SAML Web SSO 2.0-Authentifizierung (samlWebSso20)
Steuert die Ausführung des Security Assertion Markup Language Web SSO 2.0-Mechanismus.
Attributname | Datentyp | Standardwert | Beschreibung |
---|---|---|---|
allowCreate | boolean | Ermöglicht dem Identitätsprovider (IdP), ein neues Konto zu erstellen, falls der anfordernde Benutzer kein Konto besitzt. | |
allowCustomCacheKey | boolean | true | Lässt die Generierung eines angepassten Cacheschlüssels für den Zugriff auf den Authentifizierungscache und den Abruf des Subjekts zu. |
authFilterRef | Referenz auf das authFilter-Element (string) der höchsten Ebene. | Gibt die Referenz des Authentifizierungsfilters an. | |
authnContextComparisonType |
|
exact | Wenn eine authnContextClassRef angegeben ist, kann ein authnContextComparisonType definiert werden.
|
authnRequestTime | Zeitraum mit Genauigkeit in Millisekunden | 10m | Gibt die authnRequest-Lebensdauer an, die vom Service-Provider generiert und an einen Identitätsprovider gesendet wird, um ein SAML-Token anzufordern. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden. |
authnRequestsSigned | boolean | true | Gibt an, ob die von diesem Service-Provider gesendeten <samlp:AuthnRequest>-Nachrichten signiert werden. |
clockSkew | Zeitraum mit Genauigkeit in Millisekunden | 5m | Mit diesem Attribut wird die zulässige Zeitabweichung in Minuten bei der Validierung des SAML-Tokens angegeben. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden. |
createSession | boolean | true | Gibt an, ob eine HttpSession erstellt werden soll, wenn die aktuelle HttpSession nicht vorhanden ist. |
customizeNameIDFormat | string | Gibt die angepasste URI-Referenz an, die einem Namens-ID-Format entspricht, das nicht in der SAML-Core-Spezifikation definiert ist. | |
disableLtpaCookie | boolean | true | Wenn Sie diese Option auswählen, wird während der Verarbeitung der SAML-Zusicherung kein LTPA-Token erstellt. Stattdessen wird ein Cookie des jeweiligen Service-Providers erstellt. |
enabled | boolean | true | Der Service-Provider ist aktiviert, wenn diese Option auf true gesetzt ist, und inaktiviert, wenn sie auf false gesetzt ist. |
errorPageURL | string | Gibt eine Fehlerseite an, die angezeigt werden soll, falls die SAML-Validierung fehlschlägt. Wenn Sie dieses Attribut nicht angeben und die empfangene SAML ungültig ist, wird der Benutzer wieder an den SAML-Identitätsprovider umgeleitet, damit das SSO erneut gestartet wird. | |
forceAuthn | boolean | false | Gibt an, ob IdP den Benutzer zu einer erneuten Authentifizierung zwingen soll. |
groupIdentifier | string | Gibt ein SAML-Attribut an, das als Name der Gruppe verwendet wird, zu der der authentifizierte Principal gehört. Es gibt keinen Standardwert. | |
httpsRequired | boolean | true | Erzwingt die Verwendung von SSL beim Zugriff auf einen SAML-WebSSO-Service-Provider-Endpunkt, wie z. B. acs oder metadata. |
id | string | Eine eindeutige Konfigurations-ID. | |
idpMetadata | string | ${server.config.dir}/resources/security/idpMetadata.xml | Gibt die Metadatendatei des Identitätsproviders (IdP) an. |
inboundPropagation |
|
none | Steuert die Ausführung von Security Assertion Markup Language Web SSO 2.0 im Hinblick auf die eingehende Weitergabe der Web-Service-Mechanismen.
