie | boolean | true | SAML 어설션을 처리하는 동안 LTPA 토큰을 작성하지 않습니다. 대신 특정 서비스 제공자의 쿠키를 작성합니다. |
enabled | boolean | true | true인 경우 서비스 제공자를 사용할 수 있고 false인 경우 서비스 제공자를 사용할 수 없습니다. |
errorPageURL | string | SAML 유효성 검증에 실패하는 경우 표시될 오류 페이지를 지정합니다. 이 속성이 지정되지 않으며 수신된 SAML이 올바르지 않은 경우 사용자는 SSO를 다시 시작하기 위해 SAML IdP로 다시 경로 재지정됩니다. | |
forceAuthn | boolean | false | IdP가 사용자에게 재인증을 강제해야 하는지를 표시합니다. |
groupIdentifier | string | 인증된 프린시펄이 멤버인 그룹의 이름으로 사용되는 SAML 속성을 지정합니다. 기본값은 없습니다. | |
httpsRequired | boolean | true | acs 또는 메타데이터와 같은 SAML WebSSO 서비스 제공자 엔드포인트에 액세스할 때 SSL 통신을 사용하여 강제 실행합니다. |
id | 문자열 | 고유 구성 ID입니다. | |
idpMetadata | string | ${server.config.dir}/resources/security/idpMetadata.xml | IdP 메타데이터 파일을 지정합니다. |
inboundPropagation |
|
none | 웹 서비스 메커니즘의 인바운드 전파에 대한 Security Assertion Markup Language Web SSO 2.0 메커니즘의 조작을 제어합니다.
|
includeTokenInSubject | boolean | true | 제목에 SAML 어셜션을 포함할지 여부를 지정합니다. |
includeX509InSPMetadata | boolean | true | Liberty SP 메타데이터에 x509 인증서를 포함할지 여부를 지정합니다. |
isPassive | boolean | false | IdP에서 일반 사용자 인터페이스를 제어해서는 안 됨을 표시합니다. |
keyAlias | string | 서명 및 복호화에 필요한 개인 키를 찾는 키 별명 이름입니다. 키 저장소에 정확히 하나의 키 항목이 있거나 'samlsp' 별명을 사용하는 하나의 키가 있는 경우에는 선택사항입니다. | |
keyStoreRef | 최상위 레벨 keyStore 요소에 대한 참조입니다(문자열). | AuthnRequest 서명 및 EncryptedAssertion 요소 복호화에 필요한 개인 키가 포함된 키 저장소입니다. 기본값은 서버의 기본값입니다. | |
loginPageURL | string | 인증되지 않은 요청의 경로가 재지정되는 SAML IdP 로그인 애플리케이션 URL을 지정합니다. 이 속성은 IdP 시작 SSO를 트리거하며 IdP 시작 SSO에만 필요합니다. | |
mapToUserRegistry |
|
No | 레지스트리 사용자에 ID를 맵핑하는 방법을 지정합니다. 옵션은 No, User 및 Group입니다. 기본값은 No이고 사용자 레지스트리가 사용자 주제를 작성하는 데 사용되지 않습니다.
|
nameIDFormat |
|
SAML 코어 스펙에 정의된 이름 ID 형식에 해당하는 URI 참조를 지정합니다.
|
|
reAuthnCushion | 밀리초 정밀도를 사용하는 기간 | 0m | SAML 어설션이 만료되려고 할 때 다시 인증할 기간이며 SAML 어설션의 SessionNotOnOrAfter 속성 또는 NotOnOrAfter 명령문으로 표시됩니다. 시간 단위가 뒤따르는 양수를 지정하십시오. 이는 시간(h), 분(m), 초(s) 또는 밀리초(ms)일 수 있습니다. 예를 들어, 500밀리초를 500ms로 지정하십시오. 하나의 항목에 여러 값을 포함할 수 있습니다. 예를 들어, 1s500ms는 1.5초와 동등합니다. |
reAuthnOnAssertionExpire | boolean | false | SAML 어설션이 만료되려고 하면 수신 HTTP 요청을 다시 인증합니다. |
realmIdentifier | string | 영역 이름으로 사용되는 SAML 속성을 지정합니다. 지정된 값이 없으면 Issuer SAML 어설션 요소 값이 사용됩니다. | |
realmName | string | mapToUserRegistry가 아니오 또는 그룹으로 설정되면 영역 이름을 지정합니다. | |
sessionNotOnOrAfter | 밀리초 정밀도를 사용하는 기간 | 120m | SAML 세션 지속 기간의 상한을 표시합니다(이 상한이 경과되면 Liberty SP가 사용자에게 IdP에 대한 재인증을 요구함). IdP에서 리턴된 SAML 토큰에 sessionNotOnOrAfter 어설션이 포함되지 않은 경우에는 이 속성에서 지정하는 값이 사용됩니다. 시간 단위가 뒤따르는 양수를 지정하십시오. 이는 시간(h), 분(m), 초(s) 또는 밀리초(ms)일 수 있습니다. 예를 들어, 500밀리초를 500ms로 지정하십시오. 하나의 항목에 여러 값을 포함할 수 있습니다. 예를 들어, 1s500ms는 1.5초와 동등합니다. |
signatureMethodAlgorithm |
|
SHA256 | 이 서비스 제공자의 필수 알고리즘을 표시합니다.
