Angepasste Eigenschaften für den SAML-TAI für eingehende Webanforderungen

Mit den angepassten Eigenschaften für den SAML-TAI (Trust Association Interceptor) für eingehende Webanforderungen können Sie das Verhalten des TAI für eingehende Webanforderungen bestimmen und das in der eingehenden Webanforderung erhaltene SAML-Token verarbeiten.

In den folgenden Tabellen sind die angepassten Eigenschaften für den SAML-TAI für eingehende Webanforderungen aufgelistet. Diese Eigenschaften können über die Administrationskonsole in der Anzeige Angepasste Eigenschaften für den SAML-TAI für eingehende Webanforderungen definiert werden.

Die Eigenschaften sind in zwei Kategorien eingeteilt:

  • Erforderliche Eigenschaften: Wenn diese Eigenschaften nicht definiert sind, wird der SAML-TAI für eingehende Webanforderungen nicht initialisiert.
  • Optionale Eigenschaften: Für einige dieser Eigenschaften ist, wie in der Tabelle angegeben, standardmäßig ein Wert festgelegt. Sie werden verwendet, um das Verhalten des SAML-TAI für eingehende Webanforderungen anzupassen.

Erforderliche Eigenschaften

Tabelle 1. Erforderliche Eigenschaften für den SAML-TAI für eingehende Webanforderungen
Eigenschaftsname Werte Beschreibung
headerName Sie können einen beliebigen Zeichenfolgewert angeben. Diese Eigenschaft hat keinen Standardwert. Diese Eigenschaft gibt eine Liste von Headernamen in der eingehenden Anforderung an, nach denen der TAI sucht, um das SAML-Token zu extrahieren. Sie können einen einzelnen Headernamen oder mehrere, durch Komma oder "|" getrennte Headernamen angeben.

Beispiel:

headerName=saml_token

headerName=header one, header two

headerName=saml1_token|saml2_token|saml3_token

Optionale Eigenschaften

Tabelle 2. Optionale Eigenschaften für den SAML-TAI für eingehende Webanforderungen
Eigenschaftsname Werte Beschreibung
setLtpaCookie Sie können einen der folgenden Werte angeben:
  • true
  • false (Standard)
Diese Eigenschaft gibt an, ob der SAML-TAI für eingehende Webanforderungen das LTPA-Token in der Antwort angeben muss. Standardmäßig gibt der TAI kein LTPA-Cookie in der Antwort an.
signatureAlgorithm Sie können einen der folgenden Werte angeben:
  • SHA128 (Standard)
  • SHA256
Diese Eigenschaft gibt den Algorithmus an, mit dem das SAML-Token signiert ist. Wenn diese Eigenschaft auf den Wert SHA256 gesetzt ist, muss das SAML-Token in der Anforderung mit dem Signaturalgorithmus SHA256 signiert sein. Andernfalls wird die Anforderung abgelehnt.
clockSkew Eine beliebige positive Zahl kann angegeben werden. Der Standardwert ist 3 Minuten. Mit dieser Eigenschaft wird die bei der Validierung des SAML-Tokens zulässige Zeitabweichung in Millisekunden angegeben.
userIdentifier Standardmäßig ist diese Eigenschaft auf den Wert des Attributs NameID des SAML-Subjects gesetzt. Diese Eigenschaft gibt den Namen des SAML-Attributs an, dessen Wert als Benutzer-ID verwendet wird.

Beispiel:

userIdentifier=RunAsUser

mapIdentityToRegistryUser Sie können einen der folgenden Werte angeben:
  • true
  • false (Standard)
Wenn Sie diese Eigenschaft auf false setzen, werden die Benutzer und Gruppen, die in der SAML-Zusicherung angegeben sind, in das WebSphere-Subjekt eingefügt.

Wenn die Eigenschaft auf true gesetzt ist, ordnet der SAML-TAI für eingehende Webanforderungen den Benutzer aus dem SAML-Token demselben Benutzer in der WebSphere-Benutzerregistry zu. Dies erfordert, dass alle Benutzer in der WebSphere-Benutzerregistry verwaltet werden.

groupIdentifier Sie können einen beliebigen Zeichenfolgewert angeben. Diese Eigenschaft hat keinen Standardwert. Diese Eigenschaft gibt den Namen des SAML-Attributs an, dessen Werte als Gruppenmitglieder im Subjekt eingeschlossen sind.
realmIdentifier Standardmäßig ist diese Eigenschaft auf den SAML-Ausstellernamen (Issuer) gesetzt. Diese Eigenschaft gibt den Namen des SAML-Attributs an, dessen Wert als Subjektrealm verwendet wird. Wenn diese Eigenschaft nicht angegeben ist, wird der SAML-Name des Ausstellers als Realmname verwendet.
realmName Sie können einen beliebigen Zeichenfolgewert angeben. Diese Eigenschaft hat keinen Standardwert. Diese Eigenschaft gibt den Realmnamen an, der für die SAML-Zusicherung verwendet werden soll. Wenn die Eigenschaften realmIdentifier und realmName beide angegeben sind, überschreibt die Eigenschaft realmName den Wert von realmIdentifier.
filter Diese Eigenschaft hat keinen Standardwert. Mit dieser Eigenschaft wird eine Bedingung angegeben, die für eine Webanforderung geprüft wird, um festzustellen, ob die Anforderung vom SAML-TAI für eingehende Webanforderungen für die Verarbeitung ausgewählt ist.
audiences Sie können hier eine durch Kommas getrennte Liste mit URI-Werten angeben. Diese Eigenschaft hat keinen Standardwert. Diese Eigenschaft gibt eine Liste der zulässigen Benutzergruppe-URIS an, die im Element <AudienceRestriction> in der SAML-Zusicherung angegeben sind. Die SAML-Tokenvalidierung schlägt fehl, wenn kein URI dieser Liste in der SAML-Zusicherung enthalten ist.

Beispiel:

filter=”request-url%=helloworld”

trustStore Diese Eigenschaft hat keinen Standardwert. Diese Eigenschaft gibt den Truststore zur Validierung der SAML-Signatur an. Sie gibt den Namen eines verwalteten Keystores an.
keyStore Diese Eigenschaft hat keinen Standardwert. Diese Eigenschaft gibt den Namen des verwalteten Keystores an, in dem der private Schlüssel zum Entschlüsseln einer verschlüsselten SAML-Zusicherung enthalten ist.

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwbs_saml_web_inbound_tai_prop
Dateiname:rwbs_saml_web_inbound_tai_prop.html