SAML Web SSO 2.0 鑑別 (samlWebSso20)

控制安全主張標記語言 Web SSO 2.0 機制的作業。

屬性名稱 資料類型 預設值 說明
allowCreate boolean   如果發出要求的使用者沒有帳戶,則容許 IdP 建立新帳戶。
allowCustomCacheKey boolean true 容許產生自訂快取金鑰,以存取鑑別快取並取得主體。
authFilterRef 最上層 authFilter 元素的參照(字串)。   指定鑑別過濾器參照。
authnContextComparisonType
  • minimum
  • better
  • maximum
  • exact
exact 當指定 authnContextClassRef 時,可以設定 authnContextComparisonType。
minimum
下限。鑑別陳述式中的鑑別環境定義強度必須至少等於指定的一項鑑別環境定義。
better
更好。鑑別陳述式中的鑑別環境定義強度必須大於指定的任一項鑑別環境定義。
maximum
上限。鑑別陳述式中的鑑別環境定義強度必須越高越好,但不超過指定的至少一項鑑別環境定義的強度。
exact
確切。鑑別陳述式中的鑑別環境定義必須完全符合指定的至少一項鑑別環境定義。
authnRequestTime 精準度是毫秒的時間量 10m 指定從服務提供者產生並傳送到要求「SAML 記號」之 IdP 的 authnReuqest 的存活時段。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。
authnRequestsSigned boolean true 指出是否要簽署此服務提供者所傳送的 <samlp:AuthnRequest> 訊息。
clockSkew 精準度是毫秒的時間量 5m 用來指定驗證 SAML 記號時,所容許的時間偏差(分鐘)。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。
createSession boolean true 指定如果現行 HttpSession 不存在,是否要建立 HttpSession。
customizeNameIDFormat string   指定對應到 SAML 核心規格中未定義之名稱 ID 格式的自訂 URI 參照。
disableLtpaCookie boolean true 在處理 SAML 主張期間,不建立 LTPA 記號。改為建立特定服務提供者的 Cookie。
enabled boolean true 若為 true,表示啟用服務提供者;若為 false,表示停用。
errorPageURL string   指定 SAML 驗證失敗時要顯示的錯誤頁面。如果未指定這個屬性,且收到的 SAML 無效,便會將使用者重新導向回 SAML IdP,以重新啟動 SSO。
forceAuthn boolean false 指出 IdP 是否應強制使用者重新鑑別。
groupIdentifier string   指定 SAML 屬性,以作為已鑑別主體所屬的群組名稱。沒有預設值。
httpsRequired boolean true 在存取 SAML WebSSO 服務提供者端點(如:acs 或中繼資料)時,強制使用 SSL 通訊。
id string   唯一的配置 ID。
idpMetadata string ${server.config.dir}/resources/security/idpMetadata.xml 指定 IdP 中繼資料檔。
inboundPropagation
  • none
  • required
none 控制「Web 服務機制」的入埠延伸之「安全主張標記語言 Web SSO 2.0」的作業。
none
%inboundPropagation.none
required
%inboundPropagation.required
includeTokenInSubject boolean true 指定是否將 SAML 主張包含在主體中。
includeX509InSPMetadata boolean true 指定是否將 x509 憑證包含在 Liberty SP meta 資料中。
isPassive boolean false 指出 IdP 不得控制一般使用者介面。
keyAlias string   這個金鑰別名用來尋找簽署和解密用的私密金鑰。如果金鑰儲存庫單單具有一個金鑰項目,或者其金鑰的別名是 'samlsp',則此項是選用的。
keyStoreRef 最上層 keyStore 元素的參照(字串)。   含有用來簽署 AuthnRequest 及解密 EncryptedAssertion 元素之私密金鑰的金鑰儲存庫。預設值是伺服器的預設值。
loginPageURL string   指定 SAML IdP 登入應用程式 URL,以便將未經鑑別的要求重新導向至該 URL。這個屬性會觸發 IdP 起始的 SSO,只有 IdP 起始的 SSO 才需要。
mapToUserRegistry
  • User
  • No
  • Group
No 指定如何將身分對映至登錄使用者。選項是 No、User 和 Group。預設值是 No,表示不使用使用者登錄來建立使用者主體。
User
將 SAML 身分對映至登錄中所定義的使用者
No
不將 SAML 身分對映至登錄中的使用者或群組
Group
將 SAML 身分對映至使用者登錄中所定義的群組
nameIDFormat
  • encrypted
  • customize
  • persistent
  • x509SubjectName
  • email
  • transient
  • entity
  • unspecified
  • kerberos
  • windowsDomainQualifiedName
email 指定對應到 SAML 核心規格中定義之名稱 ID 格式的 URI 參照。
encrypted
urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
customize
自訂的名稱 ID 格式。
persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
x509SubjectName
urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName
email
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
transient
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
entity
urn:oasis:names:tc:SAML:2.0:nameid-format:entity
unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
kerberos
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
windowsDomainQualifiedName
urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName
reAuthnCushion 精準度是毫秒的時間量 0m 「SAML 主張」即將到期時的重新鑑別時段,可用 NotOnOrAfter 陳述式或「SAML 主張」的 SessionNotOnOrAfter 屬性表示。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。
reAuthnOnAssertionExpire boolean false 當「SAML 主張」即將到期時,重新鑑別送入的 HTTP 要求。
realmIdentifier string   指定將作為領域名稱的 SAML 屬性。如果沒有指定值,會使用發證者 SAML 主張元素值。
realmName string   指定當 mapToUserRegistry 設為 No 或 Group 時的網域範圍名稱。
sessionNotOnOrAfter 精準度是毫秒的時間量 120m 指出 SAML 階段作業期間的上限,一旦超過,Liberty SP 應要求使用者重新接受 IdP 的鑑別。如果 IdP 傳回的 SAML 記號沒有包含 sessionNotOnOrAfter 主張,就會使用這個屬性指定的值。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。
signatureMethodAlgorithm
  • SHA256
  • SHA128
  • SHA1
SHA256 指出此服務提供者所需的演算法。
SHA256
SHA-256 簽章演算法
SHA128
%signatureMethodAlgorithm.SHA128
SHA1
SHA-1 簽章演算法
spHostAndPort string   指定 SAML 服務提供者的主機名稱和埠號。
targetPageUrl string   如果遺漏 relayState,IdP-initiated SSO 的預設登入頁面。
tokenReplayTimeout 精準度是毫秒的時間量 30m 這個內容用來指定 Liberty SP 應用多久的時間來阻止記號重播。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。
userIdentifier string   指定 SAML 屬性,以作為主體中的使用者主體名稱。如果沒有指定值,會使用 NameID SAML 主張元素值。
userUniqueIdentifier string   指定 SAML 屬性,以作為套用至主體中之 WSCredential 時的唯一使用者名稱。預設值與 userIdentifier 屬性值相同。
wantAssertionsSigned boolean true 指出必須簽署此服務提供者所收到的 <saml:Assertion> 元素。
audiences
說明:驗證 SAML 記號的對象時,可信任的對象清單。如果值是 "ANY",則信任所有對象。
必要:false
資料類型:string
authFilter
說明:指定鑑別過濾器參照。
必要:false
資料類型:
authFilter > host
說明:唯一的配置 ID。
必要:false
資料類型:
屬性名稱 資料類型 預設值 說明
id string   唯一的配置 ID。
matchType
  • equals
  • contains
  • notContain
contains 指定相符類型。
equals
等於
contains
包含
notContain
不包含
name string   指定名稱。
authFilter > remoteAddress
說明:唯一的配置 ID。
必要:false
資料類型:
屬性名稱 資料類型 預設值 說明
id string   唯一的配置 ID。
ip string   指定 IP 位址。
matchType
  • lessThan
  • equals
  • greaterThan
  • contains
  • notContain
contains 指定相符類型。
lessThan
小於
equals
等於
greaterThan
大於
contains
包含
notContain
不包含
authFilter > requestUrl
說明:唯一的配置 ID。
必要:false
資料類型:
屬性名稱 資料類型 預設值 說明
id string   唯一的配置 ID。
matchType
  • equals
  • contains
  • notContain
contains 指定相符類型。
equals
等於
contains
包含
notContain
不包含
urlPattern string   指定 URL 型樣。
authFilter > userAgent
說明:唯一的配置 ID。
必要:false
資料類型:
屬性名稱 資料類型 預設值 說明
agent string   指定使用者代理程式
id string   唯一的配置 ID。
matchType
  • equals
  • contains
  • notContain
contains 指定相符類型。
equals
等於
contains
包含
notContain
不包含
authFilter > webApp
說明:唯一的配置 ID。
必要:false
資料類型:
屬性名稱 資料類型 預設值 說明
id string   唯一的配置 ID。
matchType
  • equals
  • contains
  • notContain
contains 指定相符類型。
equals
等於
contains
包含
notContain
不包含
name string   指定名稱。
authnContextClassRef
說明:這個 URI 參照會識別說明鑑別環境定義宣告的鑑別環境定義類別。預設值為 null。
必要:false
資料類型:string
headerName
說明:儲存 SAML 記號之 HTTP 要求的標頭名稱。
必要:false
資料類型:string
pkixTrustEngine
說明:指定 PKIX 信任資訊,以用來評估 SAML 回應中 XML 簽章的可信度與有效性。請勿在 samlWebSso20 中指定多個 pkixTrustEngine。
必要:false
資料類型:
屬性名稱 資料類型 預設值 說明
trustAnchorRef 最上層 keyStore 元素的參照(字串)。   含有驗證 SAMLResponse 和 Assertion 所需之公開金鑰的金鑰儲存庫。
pkixTrustEngine > crl
說明:唯一的配置 ID。
必要:false
資料類型:
屬性名稱 資料類型 預設值 說明
id string   唯一的配置 ID。
path string   指定 CRL 的路徑。
pkixTrustEngine > trustedIssuers
說明:指定信任的 IdP 發證者身分。如果值是 "ALL_ISSUERS",則會信任所有 IdP 身分。
必要:false
資料類型:string
pkixTrustEngine > x509Certificate
說明:唯一的配置 ID。
必要:false
資料類型:
屬性名稱 資料類型 預設值 說明
id string   唯一的配置 ID。
path string   指定 X509 憑證的路徑。

指示主題類型的圖示 參照主題



「時間戳記」圖示 前次更新: 2016 年 11 月 30 日
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=rwlp_config_samlWebSso20
檔名:rwlp_config_samlWebSso20.html