|
spHostAndPort | string | SAML 서비스 제공자 호스트 이름 및 포트 번호를 지정합니다. | |
targetPageUrl | string | relayState가 누락된 경우 IdP-initiated SSO에 대한 기본 랜딩 페이지입니다. | |
tokenReplayTimeout | 밀리초 정밀도를 사용하는 기간 | 30m | 이 특성은 Liberty SP가 토큰 재생을 방지해야 하는 시간을 지정하는 데 사용됩니다. 시간 단위가 뒤따르는 양수를 지정하십시오. 이는 시간(h), 분(m), 초(s) 또는 밀리초(ms)일 수 있습니다. 예를 들어, 500밀리초를 500ms로 지정하십시오. 하나의 항목에 여러 값을 포함할 수 있습니다. 예를 들어, 1s500ms는 1.5초와 동등합니다. |
userIdentifier | string | 제목에서 사용자 프린시펄 이름으로 사용되는 SAML 속성을 지정합니다. 지정된 값이 없으면 NameID SAML 어설션 요소 값이 사용됩니다. | |
userUniqueIdentifier | string | 제목에서 WSCredential에 적용될 때 고유 사용자 이름으로 사용되는 SAML 속성을 지정합니다. 기본값은 userIdentifier 속성과 동일합니다. | |
wantAssertionsSigned | boolean | true | 이 서비스 제공자가 수신한 <saml:Assertion> 요소에 서명해야 함을 나타냅니다. |
- audiences
설명: SAML 토큰의 대상을 확인하기 위해 신뢰되는 대상의 목록입니다. 값이 "ANY"인 경우 모든 대상이 신뢰됩니다.필수: false데이터 유형: string
- authFilter
설명: 인증 필터 참조를 지정합니다.필수: false데이터 유형: - authFilter > host
설명: 고유 구성 ID입니다.필수: false데이터 유형: 속성 이름 데이터 유형 기본값 설명 id 문자열 고유 구성 ID입니다. matchType - equals
- contains
- notContain
contains 일치 유형을 지정합니다. - equals
- Equals
- contains
- Contains
- notContain
- Not contain
name string 이름을 지정합니다.
- authFilter > remoteAddress
설명: 고유 구성 ID입니다.필수: false데이터 유형: 속성 이름 데이터 유형 기본값 설명 id 문자열 고유 구성 ID입니다. ip string IP 주소를 지정합니다. matchType - lessThan
- equals
- greaterThan
- contains
- notContain
contains 일치 유형을 지정합니다. - lessThan
- Less than
- equals
- Equals
- greaterThan
- Greater than
- contains
- Contains
- notContain
- Not contain
- authFilter > requestUrl
설명: 고유 구성 ID입니다.필수: false데이터 유형: 속성 이름 데이터 유형 기본값 설명 id 문자열 고유 구성 ID입니다. matchType - equals
- contains
- notContain
contains 일치 유형을 지정합니다. - equals
- Equals
- contains
- Contains
- notContain
- Not contain
urlPattern string URL 패턴을 지정합니다.
- authnContextClassRef
설명: 인증 컨텍스트 선언을 설명하는 인증 컨텍스트 클래스를 식별하는 URI 참조입니다. 기본값은 널입니다.필수: false데이터 유형: string
- pkixTrustEngine
설명: SAML 응답에 있는 XML 서명의 신뢰성 및 유효성을 평가하는 데 사용되는 PKIX 신뢰 정보를 지정합니다. samlWebSso20에서 여러 pkixTrustEngine을 지정하지 마십시오.필수: false데이터 유형: 속성 이름 데이터 유형 기본값 설명 trustAnchorRef 최상위 레벨 keyStore 요소에 대한 참조입니다(문자열). SAMLResponse 및 어설션의 서명을 확인하는 데 필요한 개인 키가 포함된 키 저장소입니다. - pkixTrustEngine > crl
설명: 고유 구성 ID입니다.필수: false데이터 유형: 속성 이름 데이터 유형 기본값 설명 id 문자열 고유 구성 ID입니다. path string CRL의 경로를 지정합니다.