Autenticación de SAML Web SSO 2.0 (samlWebSso20)

Controla la operación del mecanismo Security Assertion Markup Language Web SSO 2.0.

Nombre de atributo Tipo de datos Valor predeterminado Descripción
allowCreate boolean   Permitir que IdP cree una cuenta nueva si el usuario solicitante no tiene una.
allowCustomCacheKey boolean true Permitir la generación de una clave de memoria caché personalizada para acceder a la memoria caché de autenticación y obtener el sujeto.
authFilterRef Una referencia a un elemento authFilter de nivel superior (string).   Especifica la referencia del filtro de autenticación.
authnContextComparisonType
  • minimum
  • better
  • maximum
  • exact
exact Cuando se especifica un authnContextClassRef, se puede establecer el authnContextComparisonType.
minimum
Mínimo. El contexto de autenticación de la sentencia de autenticación debe ser al menos tan fuerte como uno de los contextos de autenticación especificados.
better
Mejor. El contexto de autenticación de la sentencia de autenticación debe ser más fuerte que cualquiera de los contextos de autenticación especificados.
maximum
Máximo. El contexto de autenticación de la sentencia de autenticación debe ser tan fuerte como sea posible sin sobrepasar la fuerza de al menos uno de los contextos de autenticación especificados.
exact
Exacto. El contexto de autenticación de la sentencia de autenticación debe coincidir exactamente con al menos uno de los contextos de autenticación especificados.
authnRequestTime Un período de tiempo con precisión de milisegundos 10m Especifica el periodo de tiempo de vida de una solicitud de autenticación que se genera y envía desde el proveedor de servicio a un IdP para solicitar una señal de SAML. Especifica un entero positivo seguido de una unidad de tiempo, que puede ser horas (h), minutos (m), segundos (s) o milisegundos (ms). Por ejemplo, especifique 500 milisegundos como 500ms. Puede incluir varios valores en una sola entrada. Por ejemplo, 1s500ms es equivalente a 1,5 segundos.
authnRequestsSigned boolean true Indica si los mensajes <samlp:AuthnRequest> que envía este proveedor de servicios se firmarán.
clockSkew Un período de tiempo con precisión de milisegundos 5m Se utiliza para especificar el desfase horario permitido en minutos cuando se valida la señal SAML. Especifica un entero positivo seguido de una unidad de tiempo, que puede ser horas (h), minutos (m), segundos (s) o milisegundos (ms). Por ejemplo, especifique 500 milisegundos como 500ms. Puede incluir varios valores en una sola entrada. Por ejemplo, 1s500ms es equivalente a 1,5 segundos.
createSession boolean true Especifica si se debe crear una sesión Http si la sesión Http actual no existe.
customizeNameIDFormat string   Especifica la referencia de URI personalizada correspondiente a un formato de identificador de nombre que no está definido en la especificación de núcleo de SAML.
disableLtpaCookie boolean true No crear una señal LTPA durante el proceso de la aserción SAML. En su lugar, crear un cookie del proveedor de servicios específico.
enabled boolean true El proveedor de servicios está habilitado si es verdadero e inhabilitado si es falso.
errorPageURL string   Especifica una página de error que se visualizará si la validación de SAML falla. Si este atributo no se especifica y el SAML recibido no es válido, se redirigirá al usuario al IdP de SAML para reiniciar SSO.
forceAuthn boolean false Indica si el IdP debe forzar la re-autenticación del usuario.
groupIdentifier string   Especifica un atributo SAML que se utiliza como el nombre del grupo del que es miembro el principal autenticado. No hay ningún valor predeterminado.
httpsRequired boolean true Implementa el uso de la comunicación SSL cuando se accede a un punto final de proveedor de servicio SAML Web SSO, como acs o metadatos.
id string   Un ID de configuración exclusivo.
idpMetadata string ${server.config.dir}/resources/security/idpMetadata.xml Especifica el archivo de metadatos IdP.
inboundPropagation
  • none
  • required
none Controla la operación de Security Assertion Markup Language Web SSO 2.0 para la propagación entrante de los mecanismos de servicios web.
none
%inboundPropagation.none
required
%inboundPropagation.required
includeTokenInSubject boolean true Especifica si se debe incluir una aserción SAML en el sujeto.
includeX509InSPMetadata boolean true Especifica si se debe incluir el certificado x509 en los metadatos SP de Liberty.
isPassive boolean false Indica que IdP no debe tomar el control de la interfaz de usuario final.
keyAlias string   Nombre de alias de clave para localizar la clave privada para firmar y descifrar. Esto es opcional si el almacén de claves tiene exactamente una entrada de clave o si tiene una clave con un alias de 'samlsp'.
keyStoreRef Una referencia a un elemento keyStore de nivel superior (string).   Un almacén de claves que contiene la clave privada para la firma de la AuthnRequest y el descifrado del elemento EncryptedAssertion. El valor predeterminado es el valor predeterminado del servidor.
loginPageURL string   Especifica el URL de la aplicación de inicio de sesión del IdP de SAML a la que se redirigirá una solicitud no autenticada. Este atributo desencadena SSO iniciado por IdP y sólo es necesario para SSO iniciado por IdP.
mapToUserRegistry
  • User
  • No
  • Group
No Especifica cómo correlacionar una identidad con un usuario de registro. Las opciones son No, User y Group. El valor predeterminado es No, y el registro de usuarios no se utiliza para crear el sujeto de usuario.
