SAML Web SSO 2.0 인증 (samlWebSso20)

Security Assertion Markup Language Web SSO 2.0 메커니즘의 조작을 제어합니다.

속성 이름 데이터 유형 기본값 설명
allowCreate boolean   요청 중인 사용자에게 계정이 없는 경우 IdP에서 새 계정을 작성하도록 허용합니다.
allowCustomCacheKey boolean true 사용자 정의 캐시 키를 생성하면 인증 캐시에 액세스하여 주제를 가져올 수 있습니다.
authFilterRef 최상위 레벨 authFilter 요소에 대한 참조입니다(문자열).   인증 필터 참조를 지정합니다.
authnContextComparisonType
  • minimum
  • better
  • maximum
  • exact
exact authnContextClassRef가 지정되면 authnContextComparisonType을 설정할 수 있습니다.
minimum
최소. 인증 명령문의 인증 컨텍스트는 적어도 지정된 인증 컨텍스트 중 하나만큼 강력해야 합니다.
better
더 나음. 인증 명령문의 인증 컨텍스트는 지정된 모든 인증 컨텍스트보다 강력해야 합니다.
maximum
최대. 인증 명령문의 인증 컨텍스트는 가능한 지정된 인증 컨텍스트 중 하나 이상의 강도를 초과하지 않으면서 가능한 강력해야 합니다.
exact
일치. 인증 명령문의 인증 컨텍스트는 지정된 인증 컨텍스트 중 하나 이상과 정확하게 일치해야 합니다.
authnRequestTime 밀리초 정밀도를 사용하는 기간 10m SAML 토큰을 요청하기 위해 서비스 제공자가 IdP에 생성하고 전송한 authnReuqest의 지속 기간을 지정합니다. 시간 단위가 뒤따르는 양수를 지정하십시오. 이는 시간(h), 분(m), 초(s) 또는 밀리초(ms)일 수 있습니다. 예를 들어, 500밀리초를 500ms로 지정하십시오. 하나의 항목에 여러 값을 포함할 수 있습니다. 예를 들어, 1s500ms는 1.5초와 동등합니다.
authnRequestsSigned boolean true 이 서비스 제공자가 보낸 <samlp:AuthnRequest> 메시지에 서명할지 여부를 표시합니다.
clockSkew 밀리초 정밀도를 사용하는 기간 5m 이는 SAML 토큰의 유효성을 검증할 때 허용된 클럭 오차를 분 단위로 지정하는 데 사용됩니다. 시간 단위가 뒤따르는 양수를 지정하십시오. 이는 시간(h), 분(m), 초(s) 또는 밀리초(ms)일 수 있습니다. 예를 들어, 500밀리초를 500ms로 지정하십시오. 하나의 항목에 여러 값을 포함할 수 있습니다. 예를 들어, 1s500ms는 1.5초와 동등합니다.
createSession boolean true 현재 HttpSession이 존재하지 않는 경우 HttpSession을 작성할지 여부를 지정합니다.
customizeNameIDFormat string   SAML 코어 스펙에 정의되지 않은 이름 ID 형식에 해당하는 사용자 정의 URI 참조를 지정합니다.
disableLtpaCookie boolean true SAML 어설션을 처리하는 동안 LTPA 토큰을 작성하지 않습니다. 대신 특정 서비스 제공자의 쿠키를 작성합니다.
enabled boolean true true인 경우 서비스 제공자를 사용할 수 있고 false인 경우 서비스 제공자를 사용할 수 없습니다.
errorPageURL string   SAML 유효성 검증에 실패하는 경우 표시될 오류 페이지를 지정합니다. 이 속성이 지정되지 않으며 수신된 SAML이 올바르지 않은 경우 사용자는 SSO를 다시 시작하기 위해 SAML IdP로 다시 경로 재지정됩니다.
forceAuthn boolean false IdP가 사용자에게 재인증을 강제해야 하는지를 표시합니다.
groupIdentifier string   인증된 프린시펄이 멤버인 그룹의 이름으로 사용되는 SAML 속성을 지정합니다. 기본값은 없습니다.
httpsRequired boolean true acs 또는 메타데이터와 같은 SAML WebSSO 서비스 제공자 엔드포인트에 액세스할 때 SSL 통신을 사용하여 강제 실행합니다.
id 문자열   고유 구성 ID입니다.
idpMetadata string ${server.config.dir}/resources/security/idpMetadata.xml IdP 메타데이터 파일을 지정합니다.
inboundPropagation
  • none
  • required
none 웹 서비스 메커니즘의 인바운드 전파에 대한 Security Assertion Markup Language Web SSO 2.0 메커니즘의 조작을 제어합니다.
none
%inboundPropagation.none
required
%inboundPropagation.required
includeTokenInSubject boolean true 제목에 SAML 어셜션을 포함할지 여부를 지정합니다.
includeX509InSPMetadata boolean true Liberty SP 메타데이터에 x509 인증서를 포함할지 여부를 지정합니다.
