Autenticación de SAML Web SSO 2.0 (samlWebSso20)
Controla la operación del mecanismo Security Assertion Markup Language Web SSO 2.0.
Nombre de atributo | Tipo de datos | Valor predeterminado | Descripción |
---|---|---|---|
allowCreate | boolean | Permitir que IdP cree una cuenta nueva si el usuario solicitante no tiene una. | |
allowCustomCacheKey | boolean | true | Permitir la generación de una clave de memoria caché personalizada para acceder a la memoria caché de autenticación y obtener el sujeto. |
authFilterRef | Una referencia a un elemento authFilter de nivel superior (string). | Especifica la referencia del filtro de autenticación. | |
authnContextComparisonType |
|
exact | Cuando se especifica un authnContextClassRef, se puede establecer el authnContextComparisonType.
|
authnRequestTime | Un período de tiempo con precisión de milisegundos | 10m | Especifica el periodo de tiempo de vida de una solicitud de autenticación que se genera y envía desde el proveedor de servicio a un IdP para solicitar una señal de SAML. Especifica un entero positivo seguido de una unidad de tiempo, que puede ser horas (h), minutos (m), segundos (s) o milisegundos (ms). Por ejemplo, especifique 500 milisegundos como 500ms. Puede incluir varios valores en una sola entrada. Por ejemplo, 1s500ms es equivalente a 1,5 segundos. |
authnRequestsSigned | boolean | true | Indica si los mensajes <samlp:AuthnRequest> que envía este proveedor de servicios se firmarán. |
clockSkew | Un período de tiempo con precisión de milisegundos | 5m | Se utiliza para especificar el desfase horario permitido en minutos cuando se valida la señal SAML. Especifica un entero positivo seguido de una unidad de tiempo, que puede ser horas (h), minutos (m), segundos (s) o milisegundos (ms). Por ejemplo, especifique 500 milisegundos como 500ms. Puede incluir varios valores en una sola entrada. Por ejemplo, 1s500ms es equivalente a 1,5 segundos. |
createSession | boolean | true | Especifica si se debe crear una sesión Http si la sesión Http actual no existe. |
customizeNameIDFormat | string | Especifica la referencia de URI personalizada correspondiente a un formato de identificador de nombre que no está definido en la especificación de núcleo de SAML. | |
disableLtpaCookie | boolean | true | No crear una señal LTPA durante el proceso de la aserción SAML. En su lugar, crear un cookie del proveedor de servicios específico. |
enabled | boolean | true | El proveedor de servicios está habilitado si es verdadero e inhabilitado si es falso. |
errorPageURL | string | Especifica una página de error que se visualizará si la validación de SAML falla. Si este atributo no se especifica y el SAML recibido no es válido, se redirigirá al usuario al IdP de SAML para reiniciar SSO. | |
forceAuthn | boolean | false | Indica si el IdP debe forzar la re-autenticación del usuario. |
groupIdentifier | string | Especifica un atributo SAML que se utiliza como el nombre del grupo del que es miembro el principal autenticado. No hay ningún valor predeterminado. | |
httpsRequired | boolean | true | Implementa el uso de la comunicación SSL cuando se accede a un punto final de proveedor de servicio SAML Web SSO, como acs o metadatos. |
id | string | Un ID de configuración exclusivo. | |
idpMetadata | string | ${server.config.dir}/resources/security/idpMetadata.xml | Especifica el archivo de metadatos IdP. |
inboundPropagation |
|
none | Controla la operación de Security Assertion Markup Language Web SSO 2.0 para la propagación entrante de los mecanismos de servicios web.
