Propiedades personalizadas de señal SAML de seguridad de servicios web

Al configurar una señal SAML de seguridad de servicios web, puede configurar los pares de datos de nombre-valor arbitrarios, en los que el nombre es una clave de propiedad y el valor es un valor de serie que se puede utilizar para establecer propiedades internas de configuración del sistema. Puede utilizar estas propiedades de configuración junto con las opciones proporcionadas en la consola administrativa para controlar cómo se genera o consume la señal SAML.

Para configurar estas propiedades personalizadas de SAML, en la consola administrativa:

  1. Expanda Servicios.
  2. Seleccione Proveedor de servicios o Cliente de servicio
  3. Pulsar la aplicación adecuada en la columna Nombre.
  4. Pulsar el enlace adecuado en la columna Enlace.

    Previamente se debe haber conectado un conjunto de políticas y asignado un enlace.

o

  1. Expanda Aplicaciones > Tipos de aplicaciones y pulse Aplicaciones empresariales de WebSphere.
  2. Seleccione una aplicación que contenga servicios Web. La aplicación debe contener un proveedor o cliente de servicios.
  3. En la cabecera Propiedades de servicios web, pulse Enlaces y conjuntos de políticas del proveedor de servicios o Enlaces y conjuntos de políticas de cliente de servicio.
  4. Seleccione un enlace. Previamente debe haber conectado un conjunto de políticas y asignado un enlace específico de la aplicación.

A continuación, siga estos pasos:

  1. Pulse WS-Security en la tabla Políticas.
  2. Bajo el título Enlaces de política de seguridad de mensajes principales, haga clic en Autenticación y protección.
  3. En el título Señales de autenticación, pulse en el nombre de la señal de autenticación.
    Supported configurations Supported configurations: Puede utilizar la señal, que es procesada por el módulo de inicio de sesión de señal de seguridad genérico, sólo para la autenticación. No puede utilizar esta señal como señal de protección.sptcfg
  4. Bajo la cabecera Enlaces adicionales, pulse Manejador de devolución de llamada.
  5. Bajo la cabecera Propiedades personalizadas, especifique los pares de nombre y valor.

Las secciones siguientes listan las propiedades personalizadas e indican cómo se utiliza cada propiedad personalizada.

Propiedades personalizadas de generador de señal SAML

En la tabla siguiente se enumeran las propiedades personalizadas del manejador de devolución de llamada que solo se pueden utilizar para configurar los enlaces del generador de señales SAML.