isPassive boolean false IdP에서 일반 사용자 인터페이스를 제어해서는 안 됨을 표시합니다.
keyAlias string   서명 및 복호화에 필요한 개인 키를 찾는 키 별명 이름입니다. 키 저장소에 정확히 하나의 키 항목이 있거나 'samlsp' 별명을 사용하는 하나의 키가 있는 경우에는 선택사항입니다.
keyStoreRef 최상위 레벨 keyStore 요소에 대한 참조입니다(문자열).   AuthnRequest 서명 및 EncryptedAssertion 요소 복호화에 필요한 개인 키가 포함된 키 저장소입니다. 기본값은 서버의 기본값입니다.
loginPageURL string   인증되지 않은 요청의 경로가 재지정되는 SAML IdP 로그인 애플리케이션 URL을 지정합니다. 이 속성은 IdP 시작 SSO를 트리거하며 IdP 시작 SSO에만 필요합니다.
mapToUserRegistry
  • User
  • No
  • Group
No 레지스트리 사용자에 ID를 맵핑하는 방법을 지정합니다. 옵션은 No, User 및 Group입니다. 기본값은 No이고 사용자 레지스트리가 사용자 주제를 작성하는 데 사용되지 않습니다.
User
SAML ID를 레지스트리에서 정의된 사용자에 맵핑
No
SAML ID를 레지스트리의 사용자 또는 그룹에 맵핑하지 않음
Group
SAML ID를 사용자 레지스트리에서 정의된 그룹에 맵핑
nameIDFormat
  • encrypted
  • customize
  • persistent
  • x509SubjectName
  • email
  • transient
  • entity
  • unspecified
  • kerberos
  • windowsDomainQualifiedName
email SAML 코어 스펙에 정의된 이름 ID 형식에 해당하는 URI 참조를 지정합니다.
encrypted
urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
customize
사용자 정의 이름 ID 형식입니다.
persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
x509SubjectName
urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName
email
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
transient
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
entity
urn:oasis:names:tc:SAML:2.0:nameid-format:entity
unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
kerberos
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
windowsDomainQualifiedName
urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName
reAuthnCushion 밀리초 정밀도를 사용하는 기간 0m SAML 어설션이 만료되려고 할 때 다시 인증할 기간이며 SAML 어설션의 SessionNotOnOrAfter 속성 또는 NotOnOrAfter 명령문으로 표시됩니다. 시간 단위가 뒤따르는 양수를 지정하십시오. 이는 시간(h), 분(m), 초(s) 또는 밀리초(ms)일 수 있습니다. 예를 들어, 500밀리초를 500ms로 지정하십시오. 하나의 항목에 여러 값을 포함할 수 있습니다. 예를 들어, 1s500ms는 1.5초와 동등합니다.
reAuthnOnAssertionExpire boolean false SAML 어설션이 만료되려고 하면 수신 HTTP 요청을 다시 인증합니다.
realmIdentifier string   영역 이름으로 사용되는 SAML 속성을 지정합니다. 지정된 값이 없으면 Issuer SAML 어설션 요소 값이 사용됩니다.
realmName string   mapToUserRegistry가 아니오 또는 그룹으로 설정되면 영역 이름을 지정합니다.
sessionNotOnOrAfter 밀리초 정밀도를 사용하는 기간 120m SAML 세션 지속 기간의 상한을 표시합니다(이 상한이 경과되면 Liberty SP가 사용자에게 IdP에 대한 재인증을 요구함). IdP에서 리턴된 SAML 토큰에 sessionNotOnOrAfter 어설션이 포함되지 않은 경우에는 이 속성에서 지정하는 값이 사용됩니다. 시간 단위가 뒤따르는 양수를 지정하십시오. 이는 시간(h), 분(m), 초(s) 또는 밀리초(ms)일 수 있습니다. 예를 들어, 500밀리초를 500ms로 지정하십시오. 하나의 항목에 여러 값을 포함할 수 있습니다. 예를 들어, 1s500ms는 1.5초와 동등합니다.
signatureMethodAlgorithm
  • SHA256
  • SHA128
  • SHA1
SHA256 이 서비스 제공자의 필수 알고리즘을 표시합니다.
SHA256
SHA-256 서명 알고리즘
SHA128
%signatureMethodAlgorithm.SHA128
SHA1
SHA-1 서명 알고리즘
spHostAndPort string   SAML 서비스 제공자 호스트 이름 및 포트 번호를 지정합니다.
targetPageUrl string   relayState가 누락된 경우 IdP-initiated SSO에 대한 기본 랜딩 페이지입니다.
tokenReplayTimeout 밀리초 정밀도를 사용하는 기간 30m 이 특성은 Liberty SP가 토큰 재생을 방지해야 하는 시간을 지정하는 데 사용됩니다. 시간 단위가 뒤따르는 양수를 지정하십시오. 이는 시간(h), 분(m), 초(s) 또는 밀리초(ms)일 수 있습니다. 예를 들어, 500밀리초를 500ms로 지정하십시오. 하나의 항목에 여러 값을 포함할 수 있습니다. 예를 들어, 1s500ms는 1.5초와 동등합니다.
