SAML Web SSO 2.0-Authentifizierung (samlWebSso20)

Steuert die Ausführung des Security Assertion Markup Language Web SSO 2.0-Mechanismus.

Attributname Datentyp Standardwert Beschreibung
allowCreate boolean   Ermöglicht dem Identitätsprovider (IdP), ein neues Konto zu erstellen, falls der anfordernde Benutzer kein Konto besitzt.
allowCustomCacheKey boolean true Lässt die Generierung eines angepassten Cacheschlüssels für den Zugriff auf den Authentifizierungscache und den Abruf des Subjekts zu.
authFilterRef Referenz auf das authFilter-Element (string) der höchsten Ebene.   Gibt die Referenz des Authentifizierungsfilters an.
authnContextComparisonType
  • minimum
  • better
  • maximum
  • exact
exact Wenn eine authnContextClassRef angegeben ist, kann ein authnContextComparisonType definiert werden.
minimum
Minimum. Der Authentifizierungskontext in der Authentifizierungsanweisung muss mindestens so stark wie einer der angegebenen Authentifizierungskontexte sein.
better
Besser. Der Authentifizierungskontext in der Authentifizierungsanweisung muss stärker als einer der angegebenen Authentifizierungskontexte sein.
maximum
Maximum. Der Authentifizierungskontext in der Authentifizierungsanweisung muss so stark wie möglich sein, ohne die Stärke mindestens eines der angegebenen Authentifizierungskontexte zu überschreiten.
exact
Exakt. Der Authentifizierungskontext in der Authentifizierungsanweisung muss mit mindestens einem der angegebenen Authentifizierungskontexte exakt übereinstimmen.
authnRequestTime Zeitraum mit Genauigkeit in Millisekunden 10m Gibt die authnRequest-Lebensdauer an, die vom Service-Provider generiert und an einen Identitätsprovider gesendet wird, um ein SAML-Token anzufordern. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden.
authnRequestsSigned boolean true Gibt an, ob die von diesem Service-Provider gesendeten <samlp:AuthnRequest>-Nachrichten signiert werden.
clockSkew Zeitraum mit Genauigkeit in Millisekunden 5m Mit diesem Attribut wird die zulässige Zeitabweichung in Minuten bei der Validierung des SAML-Tokens angegeben. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden.
createSession boolean true Gibt an, ob eine HttpSession erstellt werden soll, wenn die aktuelle HttpSession nicht vorhanden ist.
customizeNameIDFormat string   Gibt die angepasste URI-Referenz an, die einem Namens-ID-Format entspricht, das nicht in der SAML-Core-Spezifikation definiert ist.
disableLtpaCookie boolean true Wenn Sie diese Option auswählen, wird während der Verarbeitung der SAML-Zusicherung kein LTPA-Token erstellt. Stattdessen wird ein Cookie des jeweiligen Service-Providers erstellt.
enabled boolean true Der Service-Provider ist aktiviert, wenn diese Option auf true gesetzt ist, und inaktiviert, wenn sie auf false gesetzt ist.
errorPageURL string   Gibt eine Fehlerseite an, die angezeigt werden soll, falls die SAML-Validierung fehlschlägt. Wenn Sie dieses Attribut nicht angeben und die empfangene SAML ungültig ist, wird der Benutzer wieder an den SAML-Identitätsprovider umgeleitet, damit das SSO erneut gestartet wird.
forceAuthn boolean false Gibt an, ob IdP den Benutzer zu einer erneuten Authentifizierung zwingen soll.
groupIdentifier string   Gibt ein SAML-Attribut an, das als Name der Gruppe verwendet wird, zu der der authentifizierte Principal gehört. Es gibt keinen Standardwert.
httpsRequired boolean true Erzwingt die Verwendung von SSL beim Zugriff auf einen SAML-WebSSO-Service-Provider-Endpunkt, wie z. B. acs oder metadata.
id string   Eine eindeutige Konfigurations-ID.
idpMetadata string ${server.config.dir}/resources/security/idpMetadata.xml Gibt die Metadatendatei des Identitätsproviders (IdP) an.
inboundPropagation
  • none
  • required
none Steuert die Ausführung von Security Assertion Markup Language Web SSO 2.0 im Hinblick auf die eingehende Weitergabe der Web-Service-Mechanismen.
none
%inboundPropagation.none
required
%inboundPropagation.required
includeTokenInSubject boolean true Gibt an, ob eine SAML-Zusicherung in das Subjekt eingeschlossen werden soll.
includeX509InSPMetadata boolean true Gibt an, ob das x509-Zertifikat in die Liberty SP-Metadaten eingeschlossen werden soll.
isPassive boolean false Gibt an, ob der Identitätsprovider (IdP) die Steuerung der Endbenutzerschnittstelle übernimmt.
keyAlias string   Der Schlüsselaliasname für den privaten Schlüssel für die Signatur und die Entschlüsselung. Diese Angabe ist optional, wenn der Keystore nur einen einzigen Schlüssel mit dem Alias samlsp enthält.