User
Correlacionar una identidad de SAML con un usuario definido en el registro
No
No correlacionar una identidad de SAML con un usuario o un grupo en el registro
Group
Correlacionar una identidad de SAML con un grupo definido en el registro de usuarios
nameIDFormat
  • encrypted
  • customize
  • persistent
  • x509SubjectName
  • email
  • transient
  • entity
  • unspecified
  • kerberos
  • windowsDomainQualifiedName
email Especifica la referencia de URI correspondiente a un formato de identificador de nombre definido en la especificación de núcleo de SAML.
encrypted
urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
customize
Formato de ID de nombre personalizado.
persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
x509SubjectName
urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName
email
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
transient
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
entity
urn:oasis:names:tc:SAML:2.0:nameid-format:entity
unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
kerberos
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
windowsDomainQualifiedName
urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName
reAuthnCushion Un período de tiempo con precisión de milisegundos 0m Periodo de tiempo para autenticar de nuevo cuando una aserción SAML esté a punto de caducar, de acuerdo con lo indicado por la sentencia NotOnOrAfter o el atributo SessionNotOnOrAfter de la aserción SAML. Especifica un entero positivo seguido de una unidad de tiempo, que puede ser horas (h), minutos (m), segundos (s) o milisegundos (ms). Por ejemplo, especifique 500 milisegundos como 500ms. Puede incluir varios valores en una sola entrada. Por ejemplo, 1s500ms es equivalente a 1,5 segundos.
reAuthnOnAssertionExpire boolean false Autenticar de nuevo la solicitud HTTP entrante cuando una aserción SAML esté a punto de caducar.
realmIdentifier string   Especifica un atributo SAML que se utiliza como nombre de reino. Si no se ha especificado ningún valor, se utiliza el valor de elemento de aserción SAML Issuer.
realmName string   Especifica un nombre de reino cuando mapToUserRegistry está establecido en No o Grupo.
sessionNotOnOrAfter Un período de tiempo con precisión de milisegundos 120m Indica una cota superior en duraciones de sesión SAML, sobrepasada la cual Liberty SP debe solicitar al usuario que vuelva a autenticarse con el IdP. Si la señal de SAML devuelta desde el IdP no contiene una aserción sessionNotOnOrAfter, se utiliza el valor especificado por este atributo. Especifica un entero positivo seguido de una unidad de tiempo, que puede ser horas (h), minutos (m), segundos (s) o milisegundos (ms). Por ejemplo, especifique 500 milisegundos como 500ms. Puede incluir varios valores en una sola entrada. Por ejemplo, 1s500ms es equivalente a 1,5 segundos.
signatureMethodAlgorithm
  • SHA256
  • SHA128
  • SHA1
SHA256 Indica el algoritmo necesario para este proveedor de servicios.
SHA256
Algoritmo de firma SHA-256
SHA128
%signatureMethodAlgorithm.SHA128
SHA1
Algoritmo de firma SHA-1
spHostAndPort string   Especifica un nombre de host y un número de puerto del proveedor de servicios SAML.
targetPageUrl string   La página de destino predeterminada para el inicio de sesión único iniciado por el IdP si falta relayState.
tokenReplayTimeout Un período de tiempo con precisión de milisegundos 30m Esta propiedad se utiliza para especificar cuánto tiempo debe impedir Liberty SP la reproducción de la señal. Especifica un entero positivo seguido de una unidad de tiempo, que puede ser horas (h), minutos (m), segundos (s) o milisegundos (ms). Por ejemplo, especifique 500 milisegundos como 500ms. Puede incluir varios valores en una sola entrada. Por ejemplo, 1s500ms es equivalente a 1,5 segundos.
userIdentifier string   Especifica un atributo SAML que se utiliza como el nombre principal de usuario en el sujeto. Si no se ha especificado ningún valor, se utiliza el valor de elemento de aserción SAML NameID.
userUniqueIdentifier string   Especifica un atributo SAML que se utiliza como nombre de usuario exclusivo ya que se aplica a la WSCredential del sujeto. El valor predeterminado es el mismo que el del valor de atributo userIdentifier.
wantAssertionsSigned boolean true Indica un requisito de que los elementos <saml:Assertion> que recibe este proveedor de servicios deben firmarse.
audiences
Descripción: La lista de audiencias de confianza para verificar la audiencia de la señal de SAML. Si el valor es "ANY", todas las identidades son de confianza.