userIdentifier string   제목에서 사용자 프린시펄 이름으로 사용되는 SAML 속성을 지정합니다. 지정된 값이 없으면 NameID SAML 어설션 요소 값이 사용됩니다.
userUniqueIdentifier string   제목에서 WSCredential에 적용될 때 고유 사용자 이름으로 사용되는 SAML 속성을 지정합니다. 기본값은 userIdentifier 속성과 동일합니다.
wantAssertionsSigned boolean true 이 서비스 제공자가 수신한 <saml:Assertion> 요소에 서명해야 함을 나타냅니다.
audiences
설명: SAML 토큰의 대상을 확인하기 위해 신뢰되는 대상의 목록입니다. 값이 "ANY"인 경우 모든 대상이 신뢰됩니다.
필수: false
데이터 유형: string
authFilter
설명: 인증 필터 참조를 지정합니다.
필수: false
데이터 유형:
authFilter > host
설명: 고유 구성 ID입니다.
필수: false
데이터 유형:
속성 이름 데이터 유형 기본값 설명
id 문자열   고유 구성 ID입니다.
matchType
  • equals
  • contains
  • notContain
contains 일치 유형을 지정합니다.
equals
Equals
contains
Contains
notContain
Not contain
name string   이름을 지정합니다.
authFilter > remoteAddress
설명: 고유 구성 ID입니다.
필수: false
데이터 유형:
속성 이름 데이터 유형 기본값 설명
id 문자열   고유 구성 ID입니다.
ip string   IP 주소를 지정합니다.
matchType
  • lessThan
  • equals
  • greaterThan
  • contains
  • notContain
contains 일치 유형을 지정합니다.
lessThan
Less than
equals
Equals
greaterThan
Greater than
contains
Contains
notContain
Not contain
authFilter > requestUrl
설명: 고유 구성 ID입니다.
필수: false
데이터 유형:
속성 이름 데이터 유형 기본값 설명
id 문자열   고유 구성 ID입니다.
matchType
  • equals
  • contains
  • notContain
contains 일치 유형을 지정합니다.
equals
Equals
contains
Contains
notContain
Not contain
urlPattern string   URL 패턴을 지정합니다.
authFilter > userAgent
설명: 고유 구성 ID입니다.
필수: false
데이터 유형:
속성 이름 데이터 유형 기본값 설명
agent string   사용자 에이전트를 지정합니다.
id 문자열   고유 구성 ID입니다.
matchType
  • equals
  • contains
  • notContain
contains 일치 유형을 지정합니다.
equals
Equals
contains
Contains
notContain
Not contain
authFilter > webApp
설명: 고유 구성 ID입니다.
필수: false
데이터 유형:
속성 이름 데이터 유형 기본값 설명
id 문자열   고유 구성 ID입니다.
matchType
  • equals
  • contains
  • notContain
contains 일치 유형을 지정합니다.
equals
Equals
contains
Contains
notContain
Not contain
name string   이름을 지정합니다.
authnContextClassRef
설명: 인증 컨텍스트 선언을 설명하는 인증 컨텍스트 클래스를 식별하는 URI 참조입니다. 기본값은 널입니다.
필수: false
데이터 유형: string
headerName
설명: SAML 토큰을 저장하는 HTTP 요청의 헤더 이름입니다.
필수: false
데이터 유형: string
pkixTrustEngine
설명: SAML 응답에 있는 XML 서명의 신뢰성 및 유효성을 평가하는 데 사용되는 PKIX 신뢰 정보를 지정합니다. samlWebSso20에서 여러 pkixTrustEngine을 지정하지 마십시오.
필수: false
데이터 유형:
속성 이름 데이터 유형 기본값 설명
trustAnchorRef 최상위 레벨 keyStore 요소에 대한 참조입니다(문자열).   SAMLResponse 및 어설션의 서명을 확인하는 데 필요한 개인 키가 포함된 키 저장소입니다.
pkixTrustEngine > crl
설명: 고유 구성 ID입니다.
필수: false
데이터 유형:
속성 이름 데이터 유형 기본값 설명
id 문자열   고유 구성 ID입니다.
path string   CRL의 경로를 지정합니다.
pkixTrustEngine > trustedIssuers
설명: 신뢰된 IdP 발행자의 ID를 지정합니다. 값이 "ALL_ISSUERS"인 경우 모든 IdP ID가 신뢰됩니다.
필수: false
데이터 유형: string
pkixTrustEngine > x509Certificate
설명: 고유 구성 ID입니다.
필수: false
데이터 유형:
속성 이름 데이터 유형 기본값 설명
id 문자열   고유 구성 ID입니다.
path string   X509 인증서의 경로를 지정합니다.

주제의 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwlp_config_samlWebSso20
파일 이름: rwlp_config_samlWebSso20.html