keyStoreRef Referenz auf das keyStore-Element (string) der höchsten Ebene.   Ein Keystore, der den privaten Schlüssel für die Signatur der AuthnRequest und die Entschlüsselung des EncryptedAssertion-Elements enthält. Standardmäßig wird der Standardkeystore des Servers verwendet.
loginPageURL string   Gibt die Anwendungs-URL für die SAML-IdP-Anmeldung an, an die eine nicht authentifizierte Anforderung umgeleitet wird. Dieses Attribut löst ein vom Identitätsprovider (IdP) eingeleitetes SSO (Single Sign-on) aus und ist nur für ein SSO erforderlich, das über den Identitätsprovider eingeleitet wird.
mapToUserRegistry
  • User
  • No
  • Group
No Gibt an, wie eine ID einem Registry-Benutzer zugeordnet wird. Die Optionen sind No, User und Group. Der Standardwert ist No, d. h., die Benutzerregistry wird nicht zum Erstellen des Benutzersubjekts verwendet.
User
Einem in der Registry definierten Benutzer eine SAML-ID zuordnen
No
Einem Benutzer oder einer Gruppe in der Registry keine SAML-ID zuordnen
Group
Einer in der Registry definierten Gruppe eine SAML-ID zuordnen
nameIDFormat
  • encrypted
  • customize
  • persistent
  • x509SubjectName
  • email
  • transient
  • entity
  • unspecified
  • kerberos
  • windowsDomainQualifiedName
email Gibt die URI-Referenz an, die einem in der SAML-Core-Spezifikation definierten Namens-ID-Format entspricht.
encrypted
urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
customize
Angepasstes Format für Namens-IDs.
persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
x509SubjectName
urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName
email
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
transient
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
entity
urn:oasis:names:tc:SAML:2.0:nameid-format:entity
unspecified
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
kerberos
urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos
windowsDomainQualifiedName
urn:oasis:names:tc:SAML:1.1:nameid-format:WindowsDomainQualifiedName
reAuthnCushion Zeitraum mit Genauigkeit in Millisekunden 0m Die Zeit für die erneute Authentifizierung bei Ablauf einer SAML-Zusicherung, die mit der Anweisung NotOnOrAfter oder dem Attribut SessionNotOnOrAfter der SAML-Zusicherung angegeben wird. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden.
reAuthnOnAssertionExpire boolean false Bei Auswahl dieser Option wird die eingehende HTTP-Anforderung erneut authentifiziert, wenn eine SAML-Zusicherung abläuft.
realmIdentifier string   Gibt ein SAML-Attribut an, das als Realmname verwendet wird. Wenn Sie keinen Wert angeben, wird der Wert des SAML-Zusicherungselement Issuer verwendet.
realmName string   Gibt einen Realmnamen an, wenn mapToUserRegistry auf No oder Group gesetzt ist.
sessionNotOnOrAfter Zeitraum mit Genauigkeit in Millisekunden 120m Gibt eine Obergrenze für die Dauer von SAML-Sitzungen an, bei deren Erreichen der Liberty-SP den Benutzer zur erneuten Authentifizierung beim IdP auffordern soll. Wenn das vom IdP zurückgegebene SAML-Token keine sessionNotOnOrAfter-Zusicherung enthält, wird der mit diesem Attribut angegebene Wert verwendet. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden.
signatureMethodAlgorithm
  • SHA256
  • SHA128
  • SHA1
SHA256 Gibt den von diesem Service-Provider geforderten Algorithmus an.
SHA256
SHA-256-Signaturalgorithmus
SHA128
%signatureMethodAlgorithm.SHA128
SHA1
SHA-1-Signaturalgorithmus
spHostAndPort string   Gibt einen Hostnamen und einen Portnummer für den SAML-Service-Provider an.
targetPageUrl string   Die Standard-Landing-Page für das vom Identitätsprovider eingeleitete SSO, wenn der relayState-Wert fehlt.
tokenReplayTimeout Zeitraum mit Genauigkeit in Millisekunden 30m Mit dieser Eigenschaft können Sie festlegen, wie lange der Liberty-Service-Provider (SP) die Tokenwiedergabe verhindern soll. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden.
userIdentifier string   Gibt ein SAML-Attribut an, das als Benutzerprincipalname im Subjekt verwendet wird. Wenn Sie keinen Wert angeben, wird der Wert des SAML-Zusicherungselement NameID verwendet.
userUniqueIdentifier string   Gibt ein SAML-Attribut an, das als eindeutiger Benutzername für den WSCredential im Subjekt verwendet wird. Standardmäßig wird der Wert des Attributs userIdentifier verwendet.
wantAssertionsSigned boolean true Gibt an, dass die von diesem Service-Provider empfangenen <saml:Assertion>-Elemente signiert werden müssen.
audiences
Beschreibung: Die Liste der Zielgruppen, die für die Überprüfung der Zielgruppe des SAML-Tokens anerkannt werden. Wenn Sie den Wert "ANY" angeben, werden alle Zielgruppen als vertrauenswürdig eingestuft.