Obligatorio: false
Tipo de datos: string
authFilter
Descripción: Especifica la referencia del filtro de autenticación.
Obligatorio: false
Tipo de datos:
authFilter > host
Descripción: Un ID de configuración exclusivo.
Obligatorio: false
Tipo de datos:
Nombre de atributo Tipo de datos Valor predeterminado Descripción
id string   Un ID de configuración exclusivo.
matchType
  • equals
  • contains
  • notContain
contains Especifica el tipo de coincidencia.
equals
Igual a
contains
Contiene
notContain
No contiene
name string   Especifica el nombre.
authFilter > remoteAddress
Descripción: Un ID de configuración exclusivo.
Obligatorio: false
Tipo de datos:
Nombre de atributo Tipo de datos Valor predeterminado Descripción
id string   Un ID de configuración exclusivo.
ip string   Especifica la dirección IP.
matchType
  • lessThan
  • equals
  • greaterThan
  • contains
  • notContain
contains Especifica el tipo de coincidencia.
lessThan
Menor que
equals
Igual a
greaterThan
Mayor que
contains
Contiene
notContain
No contiene
authFilter > requestUrl
Descripción: Un ID de configuración exclusivo.
Obligatorio: false
Tipo de datos:
Nombre de atributo Tipo de datos Valor predeterminado Descripción
id string   Un ID de configuración exclusivo.
matchType
  • equals
  • contains
  • notContain
contains Especifica el tipo de coincidencia.
equals
Igual a
contains
Contiene
notContain
No contiene
urlPattern string   Especifica el patrón del URL.
authFilter > userAgent
Descripción: Un ID de configuración exclusivo.
Obligatorio: false
Tipo de datos:
Nombre de atributo Tipo de datos Valor predeterminado Descripción
agent string   Especifica el agente de usuario
id string   Un ID de configuración exclusivo.
matchType
  • equals
  • contains
  • notContain
contains Especifica el tipo de coincidencia.
equals
Igual a
contains
Contiene
notContain
No contiene
authFilter > webApp
Descripción: Un ID de configuración exclusivo.
Obligatorio: false
Tipo de datos:
Nombre de atributo Tipo de datos Valor predeterminado Descripción
id string   Un ID de configuración exclusivo.
matchType
  • equals
  • contains
  • notContain
contains Especifica el tipo de coincidencia.
equals
Igual a
contains
Contiene
notContain
No contiene
name string   Especifica el nombre.
authnContextClassRef
Descripción: Una referencia de URI que identifica la clase de contexto de autenticación que describe la declaración de contexto de autenticación. El valor predeterminado es nulo.
Obligatorio: false
Tipo de datos: string
headerName
Descripción: El nombre de cabecera de la solicitud HTTP que almacena la señal de SAML.
Obligatorio: false
Tipo de datos: string
pkixTrustEngine
Descripción: Especifica la información de confianza de PKIX que se utiliza para evaluar la fiabilidad y la validez de las firmas XML en una respuesta de SAML. No especifique varios pkixTrustEngine en un samlWebSso20.
Obligatorio: false
Tipo de datos:
Nombre de atributo Tipo de datos Valor predeterminado Descripción
trustAnchorRef Una referencia a un elemento keyStore de nivel superior (string).   Un almacén de claves que contiene la clave pública necesaria para verificar la firma de SAMLResponse y Assertion.
pkixTrustEngine > crl
Descripción: Un ID de configuración exclusivo.
Obligatorio: false
Tipo de datos:
Nombre de atributo Tipo de datos Valor predeterminado Descripción
id string   Un ID de configuración exclusivo.
path string   Especifica la vía de acceso al CRL.
pkixTrustEngine > trustedIssuers
Descripción: Especifica las identidades de los emisores IdP fiables. Si el valor es "ALL_ISSUERS", todas las identidades de IdP son de confianza.
Obligatorio: false
Tipo de datos: string
pkixTrustEngine > x509Certificate
Descripción: Un ID de configuración exclusivo.
Obligatorio: false
Tipo de datos:
Nombre de atributo Tipo de datos Valor predeterminado Descripción
id string   Un ID de configuración exclusivo.
path string   Especifica la vía de acceso del certificado x509.

Icono que indica el tipo de tema Tema de referencia



Icono de indicación de fecha y hora Última actualización: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwlp_config_samlWebSso20
Nombre de archivo:rwlp_config_samlWebSso20.html