Tabla 1. Propiedades personalizadas del manejador de devolución de llamada de señales SAML sólo para los enlaces del generador de señales. Esta tabla contiene el nombre de la propiedad personalizada, sus valores y una breve descripción.
Name Valores Descripción
appliesTo Esta propiedad personalizada no tiene un valor predeterminado. Especifica el valor AppliesTo que se utiliza para la señal SAML solicitada cuando se utiliza una API WSS.
audienceRestriction Los valores válidos son true y false. El comportamiento predeterminado es true, que incluye AudienceRestrictionCondition en la señal SAML. Esta propiedad sólo se aplica a señales SAML autoemitidas. Utilice esta propiedad personalizada para especificar si el elemento AudienceRestrictionCondition se incluye en la señal SAML.
authenticationMethod Esta propiedad personalizada no tiene un valor predeterminado. Esta propiedad sólo se aplica a señales SAML autoemitidas. Utilice esta propiedad personalizada para especificar el valor del atributo AuthenticationMethod del elemento AuthenticationStatement en la señal SAML. Cuando esta propiedad personalizada se especifica, el asunto será incluye en un elemento AuthenticationStatement en lugar de un elemento AttributeStatement.
com.ibm.webservices.wssecurity.platform.SAMLIssuerConfigDataPath Esta propiedad personalizada no tiene un valor predeterminado. Utilice esta propiedad personalizada para especificar los datos de configuración necesarios al generar una señal SAML autoemitida.
cacheCushion El valor por omisión es 5 minutos. La cantidad de tiempo, en minutos, en que se debe emitir una nueva señal antes del tiempo de caducidad de una señal de SAML. Por ejemplo, si cacheCushion se establece en 5 minutos y la señal SAML caducará en 2 minutos, no se reutilizará; se emitirá una nueva señal SAML. Cuando el tiempo de ejecución está en proceso de incluir en la memoria caché una señal SAML, una señal de que está más allá de la protección de memoria caché no se almacena en la memoria caché.
cacheToken Los valores válidos son true y false. El comportamiento predeterminado es true, que permite el almacenamiento en memoria caché de la señal SAML para su reutilización. Utilice esta propiedad personalizada para especificar si una señal SAML puede almacenarse en memoria caché para reutilizarla.
com.ibm.webservices.wssecurity.platform.SAMLIssuerConfigDataPath El valor predeterminado es ${USER_INSTALL_ROOT}/config/cells/${WAS_CELL_NAME}/sts/SAMLIssuerConfig.properties La vía de acceso de archivo de los datos de configuración que se utilizan cuando se genera una señal SAML autoemitida.
com.ibm.wsspi.wssecurity.saml.client.SamlTokenCacheEntries El valor predeterminado es 250. Utilice esta propiedad personalizada de JVM para especificar el número máximo de entradas de memoria caché que se pueden mantener.
com.ibm.wsspi.wssecurity.saml.client.SamlTokenCacheTimeout El valor predeterminado es de 60 minutos. Esta propiedad sólo se utiliza para las señales SAML cuya hora de caducidad se desconoce (señales que están cifradas o cuando no se incluye una caducidad con la señal en la respuesta del STS). Para las señales SAML cuya hora de caducidad se desconoce, SamlTokenCacheTimeout se utiliza para sustituir la hora de caducidad. Para obtener una nueva señal SAML que entrará en la memoria caché con estos criterios, su hora de caducidad será (hora_actual)+SamlTokenCacheTimeout. Las condiciones descritas para la propiedad cacheCushion se seguirán aplicando, por lo que debe tener en cuenta el valor de cacheCushion al modificar el valor de SamlTokenCacheTimeout.
com.ibm.wsspi.wssecurity.saml.get.SamlToken y com.ibm.wsspi.wssecurity.saml.put.SamlToken Los valores válidos son true o false. El valor predeterminado es false.  
confirmationMethod Los valores válidos son bearer, holder-of-key y sender-vouches. El valor predeterminado es bearer. El asunto de la señal SAML ConfirmationMethod.
com.ibm.wsspi.wssecurity.saml.get.SamlToken Esta propiedad personalizada no tiene un valor predeterminado. Utilice esta propiedad personalizada para obtener la señal SAML en RequestContext.
com.ibm.wsspi.wssecurity.saml.put.SamlToken Esta propiedad personalizada no tiene un valor predeterminado. Utilice esta propiedad personalizada para establecer el nombre de señal SAML en RequestContext.
failOverToTokenRequest Los valores válidos son true o false. El valor predeterminado es true, que significa que la ejecución de seguridad de servicios web siempre emite una nueva señal SAML si la señal de entrada no es válida. Utilice esta propiedad personalizada para especificar si el entorno de ejecución de seguridad de servicios web debe utilizar el conjunto de políticas asociado para emitir una nueva señal SAML si la señal SAML de entrada de RequestContext no es válida.
recipientAlias Esta propiedad personalizada no tiene un valor predeterminado. El alias del servicio de destino de un certificado.
signToken Los valores válidos son true y false. Esta propiedad personalizada no tiene un valor predeterminado. Utilice esta propiedad personalizada para especificar si una señal SAML debe firmarse con un mensaje de aplicación.
sslConfigAlias Si no se especifica un valor para esta propiedad, se utiliza el alias SSL predeterminado definido en la configuración SSL del sistema.