|
includeTokenInSubject | boolean | true | Especifica si se debe incluir una aserción SAML en el sujeto. |
includeX509InSPMetadata | boolean | true | Especifica si se debe incluir el certificado x509 en los metadatos SP de Liberty. |
isPassive | boolean | false | Indica que IdP no debe tomar el control de la interfaz de usuario final. |
keyAlias | string | Nombre de alias de clave para localizar la clave privada para firmar y descifrar. Esto es opcional si el almacén de claves tiene exactamente una entrada de clave o si tiene una clave con un alias de 'samlsp'. | |
keyStoreRef | Una referencia a un elemento keyStore de nivel superior (string). | Un almacén de claves que contiene la clave privada para la firma de la AuthnRequest y el descifrado del elemento EncryptedAssertion. El valor predeterminado es el valor predeterminado del servidor. | |
loginPageURL | string | Especifica el URL de la aplicación de inicio de sesión del IdP de SAML a la que se redirigirá una solicitud no autenticada. Este atributo desencadena SSO iniciado por IdP y sólo es necesario para SSO iniciado por IdP. | |
mapToUserRegistry |
|
No | Especifica cómo correlacionar una identidad con un usuario de registro. Las opciones son No, User y Group. El valor predeterminado es No, y el registro de usuarios no se utiliza para crear el sujeto de usuario.
|
nameIDFormat |
|
Especifica la referencia de URI correspondiente a un formato de identificador de nombre definido en la especificación de núcleo de SAML.
|
|
reAuthnCushion | Un período de tiempo con precisión de milisegundos | 0m | Periodo de tiempo para autenticar de nuevo cuando una aserción SAML esté a punto de caducar, de acuerdo con lo indicado por la sentencia NotOnOrAfter o el atributo SessionNotOnOrAfter de la aserción SAML. Especifica un entero positivo seguido de una unidad de tiempo, que puede ser horas (h), minutos (m), segundos (s) o milisegundos (ms). Por ejemplo, especifique 500 milisegundos como 500ms. Puede incluir varios valores en una sola entrada. Por ejemplo, 1s500ms es equivalente a 1,5 segundos. |
reAuthnOnAssertionExpire | boolean | false | Autenticar de nuevo la solicitud HTTP entrante cuando una aserción SAML esté a punto de caducar. |
realmIdentifier | string | Especifica un atributo SAML que se utiliza como nombre de reino. Si no se ha especificado ningún valor, se utiliza el valor de elemento de aserción SAML Issuer. | |
realmName | string | Especifica un nombre de reino cuando mapToUserRegistry está establecido en No o Grupo. | |
sessionNotOnOrAfter | Un período de tiempo con precisión de milisegundos | 120m | Indica una cota superior en duraciones de sesión SAML, sobrepasada la cual Liberty SP debe solicitar al usuario que vuelva a autenticarse con el IdP. Si la señal de SAML devuelta desde el IdP no contiene una aserción sessionNotOnOrAfter, se utiliza el valor especificado por este atributo. Especifica un entero positivo seguido de una unidad de tiempo, que puede ser horas (h), minutos (m), segundos (s) o milisegundos (ms). Por ejemplo, especifique 500 milisegundos como 500ms. Puede incluir varios valores en una sola entrada. Por ejemplo, 1s500ms es equivalente a 1,5 segundos. |
signatureMethodAlgorithm |
|
SHA256 | Indica el algoritmo necesario para este proveedor de servicios.
