Angepasste Eigenschaften für den SAML-TAI für eingehende Webanforderungen
Mit den angepassten Eigenschaften für den SAML-TAI (Trust Association Interceptor) für eingehende Webanforderungen können Sie das Verhalten des TAI für eingehende Webanforderungen bestimmen und das in der eingehenden Webanforderung erhaltene SAML-Token verarbeiten.
In den folgenden Tabellen sind die angepassten Eigenschaften für den SAML-TAI für eingehende Webanforderungen aufgelistet. Diese Eigenschaften können über die Administrationskonsole in der Anzeige Angepasste Eigenschaften für den SAML-TAI für eingehende Webanforderungen definiert werden.
Die Eigenschaften sind in zwei Kategorien eingeteilt:
- Erforderliche Eigenschaften: Wenn diese Eigenschaften nicht definiert sind, wird der SAML-TAI für eingehende Webanforderungen nicht initialisiert.
- Optionale Eigenschaften: Für einige dieser Eigenschaften ist, wie in der Tabelle angegeben, standardmäßig ein Wert festgelegt. Sie werden verwendet, um das Verhalten des SAML-TAI für eingehende Webanforderungen anzupassen.
Erforderliche Eigenschaften
Eigenschaftsname | Werte | Beschreibung |
---|---|---|
headerName | Sie können einen beliebigen Zeichenfolgewert angeben. Diese Eigenschaft hat keinen Standardwert. | Diese Eigenschaft gibt eine Liste von Headernamen in der eingehenden Anforderung an, nach denen der TAI sucht, um das SAML-Token zu extrahieren. Sie können einen einzelnen Headernamen oder mehrere, durch Komma oder "|" getrennte Headernamen angeben. Beispiel: headerName=saml_token headerName=header one, header two headerName=saml1_token|saml2_token|saml3_token |
Optionale Eigenschaften
Eigenschaftsname | Werte | Beschreibung |
---|---|---|
setLtpaCookie | Sie können einen der folgenden Werte angeben:
|
Diese Eigenschaft gibt an, ob der SAML-TAI für eingehende Webanforderungen das LTPA-Token in der Antwort angeben muss. Standardmäßig gibt der TAI kein LTPA-Cookie in der Antwort an. |
signatureAlgorithm | Sie können einen der folgenden Werte angeben:
|
Diese Eigenschaft gibt den Algorithmus an, mit dem das SAML-Token signiert ist. Wenn diese Eigenschaft auf den Wert SHA256 gesetzt ist, muss das SAML-Token in der Anforderung mit dem Signaturalgorithmus SHA256 signiert sein. Andernfalls wird die Anforderung abgelehnt. |
clockSkew | Eine beliebige positive Zahl kann angegeben werden. Der Standardwert ist 3 Minuten. | Mit dieser Eigenschaft wird die bei der Validierung des SAML-Tokens zulässige Zeitabweichung in Millisekunden angegeben. |
userIdentifier | Standardmäßig ist diese Eigenschaft auf den Wert des Attributs NameID des SAML-Subjects gesetzt. | Diese Eigenschaft gibt den Namen des SAML-Attributs an, dessen Wert als Benutzer-ID verwendet wird. Beispiel: userIdentifier=RunAsUser |
mapIdentityToRegistryUser | Sie können einen der folgenden Werte angeben:
|
Wenn Sie diese Eigenschaft auf false setzen, werden die Benutzer und Gruppen, die in der SAML-Zusicherung angegeben sind, in das WebSphere-Subjekt eingefügt. Wenn die Eigenschaft auf true gesetzt ist, ordnet der SAML-TAI für eingehende Webanforderungen den Benutzer aus dem SAML-Token demselben Benutzer in der WebSphere-Benutzerregistry zu. Dies erfordert, dass alle Benutzer in der WebSphere-Benutzerregistry verwaltet werden. |
groupIdentifier | Sie können einen beliebigen Zeichenfolgewert angeben. Diese Eigenschaft hat keinen Standardwert. | Diese Eigenschaft gibt den Namen des SAML-Attributs an, dessen Werte als Gruppenmitglieder im Subjekt eingeschlossen sind. |
realmIdentifier | Standardmäßig ist diese Eigenschaft auf den SAML-Ausstellernamen (Issuer) gesetzt. | Diese Eigenschaft gibt den Namen des SAML-Attributs an, dessen Wert als Subjektrealm verwendet wird. Wenn diese Eigenschaft nicht angegeben ist, wird der SAML-Name des Ausstellers als Realmname verwendet. |
realmName | Sie können einen beliebigen Zeichenfolgewert angeben. Diese Eigenschaft hat keinen Standardwert. | Diese Eigenschaft gibt den Realmnamen an, der für die SAML-Zusicherung verwendet werden soll. Wenn die Eigenschaften realmIdentifier und realmName beide angegeben sind, überschreibt die Eigenschaft realmName den Wert von realmIdentifier. |
filter | Diese Eigenschaft hat keinen Standardwert. | Mit dieser Eigenschaft wird eine Bedingung angegeben, die für eine Webanforderung geprüft wird, um festzustellen, ob die Anforderung vom SAML-TAI für eingehende Webanforderungen für die Verarbeitung ausgewählt ist. |
audiences | Sie können hier eine durch Kommas getrennte Liste mit URI-Werten angeben. Diese Eigenschaft hat keinen Standardwert. | Diese Eigenschaft gibt eine Liste der zulässigen Benutzergruppe-URIS an, die im Element <AudienceRestriction> in der SAML-Zusicherung angegeben sind. Die SAML-Tokenvalidierung schlägt fehl, wenn kein URI dieser Liste in der SAML-Zusicherung enthalten ist. Beispiel: filter=”request-url%=helloworld” |
trustStore | Diese Eigenschaft hat keinen Standardwert. | Diese Eigenschaft gibt den Truststore zur Validierung der SAML-Signatur an. Sie gibt den Namen eines verwalteten Keystores an. |
keyStore | Diese Eigenschaft hat keinen Standardwert. | Diese Eigenschaft gibt den Namen des verwalteten Keystores an, in dem der private Schlüssel zum Entschlüsseln einer verschlüsselten SAML-Zusicherung enthalten ist. |