Esta propiedad es opcional.

El alias de una configuración SSL que un cliente de WS-Trust utiliza para solicitar una señal SAML.
stsURI Esta propiedad personalizada no tiene un valor predeterminado. La dirección del servicio de señales de seguridad (STS).
keySize Esta propiedad personalizada no tiene un valor predeterminado. El tamaño de clave (KeySize) cuando se solicita una clave secreta (SecretKey) de STS.
tokenRequest Los valores válidos son issue, propagation, issueByWSCredential e issueByWSPrincipal. El valor predeterminado es issue. El método de solicitud de SAMLToken. Para obtener más información sobre los valores que se pueden especificar para esta propiedad, consulte el tema Propagación de señales SAML
tokenType Esta propiedad personalizada no tiene un valor predeterminado. Utilice esta propiedad personalizada para establecer el tipo señal necesario en SAMLGenerateCallback.
usekeyType Esta propiedad personalizada es opcional. Los valores válidos son KeyValue, X509Certificate y X509IssuerSerial. Utilice esta propiedad personalizada para especificar el tipo de Usekey, que indica al cliente que debe generar un tipo específico de información de clave.
WSSConsumingContext Esta propiedad personalizada no tiene un valor predeterminado. Utilice esta propiedad personalizada para especificar el objeto WSSConsumingContext que el cliente de WS-Trust utiliza para solicitar una señal SAML.
WSSGenerationContext Esta propiedad personalizada no tiene un valor predeterminado. Utilice esta propiedad personalizada para especificar el objeto WSSGenerationContext que el cliente de WS-Trust utiliza para solicitar una señal SAML.
NameID Esta propiedad personalizada no tiene un valor predeterminado. Esta propiedad establece el NameID en el sujeto de una señal SAML autoemitida. Cuando el generador se configura para autoemitir una señal, si no se especifica la propiedad NameID, se intenta generar una señal a partir de una señal SAML en el sujeto runAs. Si no hay ninguna señal SAML en el sujeto runAs, la señal se crea desde cero y el NameID en el sujeto se establecerá en UNAUTHENTICATED. Para obtener más información sobre la generación de señales SAML autoemitidas utilizando los valores de los enlaces de WS-Security, consulte Propiedades de configuración del emisor de SAML.
   

Propiedades personalizadas de consumidor de señal SAML

En la tabla siguiente se enumeran las propiedades personalizadas del manejador de devolución de llamada que solo se pueden utilizar para configurar los enlaces del consumidor de señal SAML.

Tabla 2. Propiedades personalizadas del manejador de devolución de llamada de señales SAML sólo para los enlaces del consumidor de señales. Esta tabla contiene el nombre de la propiedad personalizada, sus valores y una breve descripción.
Name Valores Descripción
allowUnencKeyInHok Los valores válidos son true o false. El valor predeterminado es true, que significa que se permiten claves sin cifrar. Utilice esta propiedad para indicar al consumidor de señales SAML que acepte una clave cifrada en una señal de poseedor de clave SAML.
com.ibm.wsspi.wssecurity.saml.signature.SignatureCacheEntries Un entero. El valor predeterminado es 1000. El número de entradas de memoria caché de firma que pueden mantenerse para una señal de consumidor SAML.
com.ibm.wsspi.wssecurity.saml.signature.SignatureCacheTimeout Un entero. El valor predeterminado es de 60 minutos. El número de minutos que una señal SAML debe almacenarse en la memoria caché. No es necesario repetir una validación de firmas mientras la señal SAML está almacenada en memoria caché.
keyAlias Esta propiedad personalizada no tiene un valor predeterminado. Alias de la clave privada de descifrado según se define en el archivo de almacén de claves.
keyName Esta propiedad personalizada no tiene un valor predeterminado. Nombre de la clave privada de descifrado según se define en el archivo de almacén de claves. Este nombre es para referencia y no se evalúa en tiempo de ejecución.
keyPassword Esta propiedad personalizada no tiene un valor predeterminado. La contraseña de la clave privada de descifrado tal como se ha definido en el archivo de almacén de claves (la contraseña debe estar codificada con XOR). Para obtener más información, consulte la codificación de contraseñas en archivos.
keyStorePassword Esta propiedad personalizada no tiene un valor predeterminado. La contraseña del archivo de almacén de claves. La contraseña puede estar codificada con XOR. Para obtener más información, consulte la codificación de contraseñas en archivos.
keyStorePath Esta propiedad personalizada no tiene un valor predeterminado. La vía de acceso del archivo de almacén de claves que contiene la clave de descifrado.
keyStoreRef Esta propiedad personalizada no tiene un valor predeterminado. Una referencia a un almacén de claves gestionado en security.xml que contiene la clave de descifrado.