|
includeTokenInSubject | boolean | true | Gibt an, ob eine SAML-Zusicherung in das Subjekt eingeschlossen werden soll. |
includeX509InSPMetadata | boolean | true | Gibt an, ob das x509-Zertifikat in die Liberty SP-Metadaten eingeschlossen werden soll. |
isPassive | boolean | false | Gibt an, ob der Identitätsprovider (IdP) die Steuerung der Endbenutzerschnittstelle übernimmt. |
keyAlias | string | Der Schlüsselaliasname für den privaten Schlüssel für die Signatur und die Entschlüsselung. Diese Angabe ist optional, wenn der Keystore nur einen einzigen Schlüssel mit dem Alias samlsp enthält. | |
keyStoreRef | Referenz auf das keyStore-Element (string) der höchsten Ebene. | Ein Keystore, der den privaten Schlüssel für die Signatur der AuthnRequest und die Entschlüsselung des EncryptedAssertion-Elements enthält. Standardmäßig wird der Standardkeystore des Servers verwendet. | |
loginPageURL | string | Gibt die Anwendungs-URL für die SAML-IdP-Anmeldung an, an die eine nicht authentifizierte Anforderung umgeleitet wird. Dieses Attribut löst ein vom Identitätsprovider (IdP) eingeleitetes SSO (Single Sign-on) aus und ist nur für ein SSO erforderlich, das über den Identitätsprovider eingeleitet wird. | |
mapToUserRegistry |
|
No | Gibt an, wie eine ID einem Registry-Benutzer zugeordnet wird. Die Optionen sind No, User und Group. Der Standardwert ist No, d. h., die Benutzerregistry wird nicht zum Erstellen des Benutzersubjekts verwendet.
|
nameIDFormat |
|
Gibt die URI-Referenz an, die einem in der SAML-Core-Spezifikation definierten Namens-ID-Format entspricht.
|
|
reAuthnCushion | Zeitraum mit Genauigkeit in Millisekunden | 0m | Die Zeit für die erneute Authentifizierung bei Ablauf einer SAML-Zusicherung, die mit der Anweisung NotOnOrAfter oder dem Attribut SessionNotOnOrAfter der SAML-Zusicherung angegeben wird. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden. |
reAuthnOnAssertionExpire | boolean | false | Bei Auswahl dieser Option wird die eingehende HTTP-Anforderung erneut authentifiziert, wenn eine SAML-Zusicherung abläuft. |
realmIdentifier | string | Gibt ein SAML-Attribut an, das als Realmname verwendet wird. Wenn Sie keinen Wert angeben, wird der Wert des SAML-Zusicherungselement Issuer verwendet. | |
realmName | string | Gibt einen Realmnamen an, wenn mapToUserRegistry auf No oder Group gesetzt ist. | |
sessionNotOnOrAfter | Zeitraum mit Genauigkeit in Millisekunden | 120m | Gibt eine Obergrenze für die Dauer von SAML-Sitzungen an, bei deren Erreichen der Liberty-SP den Benutzer zur erneuten Authentifizierung beim IdP auffordern soll. Wenn das vom IdP zurückgegebene SAML-Token keine sessionNotOnOrAfter-Zusicherung enthält, wird der mit diesem Attribut angegebene Wert verwendet. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden. |
signatureMethodAlgorithm |
|
SHA256 | Gibt den von diesem Service-Provider geforderten Algorithmus an.
|
spHostAndPort | string | Gibt einen Hostnamen und einen Portnummer für den SAML-Service-Provider an. | |
targetPageUrl | string | Die Standard-Landing-Page für das vom Identitätsprovider eingeleitete SSO, wenn der relayState-Wert fehlt. | |
tokenReplayTimeout | Zeitraum mit Genauigkeit in Millisekunden | 30m | Mit dieser Eigenschaft können Sie festlegen, wie lange der Liberty-Service-Provider (SP) die Tokenwiedergabe verhindern soll. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden. |
userIdentifier | string | Gibt ein SAML-Attribut an, das als Benutzerprincipalname im Subjekt verwendet wird. Wenn Sie keinen Wert angeben, wird der Wert des SAML-Zusicherungselement NameID verwendet. | |
userUniqueIdentifier | string | Gibt ein SAML-Attribut an, das als eindeutiger Benutzername für den WSCredential im Subjekt verwendet wird. Standardmäßig wird der Wert des Attributs userIdentifier verwendet. | |
wantAssertionsSigned | boolean | true | Gibt an, dass die von diesem Service-Provider empfangenen <saml:Assertion>-Elemente signiert werden müssen. |
- audiences
Beschreibung: Die Liste der Zielgruppen, die für die Überprüfung der Zielgruppe des SAML-Tokens anerkannt werden. Wenn Sie den Wert "ANY" angeben, werden alle Zielgruppen als vertrauenswürdig eingestuft.Erforderlich: falseDatentyp: string
- authFilter
Beschreibung: Gibt die Referenz des Authentifizierungsfilters an.Erforderlich: falseDatentyp: - authFilter > host
Beschreibung: Eine eindeutige Konfigurations-ID.Erforderlich: falseDatentyp: Attributname Datentyp Standardwert Beschreibung id string Eine eindeutige Konfigurations-ID. matchType - equals
- contains
- notContain
contains Gibt den Abgleichstyp an. - equals
- Gleich
- contains
- Enthält
- notContain
- Enthält nicht
name string Gibt den Namen an.
