SAML Web SSO 2.0 认证 (samlWebSso20)
控制安全性断言标记语言 Web SSO 2.0 机制的操作。
属性名称 | 数据类型 | 缺省值 | 描述 |
---|---|---|---|
allowCreate | 布尔型 | 允许 IdP 在请求用户不具有帐户的情况下创建新帐户。 | |
allowCustomCacheKey | 布尔型 | true | 允许生成定制高速缓存密钥以访问认证高速缓存和获取主体集。 |
authFilterRef | 对顶级 authFilter 元素的引用(字符串)。 | 指定认证过滤器参考。 | |
authnContextComparisonType |
|
exact | 指定了 authnContextClassRef 时,可设置 authnContextComparisonType。
|
authnRequestTime | 具有毫秒精度的时间段 | 10m | 指定从服务提供程序生成并发送到 IdP 以请求 SAML 令牌的 authnReuqest 的生存时间段。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。 |
authnRequestsSigned | 布尔型 | true | 指示是否将签署此服务提供程序发送的 <samlp:AuthnRequest> 消息。 |
clockSkew | 具有毫秒精度的时间段 | 5m | 此属性用来指定验证 SAML 令牌时允许的时钟偏差(分钟)。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。 |
createSession | 布尔型 | true | 指定在当前 HttpSession 不存在的情况下是否创建 HttpSession。 |
customizeNameIDFormat | string | 指定与 SAML 核心规范中未定义的名称标识格式对应的定制 URI 引用。 | |
disableLtpaCookie | 布尔型 | true | 请勿在处理 SAML 断言期间创建 LTPA 令牌。改为创建特定服务提供程序的 cookie。 |
enabled | 布尔型 | true | 如果为 true,那么服务提供程序处于启用状态;如果为 false,那么服务提供程序处于禁用状态。 |
errorPageURL | string | 指定在 SAML 验证失败的情况下将显示的错误页面。如果未指定此属性,且收到的 SAML 无效,那么用户将重定向回 SAML IdP 以重新启动 SSO。 | |
forceAuthn | 布尔型 | false | 指示 IdP 是否应强制用户重新认证。 |
groupIdentifier | string | 指定用作已认证主体所属的组的名称的 SAML 属性。无缺省值。 | |
httpsRequired | 布尔型 | true | 访问 SAML WebSSO 服务提供程序端点(例如,acs 或元数据)时强制使用 SSL 通信。 |
id | 字符串 | 唯一配置标识。 | |
idpMetadata | string | ${server.config.dir}/resources/security/idpMetadata.xml | 指定 IdP 元数据文件。 |
inboundPropagation |
|
none | 控制 Web Service 入站传播的安全性断言标记语言 Web SSO 2.0 机制的操作。
|
includeTokenInSubject | 布尔型 | true | 指定是否在主体集中包括 SAML 断言。 |
includeX509InSPMetadata | 布尔型 | true | 指定是否将 x509 证书包括在 Liberty SP 元数据中。 |
isPassive | 布尔型 | false | 指示 IdP 不得控制最终用户界面。 |
keyAlias | string | 用于查找签名和加密所需的专用密钥的密钥别名。如果密钥库正好具有一个密钥条目或如果具有一个别名为“samlsp”的密钥,那么这为可选。 | |
keyStoreRef | 对顶级 keyStore 元素的引用(字符串)。 | 密钥库,包含 AuthnRequest 的签名所需的专用密钥和 EncryptedAssertion 元素的描述。缺省值是服务器的缺省值。 | |
loginPageURL | string | 指定 SAML IdP 登录应用程序 URL,未经认证的请求将重定向到此 URL。此属性可触发 IdP 发起的 SSO,仅 IdP 发起的 SSO 需要此属性。 | |
mapToUserRegistry |
|
No | 指定如何将身份映射至注册表用户。选项为“否”、“用户”和“组”。缺省值为“否”,不会使用用户注册表来创建用户主体集。
|
nameIDFormat |
|
指定与 SAML 核心规范中定义的名称标识格式对应的 URI 引用。
|
|