Ejemplo:

name=myKeyStoreRef managementScope=(cell):myCell:(node):myNode
keyStoreType Esta propiedad personalizada no tiene un valor predeterminado. El tipo del almacén de claves del archivo de almacén de claves.
signatureRequired El valor predeterminado es true. Utilice esta propiedad personalizada para especificar si es necesaria una firma en una aserción SAML.
trustAnySigner El valor predeterminado es false. Utilice esta propiedad personalizada para especificar si un destinatario puede confiar en los certificados que firman aserciones SAML.
trustedAlias Esta propiedad personalizada no tiene un valor predeterminado. El alias del certificado STS de confianza para una señal de consumidor SAML.
trustedIssuer_ El nombre se especifica como trustedIssuer_n donde n es un entero. Esta propiedad personalizada no tiene un valor predeterminado. El nombre de un emisor de confianza.
trustedSubjectDN_ El valor especificado debe estar en el formato trustedSubjectDN_n, donde n es un entero. Esta propiedad personalizada no tiene un valor predeterminado. El nombre SubjectDN del X509Certificate del emisor de confianza.
trustStorePassword Esta propiedad personalizada no tiene un valor predeterminado. La contraseña de almacén de confianza para una señal de consumidor SAML.
trustStorePath Esta propiedad personalizada no tiene un valor predeterminado. La vía de acceso del almacén de confianza para una señal de consumidor SAML.
trustStoreRef Esta propiedad personalizada no tiene un valor predeterminado. La referencia de almacén de confianza para una señal de consumidor SAML.

Ejemplo:

name=myTrustStoreRef managementScope=(cell):myCell:(node):myNode
trustStoreType Esta propiedad personalizada no tiene un valor predeterminado. El tipo de almacén de claves del almacén de confianza.
validateAudienceRestriction Los valores válidos son true o false. El valor predeterminado es false que significa que no es necesaria una validación de aserción AudienceRestriction. Utilice esta propiedad personalizada para especificar si se debe validar una aserción AudienceRestriction.
validateOneTimeUse Los valores válidos son true o false. El valor predeterminado es true, que significa que es necesaria la validación de aserción OneTimeUse. Utilice esta propiedad personalizada para especificar si debe validarse una aserción OneTimeUse en SAML 2.0 o DoNotCacheCondition en SAML 1.1.
CRLPATH Esta propiedad personalizada no tiene un valor predeterminado. La vía de acceso de archivo de la lista de certificados revocados para una señal de consumidor SAML.
X509PATH Esta propiedad personalizada no tiene un valor predeterminado. La vía de acceso de archivo del certificado X509 intermedio para una señal de consumidor SAML.
CRLPATH_ El valor especificado debe estar en el formato trustedSubjectDN_n, donde n es un entero. Esta propiedad personalizada no tiene un valor predeterminado. La vía de acceso de archivo de la lista de certificados X509 revocados para una señal de consumidor SAML.
X509PATH_ El valor especificado debe estar en el formato X509_víaAcceso_n, donde n es un entero. Esta propiedad personalizada no tiene un valor predeterminado. La vía de acceso de archivo del certificado X509 intermedio para una señal de consumidor SAML.