Erforderlich: false
Datentyp: string
authFilter
Beschreibung: Gibt die Referenz des Authentifizierungsfilters an.
Erforderlich: false
Datentyp:
authFilter > host
Beschreibung: Eine eindeutige Konfigurations-ID.
Erforderlich: false
Datentyp:
Attributname Datentyp Standardwert Beschreibung
id string   Eine eindeutige Konfigurations-ID.
matchType
  • equals
  • contains
  • notContain
contains Gibt den Abgleichstyp an.
equals
Gleich
contains
Enthält
notContain
Enthält nicht
name string   Gibt den Namen an.
authFilter > remoteAddress
Beschreibung: Eine eindeutige Konfigurations-ID.
Erforderlich: false
Datentyp:
Attributname Datentyp Standardwert Beschreibung
id string   Eine eindeutige Konfigurations-ID.
ip string   Gibt die IP-Adresse an.
matchType
  • lessThan
  • equals
  • greaterThan
  • contains
  • notContain
contains Gibt den Abgleichstyp an.
lessThan
Kleiner als
equals
Gleich
greaterThan
Größer als
contains
Enthält
notContain
Enthält nicht
authFilter > requestUrl
Beschreibung: Eine eindeutige Konfigurations-ID.
Erforderlich: false
Datentyp:
Attributname Datentyp Standardwert Beschreibung
id string   Eine eindeutige Konfigurations-ID.
matchType
  • equals
  • contains
  • notContain
contains Gibt den Abgleichstyp an.
equals
Gleich
contains
Enthält
notContain
Enthält nicht
urlPattern string   Gibt das URL-Muster an.
authFilter > userAgent
Beschreibung: Eine eindeutige Konfigurations-ID.
Erforderlich: false
Datentyp:
Attributname Datentyp Standardwert Beschreibung
agent string   Gibt den Benutzeragenten an.
id string   Eine eindeutige Konfigurations-ID.
matchType
  • equals
  • contains
  • notContain
contains Gibt den Abgleichstyp an.
equals
Gleich
contains
Enthält
notContain
Enthält nicht
authFilter > webApp
Beschreibung: Eine eindeutige Konfigurations-ID.
Erforderlich: false
Datentyp:
Attributname Datentyp Standardwert Beschreibung
id string   Eine eindeutige Konfigurations-ID.
matchType
  • equals
  • contains
  • notContain
contains Gibt den Abgleichstyp an.
equals
Gleich
contains
Enthält
notContain
Enthält nicht
name string   Gibt den Namen an.
authnContextClassRef
Beschreibung: Eine URI-Referenz, die eine Authentifizierungskontextklasse angibt, die die Authentifizierungskontextdeklaration beschreibt. Der Standardwert ist null.
Erforderlich: false
Datentyp: string
headerName
Beschreibung: Der Headername der HTTP-Anforderung, die das SAML-Token speichert.
Erforderlich: false
Datentyp: string
pkixTrustEngine
Beschreibung: Gibt die Informationen zur PKIX-Vertrauensbeziehung an, die verwendet werden, um die Vertrauenswürdigkeit und Validität von XML-Signaturen in einer SAML-Antwort zu evaluieren. Die Angabe mehrerer pkixTrustEngine-Elemente in samlWebSso20 ist nicht zulässig.
Erforderlich: false
Datentyp:
Attributname Datentyp Standardwert Beschreibung
trustAnchorRef Referenz auf das keyStore-Element (string) der höchsten Ebene.   Ein Keystore, der den öffentlichen Schlüssel enthält, der für die Verifizierung der Signatur der SAML-Antwort und der SAML-Zusicherung erforderlich ist.
pkixTrustEngine > crl
Beschreibung: Eine eindeutige Konfigurations-ID.
Erforderlich: false
Datentyp:
Attributname Datentyp Standardwert Beschreibung
id string   Eine eindeutige Konfigurations-ID.
path string   Gibt den Pfad zur Zugriffssteuerungsliste an.
pkixTrustEngine > trustedIssuers
Beschreibung: Gibt die IDs vertrauenswürdiger IdP-Aussteller an. Wenn Sie den Wert "ALL_ISSUERS" angeben, werden alle IdP-IDs anerkannt.
Erforderlich: false
Datentyp: string
pkixTrustEngine > x509Certificate
Beschreibung: Eine eindeutige Konfigurations-ID.
Erforderlich: false
Datentyp:
Attributname Datentyp Standardwert Beschreibung
id string   Eine eindeutige Konfigurations-ID.
path string   Gibt den Pfad zum x509-Zertifikat an.

Symbol das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 01.12.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwlp_config_samlWebSso20
Dateiname: rwlp_config_samlWebSso20.html