reAuthnCushion | 具有毫秒精度的时间段 | 0m | SAML 声明即将到期时,重新认证的时间段,这是通过语句 NotOnOrAfter 或 SAML 声明的属性 SessionNotOnOrAfter 指示的。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。 |
reAuthnOnAssertionExpire | 布尔型 | false | SAML 声明即将到期时,重新认证新的 HTTP 请求。 |
realmIdentifier | string | 指定用作域名的 SAML 属性。如果未指定值,那么会使用签发者 SAML 断言元素值。 | |
realmName | string | mapToUserRegistry 设置为 No 或 Group 时,指定域名。 | |
sessionNotOnOrAfter | 具有毫秒精度的时间段 | 120m | 指示 SAML 会话持续时间的上限,超出此持续时间,Liberty SP 应请求用户向 IdP 重新认证。如果从 IdP 返回的 SAML 令牌不包含 sessionNotOnOrAfter 断言,那么会使用此属性指定的值。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。 |
signatureMethodAlgorithm |
|
SHA256 | 指示此服务提供程序所需的算法。
|
spHostAndPort | string | 指定 SAML 服务提供程序主机名和端口号。 | |
targetPageUrl | string | 如果缺少 RelayState,那么缺省登录页面为 IdP 发起的 SSO。 | |
tokenReplayTimeout | 具有毫秒精度的时间段 | 30m | 此属性用于指定 Liberty SP 应阻止令牌重放的时间长度。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。 |
userIdentifier | string | 指定用作主体集中用户主体名称的 SAML 属性。如果未指定值,那么会使用名称标识 SAML 断言元素值。 | |
userUniqueIdentifier | string | 指定应用到主体集中 WSCredential 时用作唯一用户名的 SAML 属性。缺省值与 userIdentifier 属性值相同。 | |
wantAssertionsSigned | 布尔型 | true | 指示将签署此服务提供程序接收的 <saml:Assertion> 元素的需求。 |
- authFilter
描述: 指定认证过滤器参考。必需: false数据类型: - authFilter > host
描述: 唯一配置标识。必需: false数据类型: 属性名称 数据类型 缺省值 描述 id 字符串 唯一配置标识。 matchType - equals
- contains
- notContain
contains 指定匹配类型。 - equals
- Equals
- contains
- Contains
- notContain
- Not contain
name string 指定名称。
- authFilter > remoteAddress
描述: 唯一配置标识。必需: false数据类型: 属性名称 数据类型 缺省值 描述 id 字符串 唯一配置标识。 ip string 指定 IP 地址。 matchType - lessThan
- equals
- greaterThan
- contains
- notContain
contains 指定匹配类型。 - lessThan
- Less than
- equals
- Equals
- greaterThan
- Greater than
- contains
- Contains
- notContain
- Not contain
- authFilter > requestUrl
描述: 唯一配置标识。必需: false数据类型: 属性名称 数据类型 缺省值 描述 id 字符串 唯一配置标识。 matchType - equals
- contains
- notContain
contains 指定匹配类型。 - equals
- Equals
- contains
- Contains
- notContain
- Not contain
urlPattern string 指定 URL 模式。
- pkixTrustEngine
描述: 指定用于评估 SAML 响应中 XML 签名的可信度和有效性的 PKIX 信任信息。请勿在 samlWebSso20 中指定多个 pkixTrustEngine。必需: false数据类型: 属性名称 数据类型 缺省值 描述 trustAnchorRef 对顶级 keyStore 元素的引用(字符串)。 密钥库,包含在验证 SAMLResponse 和断言的签名时必需的公用密钥。 - pkixTrustEngine > crl
描述: 唯一配置标识。必需: false数据类型: 属性名称 数据类型 缺省值 描述 id 字符串 唯一配置标识。 path string 指定 CRL 的路径。