Propiedades personalizadas de señal SAML tanto para el generador como para el consumidor de señales

La siguiente tabla lista las propiedades personalizadas del manejador de devolución de llamada que se pueden utilizar para configurar enlaces tanto de generador como de consumidor de señales SAML.

Tabla 3. Propiedades personalizadas del manejador de devolución de llamada de señales SAML sólo para los enlaces del generador de señales y el consumidor de señales. Esta tabla contiene el nombre de la propiedad personalizada, sus valores y una breve descripción.
Name Valores Descripción
clockSkew El valor predeterminado es 3 minutos. El tiempo, en minutos, de un ajuste en los tiempos de la señal SAML autoemitida que el SAMLGenerateLoginModule crea.

La propiedad personalizada clockSkew se establece en el manejador de devolución de llamada del generador de señales SAML que utiliza la clase SAMLGenerateLoginModule. El valor especificado para esta propiedad personalizada debe ser numérico y se especifica en minutos.

Cuando se especifica un valor para esta propiedad personalizada, se realizan estos ajustes de tiempo en la señal SAML autoemitida que el SAMLGenerateLoginModule crea:
  • El nuevo valor de tiempo NotBefore equivale al valor de tiempo NotBefore inicial, menos la cantidad de tiempo especificada para la propiedad personalizada clockSkew.
  • El nuevo valor de tiempo NotAfter equivale al valor de tiempo NotAfter inicial, más la cantidad de tiempo especificada para la propiedad personalizada clockSkew.
clientLabel Esta propiedad personalizada no tiene un valor predeterminado. La etiqueta de cliente, en bytes, que debe utilizarse para las claves derivadas siempre que se utilice una API WSS con la señal SAML solicitada.
serviceLabel Esta propiedad personalizada no tiene un valor predeterminado. La etiqueta de servicio, en bytes, que debe utilizarse para las claves derivadas siempre que se utilice una API WSS con la señal SAML solicitada.
keylength Esta propiedad personalizada no tiene un valor predeterminado. La longitud de clave derivada, en bytes, que debe utilizarse para las claves derivadas siempre que se utilice una API WSS con la señal SAML solicitada.
nonceLength El valor por omisión es 128. La longitud de nonce derivada, en bytes, que debe utilizarse para las claves derivadas siempre que se utilice una API WSS con la señal SAML solicitada.
requireDKT El valor predeterminado es false. Utilice esta propiedad personalizada para especificar una opción para las claves derivadas siempre que se utilice una API WSS con la señal SAML solicitada.
useImpliedDKT El valor predeterminado es false. Utilice esta propiedad personalizada para especificar una opción utilizada con claves derivadas implicadas siempre que se utilice una API WSS con la señal SAML solicitada.

Propiedades del generador de señales SAML para las señales autoemitidas

En la tabla siguiente se enumeran las propiedades personalizadas del manejador de devolución de llamada que solo se pueden utilizar para configurar los enlaces del generador de señales SAML para las señales SAML autoemitidas.

