SAML Web SSO 2.0 认证 (samlWebSso20)

控制安全性断言标记语言 Web SSO 2.0 机制的操作。

属性名称 数据类型 缺省值 描述
allowCreate 布尔型   允许 IdP 在请求用户不具有帐户的情况下创建新帐户。
allowCustomCacheKey 布尔型 true 允许生成定制高速缓存密钥以访问认证高速缓存和获取主体集。
authFilterRef 对顶级 authFilter 元素的引用(字符串)。   指定认证过滤器参考。
authnContextComparisonType
  • minimum
  • better
  • maximum
  • exact
exact 指定了 authnContextClassRef 时,可设置 authnContextComparisonType。
minimum
最小值。认证语句中认证上下文强度必须至少与其中一个指定认证上下文强度一样。
better
强度更高。认证语句中认证上下文强度必须至少比任一指定认证上下文强度高。
maximum
最大值。认证语句中认证上下文的强度必须够强,且不超出至少一个指定认证上下文的强度。
exact
精确。认证语句中认证上下文强度必须至少与其中一个指定认证上下文强度正好一样。
authnRequestTime 具有毫秒精度的时间段 10m 指定从服务提供程序生成并发送到 IdP 以请求 SAML 令牌的 authnReuqest 的生存时间段。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。
authnRequestsSigned 布尔型 true 指示是否将签署此服务提供程序发送的 <samlp:AuthnRequest> 消息。
clockSkew 具有毫秒精度的时间段 5m 此属性用来指定验证 SAML 令牌时允许的时钟偏差(分钟)。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。
createSession 布尔型 true 指定在当前 HttpSession 不存在的情况下是否创建 HttpSession。
customizeNameIDFormat string   指定与 SAML 核心规范中未定义的名称标识格式对应的定制 URI 引用。
disableLtpaCookie 布尔型 true 请勿在处理 SAML 断言期间创建 LTPA 令牌。改为创建特定服务提供程序的 cookie。
enabled 布尔型 true 如果为 true,那么服务提供程序处于启用状态;如果为 false,那么服务提供程序处于禁用状态。
errorPageURL string   指定在 SAML 验证失败的情况下将显示的错误页面。如果未指定此属性,且收到的 SAML 无效,那么用户将重定向回 SAML IdP 以重新启动 SSO。
forceAuthn 布尔型 false 指示 IdP 是否应强制用户重新认证。
groupIdentifier string   指定用作已认证主体所属的组的名称的 SAML 属性。无缺省值。
httpsRequired 布尔型 true 访问 SAML WebSSO 服务提供程序端点(例如,acs 或元数据)时强制使用 SSL 通信。
id 字符串   唯一配置标识。
idpMetadata string ${server.config.dir}/resources/security/idpMetadata.xml 指定 IdP 元数据文件。
inboundPropagation
  • none
  • required
none 控制 Web Service 入站传播的安全性断言标记语言 Web SSO 2.0 机制的操作。
none
%inboundPropagation.none
required
%inboundPropagation.required
includeTokenInSubject 布尔型 true 指定是否在主体集中包括 SAML 断言。
includeX509InSPMetadata 布尔型 true 指定是否将 x509 证书包括在 Liberty SP 元数据中。
isPassive 布尔型 false 指示 IdP 不得控制最终用户界面。
keyAlias string   用于查找签名和加密所需的专用密钥的密钥别名。如果密钥库正好具有一个密钥条目或如果具有一个别名为“samlsp”的密钥,那么这为可选。
keyStoreRef 对顶级 keyStore 元素的引用(字符串)。   密钥库,包含 AuthnRequest 的签名所需的专用密钥和 EncryptedAssertion 元素的描述。缺省值是服务器的缺省值。
loginPageURL string   指定 SAML IdP 登录应用程序 URL,未经认证的请求将重定向到此 URL。此属性可触发 IdP 发起的 SSO,仅 IdP 发起的 SSO 需要此属性。
mapToUserRegistry
  • User
  • No
  • Group
No 指定如何将身份映射至注册表用户。选项为“否”、“用户”和“组”。缺省值为“否”,不会使用用户注册表来创建用户主体集。
User
将 SAML 身份映射至注册表中定义的用户
No
请勿将 SAML 身份映射至注册表中定义的用户或组
Group
将 SAML 身份映射至用户注册表中定义的组
nameIDFormat
  • encrypted
  • customize
  • persistent
  • x509SubjectName
  • email
  • transient
  • entity
  • unspecified
  • kerberos
  • windowsDomainQualifiedName
email 指定与 SAML 核心规范中定义的名称标识格式对应的 URI 引用。
encrypted
urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
customize
已定制名称标识格式。
persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
x509SubjectName
urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName
email
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
transient
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
entity
urn:oasis:names:tc:SAML:2.0:nameid-format:entity
unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
kerberos
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
windowsDomainQualifiedName
urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName
reAuthnCushion 具有毫秒精度的时间段 0m SAML 声明即将到期时,重新认证的时间段,这是通过语句 NotOnOrAfter 或 SAML 声明的属性 SessionNotOnOrAfter 指示的。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。