|
spHostAndPort | string | Especifica un nombre de host y un número de puerto del proveedor de servicios SAML. | |
targetPageUrl | string | La página de destino predeterminada para el inicio de sesión único iniciado por el IdP si falta relayState. | |
tokenReplayTimeout | Un período de tiempo con precisión de milisegundos | 30m | Esta propiedad se utiliza para especificar cuánto tiempo debe impedir Liberty SP la reproducción de la señal. Especifica un entero positivo seguido de una unidad de tiempo, que puede ser horas (h), minutos (m), segundos (s) o milisegundos (ms). Por ejemplo, especifique 500 milisegundos como 500ms. Puede incluir varios valores en una sola entrada. Por ejemplo, 1s500ms es equivalente a 1,5 segundos. |
userIdentifier | string | Especifica un atributo SAML que se utiliza como el nombre principal de usuario en el sujeto. Si no se ha especificado ningún valor, se utiliza el valor de elemento de aserción SAML NameID. | |
userUniqueIdentifier | string | Especifica un atributo SAML que se utiliza como nombre de usuario exclusivo ya que se aplica a la WSCredential del sujeto. El valor predeterminado es el mismo que el del valor de atributo userIdentifier. | |
wantAssertionsSigned | boolean | true | Indica un requisito de que los elementos <saml:Assertion> que recibe este proveedor de servicios deben firmarse. |
- audiences
Descripción: La lista de audiencias de confianza para verificar la audiencia de la señal de SAML. Si el valor es "ANY", todas las identidades son de confianza.Obligatorio: falseTipo de datos: string
- authFilter
Descripción: Especifica la referencia del filtro de autenticación.Obligatorio: falseTipo de datos: - authFilter > host
Descripción: Un ID de configuración exclusivo.Obligatorio: falseTipo de datos: Nombre de atributo Tipo de datos Valor predeterminado Descripción id string Un ID de configuración exclusivo. matchType - equals
- contains
- notContain
contains Especifica el tipo de coincidencia. - equals
- Igual a
- contains
- Contiene
- notContain
- No contiene
name string Especifica el nombre.
- authFilter > remoteAddress
Descripción: Un ID de configuración exclusivo.Obligatorio: falseTipo de datos: Nombre de atributo Tipo de datos Valor predeterminado Descripción id string Un ID de configuración exclusivo. ip string Especifica la dirección IP. matchType - lessThan
- equals
- greaterThan
- contains
- notContain
contains Especifica el tipo de coincidencia. - lessThan
- Menor que
- equals
- Igual a
- greaterThan
- Mayor que
- contains
- Contiene
- notContain
- No contiene
- authFilter > requestUrl
Descripción: Un ID de configuración exclusivo.Obligatorio: falseTipo de datos: Nombre de atributo Tipo de datos Valor predeterminado Descripción id string Un ID de configuración exclusivo. matchType - equals
- contains
- notContain
contains Especifica el tipo de coincidencia. - equals
- Igual a
- contains
- Contiene
- notContain
- No contiene
urlPattern string Especifica el patrón del URL.
- authFilter > userAgent
Descripción: Un ID de configuración exclusivo.Obligatorio: falseTipo de datos: Nombre de atributo Tipo de datos Valor predeterminado Descripción agent string Especifica el agente de usuario id string Un ID de configuración exclusivo. matchType - equals
- contains
- notContain
contains Especifica el tipo de coincidencia. - equals
- Igual a
- contains
- Contiene
- notContain
- No contiene
- authFilter > webApp
Descripción: Un ID de configuración exclusivo.Obligatorio: falseTipo de datos: Nombre de atributo Tipo de datos Valor predeterminado Descripción id string Un ID de configuración exclusivo. matchType - equals
- contains
- notContain
contains Especifica el tipo de coincidencia. - equals
- Igual a
- contains
- Contiene
- notContain
- No contiene
name string Especifica el nombre.
- authnContextClassRef
Descripción: Una referencia de URI que identifica la clase de contexto de autenticación que describe la declaración de contexto de autenticación. El valor predeterminado es nulo.Obligatorio: falseTipo de datos: string
- headerName
Descripción: El nombre de cabecera de la solicitud HTTP que almacena la señal de SAML.Obligatorio: falseTipo de datos: string
- pkixTrustEngine
Descripción: Especifica la información de confianza de PKIX que se utiliza para evaluar la fiabilidad y la validez de las firmas XML en una respuesta de SAML. No especifique varios pkixTrustEngine en un samlWebSso20.Obligatorio: falseTipo de datos: Nombre de atributo Tipo de datos Valor predeterminado Descripción trustAnchorRef Una referencia a un elemento keyStore de nivel superior (string). Un almacén de claves que contiene la clave pública necesaria para verificar la firma de SAMLResponse y Assertion. - pkixTrustEngine > crl
Descripción: Un ID de configuración exclusivo.Obligatorio: falseTipo de datos: Nombre de atributo Tipo de datos Valor predeterminado Descripción id string Un ID de configuración exclusivo. path string Especifica la vía de acceso al CRL.