Tabla 4. Propiedades personalizadas del manejador de devolución de llamada de señales SAML para generar las señales SAML autoemitidas. . Esta tabla contiene el nombre de la propiedad personalizada, sus valores y una breve descripción.
Nombre de la propiedad de enlaces de política Valor de propiedad de ejemplo Descripción de la propiedad
com.ibm.wsspi.wssecurity.saml.config.issuer.oldEnvelopedSignature true Utilícese solamente si está estableciendo la propiedad personalizada de JVM com.ibm.wsspi.wssecurity.dsig.enableEnvelopedSignatureProperty en true. Consulte el tema Propiedades personalizadas de la máquina virtual Java (JVM) si desea una descripción del momento en que puede utilizar esta propiedad personalizada de JVM.
com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerFormat urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName Valor para el atributo Format del elemento Emisor en la señal SAML.
Nota: Si desea añadir el atributo Format al elemento Emisor, deberá especificar esta propiedad.
com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerURI http://www.websphere.ibm.com/SAML/SelfIssuer URI del emisor.
com.ibm.wsspi.wssecurity.saml.config.issuer.TimeToLiveMilliseconds 3600000 Periodo de tiempo antes de que caduque la señal. Esta propiedad se utiliza para establecer los atributos de NotOnOrAfter en la señal. NotOnOrAfter se establece en (horaActual)+TiempoDeVida+(desfaseHorarioActual).
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreRef name=myKeyStoreRef managementScope=(cell):myCell:(node):myNode Una referencia a un almacén de claves gestionado en security.xml que contiene la clave de firma.
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePath raíz_servidor_aplicaciones/etc/ws-security/samples/dsig-receiver.ks La ubicación del archivo de almacén de claves que contiene la clave de firma.
Nota: Debe modificar el valor predeterminado para que coincida con la ubicación de vía de acceso para el sistema.
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreType JKS El tipo de almacén de claves.
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePassword contraseña La contraseña del archivo de almacén de claves (la contraseña debe estar codificada con XOR). Para obtener más información, consulte la codificación de contraseñas en archivos.
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyAlias soapprovider Alias de la clave privada de firma según se define en el archivo de almacén de claves.
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyName CN=SOAPProvider, OU=TRL, O=IBM, ST=Kanagawa, C=JP Nombre de la clave privada de firma según se define en el archivo de almacén de claves. Este nombre es para referencia y no se evalúa en tiempo de ejecución.
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyPassword contraseña La contraseña de la clave privada tal como se ha definido en el archivo de almacén de claves (la contraseña debe estar codificada con XOR).
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreRef name=myTrustStoreRef managementScope=(cell):myCell:(node):myNode Una referencia a un almacén de claves gestionado en security.xml que contiene el certificado de cifrado.
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePath raíz_servidor_aplicaciones/etc/ws-security/samples/dsig-receiver.ks La ubicación del archivo de almacén que contiene el certificado de cifrado.
Nota: Debe modificar el valor predeterminado para que coincida con la ubicación de vía de acceso para el sistema.
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreType JKS El tipo de almacén del archivo de almacén que contiene el certificado de cifrado.
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePassword contraseña La contraseña del archivo de almacén que contiene el certificado de cifrado.
com.ibm.wsspi.wssecurity.saml.config.issuer.AttributeProvider com.mycompany.SAML.AttributeProviderImpl Clase de implementación del proveedor de atributo.
Nota: La clase debe implementar javax.security.auth.callback.CallbackHandler. La clase debe recibir el objeto de devolución de llamada com.ibm.websphere.wssecurity.callbackhandler.Saml20AttributeCallback o com.ibm.websphere.wssecurity.callbackhandler.Saml11AttributeCallback y, a continuación, actualizar la lista SAMLAttribute recibida del método getSAMLAttributes invocado desde ese objeto.

Para obtener más información, consulte la sección Adición de atributos a señales SAML autoemitidas mediante la API.

com.ibm.wsspi.wssecurity.saml.config.issuer.EncryptingAlias soaprecipient La entrada en el archivo de almacén proporcionado en la propiedad TrustStore que contiene el certificado público que se utilizará para cifrar la señal SAML. Cuando se genera una señal autoemitida con las API, un alias establecido en RequesterConfig utilizando el método setKeyAliasForAppliesTo tendrá prioridad sobre el valor proporcionado para esta propiedad.
com.ibm.wsspi.wssecurity.saml.config.issuer.EncryptSAML true

Establezca esta propiedad en true si desea generar una señal SAML cifrada. El valor predeterminado de esta propiedad es false.