reAuthnOnAssertionExpire 布尔型 false SAML 声明即将到期时,重新认证新的 HTTP 请求。
realmIdentifier string   指定用作域名的 SAML 属性。如果未指定值,那么会使用签发者 SAML 断言元素值。
realmName string   mapToUserRegistry 设置为 No 或 Group 时,指定域名。
sessionNotOnOrAfter 具有毫秒精度的时间段 120m 指示 SAML 会话持续时间的上限,超出此持续时间,Liberty SP 应请求用户向 IdP 重新认证。如果从 IdP 返回的 SAML 令牌不包含 sessionNotOnOrAfter 断言,那么会使用此属性指定的值。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。
signatureMethodAlgorithm
  • SHA256
  • SHA128
  • SHA1
SHA256 指示此服务提供程序所需的算法。
SHA256
SHA-256 签名算法
SHA128
%signatureMethodAlgorithm.SHA128
SHA1
SHA-1 签名算法
spHostAndPort string   指定 SAML 服务提供程序主机名和端口号。
targetPageUrl string   如果缺少 RelayState,那么缺省登录页面为 IdP 发起的 SSO。
tokenReplayTimeout 具有毫秒精度的时间段 30m 此属性用于指定 Liberty SP 应阻止令牌重放的时间长度。. 指定后跟时间单位的正整数,时间单位可以是小时 (h)、分钟 (m)、秒 (s) 或毫秒 (ms)。例如,以 500ms 的形式指定 500 毫秒。可将多个值包括在单个条目中。例如,1s500ms 相当于 1.5 秒。
userIdentifier string   指定用作主体集中用户主体名称的 SAML 属性。如果未指定值,那么会使用名称标识 SAML 断言元素值。
userUniqueIdentifier string   指定应用到主体集中 WSCredential 时用作唯一用户名的 SAML 属性。缺省值与 userIdentifier 属性值相同。
wantAssertionsSigned 布尔型 true 指示将签署此服务提供程序接收的 <saml:Assertion> 元素的需求。
audiences
描述:验证 SAML 令牌的受众时受信任的受众列表。如果值为“ANY”,那么将信任所有受众。
必需:false
数据类型:字符串
authFilter
描述:指定认证过滤器参考。
必需:false
数据类型:
authFilter > host
描述:唯一配置标识。
必需:false
数据类型:
属性名称 数据类型 缺省值 描述
id 字符串   唯一配置标识。
matchType
  • equals
  • contains
  • notContain
contains 指定匹配类型。
equals
Equals
contains
Contains
notContain
Not contain
name string   指定名称。
authFilter > remoteAddress
描述:唯一配置标识。
必需:false
数据类型:
属性名称 数据类型 缺省值 描述
id 字符串   唯一配置标识。
ip string   指定 IP 地址。
matchType
  • lessThan
  • equals
  • greaterThan
  • contains
  • notContain
contains 指定匹配类型。
lessThan
Less than
equals
Equals
greaterThan
Greater than
contains
Contains
notContain
Not contain
authFilter > requestUrl
描述:唯一配置标识。
必需:false
数据类型:
属性名称 数据类型 缺省值 描述
id 字符串   唯一配置标识。
matchType
  • equals
  • contains
  • notContain
contains 指定匹配类型。
equals
Equals
contains
Contains
notContain
Not contain
urlPattern string   指定 URL 模式。
authFilter > userAgent
描述:唯一配置标识。
必需:false
数据类型:
属性名称 数据类型 缺省值 描述
agent string   指定用户代理
id 字符串   唯一配置标识。
matchType
  • equals
  • contains
  • notContain
contains 指定匹配类型。
equals
Equals
contains
Contains
notContain
Not contain
authFilter > webApp
描述:唯一配置标识。
必需:false
数据类型:
属性名称 数据类型 缺省值 描述
id 字符串   唯一配置标识。
matchType
  • equals
  • contains
  • notContain
contains 指定匹配类型。
equals
Equals
contains
Contains
notContain
Not contain
name string   指定名称。
authnContextClassRef
描述:标识描述了认证上下文声明的认证上下文类的 URI 引用。缺省值为 null。
必需:false
数据类型:字符串
headerName
描述:用于存储 SAML 令牌的 HTTP 请求的头名称。
必需:false
数据类型:字符串
pkixTrustEngine
描述:指定用于评估 SAML 响应中 XML 签名的可信度和有效性的 PKIX 信任信息。请勿在 samlWebSso20 中指定多个 pkixTrustEngine。
必需:false
数据类型:
属性名称 数据类型 缺省值 描述
trustAnchorRef 对顶级 keyStore 元素的引用(字符串)。   密钥库,包含在验证 SAMLResponse 和断言的签名时必需的公用密钥。
pkixTrustEngine > crl
描述:唯一配置标识。
必需:false
数据类型:
属性名称 数据类型 缺省值 描述
id 字符串   唯一配置标识。
path string   指定 CRL 的路径。
pkixTrustEngine > trustedIssuers
描述:指定受信任 IdP 签发者的身份。如果值为“ALL_ISSUERS”,那么将信任所有 IdP 身份。
必需:false
数据类型:字符串
pkixTrustEngine > x509Certificate
描述:唯一配置标识。
必需:false
数据类型:
属性名称 数据类型 缺省值 描述
id 字符串   唯一配置标识。
path string   指定 x509 证书的路径。

用于指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwlp_config_samlWebSso20
文件名:rwlp_config_samlWebSso20.html