- authFilter > remoteAddress
Beschreibung: Eine eindeutige Konfigurations-ID.Erforderlich: falseDatentyp: Attributname Datentyp Standardwert Beschreibung id string Eine eindeutige Konfigurations-ID. ip string Gibt die IP-Adresse an. matchType - lessThan
- equals
- greaterThan
- contains
- notContain
contains Gibt den Abgleichstyp an. - lessThan
- Kleiner als
- equals
- Gleich
- greaterThan
- Größer als
- contains
- Enthält
- notContain
- Enthält nicht
- authFilter > requestUrl
Beschreibung: Eine eindeutige Konfigurations-ID.Erforderlich: falseDatentyp: Attributname Datentyp Standardwert Beschreibung id string Eine eindeutige Konfigurations-ID. matchType - equals
- contains
- notContain
contains Gibt den Abgleichstyp an. - equals
- Gleich
- contains
- Enthält
- notContain
- Enthält nicht
urlPattern string Gibt das URL-Muster an.
- authFilter > userAgent
Beschreibung: Eine eindeutige Konfigurations-ID.Erforderlich: falseDatentyp: Attributname Datentyp Standardwert Beschreibung agent string Gibt den Benutzeragenten an. id string Eine eindeutige Konfigurations-ID. matchType - equals
- contains
- notContain
contains Gibt den Abgleichstyp an. - equals
- Gleich
- contains
- Enthält
- notContain
- Enthält nicht
- authFilter > webApp
Beschreibung: Eine eindeutige Konfigurations-ID.Erforderlich: falseDatentyp: Attributname Datentyp Standardwert Beschreibung id string Eine eindeutige Konfigurations-ID. matchType - equals
- contains
- notContain
contains Gibt den Abgleichstyp an. - equals
- Gleich
- contains
- Enthält
- notContain
- Enthält nicht
name string Gibt den Namen an.
- authnContextClassRef
Beschreibung: Eine URI-Referenz, die eine Authentifizierungskontextklasse angibt, die die Authentifizierungskontextdeklaration beschreibt. Der Standardwert ist null.Erforderlich: falseDatentyp: string
- headerName
Beschreibung: Der Headername der HTTP-Anforderung, die das SAML-Token speichert.Erforderlich: falseDatentyp: string
- pkixTrustEngine
Beschreibung: Gibt die Informationen zur PKIX-Vertrauensbeziehung an, die verwendet werden, um die Vertrauenswürdigkeit und Validität von XML-Signaturen in einer SAML-Antwort zu evaluieren. Die Angabe mehrerer pkixTrustEngine-Elemente in samlWebSso20 ist nicht zulässig.Erforderlich: falseDatentyp: Attributname Datentyp Standardwert Beschreibung trustAnchorRef Referenz auf das keyStore-Element (string) der höchsten Ebene. Ein Keystore, der den öffentlichen Schlüssel enthält, der für die Verifizierung der Signatur der SAML-Antwort und der SAML-Zusicherung erforderlich ist. - pkixTrustEngine > crl
Beschreibung: Eine eindeutige Konfigurations-ID.Erforderlich: falseDatentyp: Attributname Datentyp Standardwert Beschreibung id string Eine eindeutige Konfigurations-ID. path string Gibt den Pfad zur Zugriffssteuerungsliste an.