Cuando genera una señal autoemitida con las API, también puede indicar que desea cifrar la señal SAML utilizando el método setEncryptSAML(true) en el objeto RequesterConfig. La señal SAML se cifrará si setEncryptSAML=true en el objeto RequesterConfig o si la propiedad personalizada EncryptSAML se establece en true.

com.ibm.wsspi.wssecurity.saml.config.issuer.NameIDProvider com.mycompany.SAML.NameIDProviderImpl Clase de implementación del proveedor de ID de nombre.
Nota: La clase debe implementar javax.security.auth.callback.CallbackHandler. La clase debe recibir el objeto de devolución de llamada com.ibm.websphere.wssecurity.callbackhandler.NameIDCallback y, a continuación, llamar al método setSAMLNameID en ese objeto para actualizar NameID.

Para obtener más información, consulte la sección Personalización de NameID para señales SAML autoemitidas mediante la API.

com.ibm.wsspi.wssecurity.saml.config.issuer.UseSha2ForSignature true Establezca esta propiedad en true para utilizar el algoritmo de firma SHA-2, http://www.w3.org/2001/04/xmldsig-more#rsa-sha256, cuando se firme la señal SAML.

Propiedades personalizadas de cliente de confianza

En la tabla siguiente se enumeran las propiedades personalizadas que se pueden utilizar para configurar el cliente confianza. Cuando se utilizan junto con un generador de señales SAML, estas propiedades personalizadas se añaden al manejador de devolución de llamada del generador de señales SAML.

Tabla 5. Propiedades personalizadas del cliente de confianza. . Esta tabla contiene el nombre de la propiedad personalizada, sus valores y una breve descripción.
Name Valores Descripción
com.ibm.wsspi.wssecurity.trust.client.TrustServiceCacheEntries El valor predeterminado es 1000. El número máximo de entradas de memoria caché de instancia de servicio STS que pueden mantenerse.
com.ibm.wsspi.wssecurity.trust.client.TrustServiceCacheTimeout El valor predeterminado es de 60 minutos. El tiempo, en minutos, en el que una instancia de servicio STS puede conservarse en la memoria caché del lado del cliente.
keyType Pueden especificarse los siguientes keyTypes para WS-Trust 1.2:
  • http://schemas.xmlsoap.org/ws/2005/02/trust/PublicKey
  • http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey

Pueden especificarse los siguientes keyTypes para WS-Trust 1.3:

  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/PublicKey
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
El keyType que se utiliza cuando se realiza una solicitud WS-Trust a STS.
wstrustActAsRequired Los valores válidos son true y false. El valor predeterminado es false. Establezca esta propiedad en true cuando se vaya a insertar una señal SAML en una solicitud STS en el elemento ActAs. La señal SAML debe existir en el sujeto runAs actual o en el objeto de estado compartido de inicio de sesión JAAS. Una señal en el estado compartido de inicio de sesión JAAS tiene prioridad sobre la del sujeto runAs. Si onBehalfOfRequired y actAsRequired se establecen en true, sólo se insertará el elemento OnBehalfOf en la solicitud STS. Para obtener más información, consulte Generación y consumo de señales SAML utilizando módulos de inicio de sesión JAAS apilados.
wstrustActAsTokenType Los valores válidos son http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1 y http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0. El valor predeterminado es el tipo de señal que se está generando con el manejador de devolución de llamada del generador de SAML. Establezca esta propiedad en el tipo de señal de la señal SAML que se va a insertar en el mensaje en el elemento ActAs de la solicitud STS.
wstrustActAsReIssue Los valores válidos son true y false. El valor predeterminado es false. Establezca esta propiedad en true para insertar una señal SAML en el elemento ActAsReIssue que se halla en la solicitud STS o una señal SAML del sujeto runAs que se vuelve a emitir con los valores de firma y cifrado en el manejador de devolución de llamada del generador de SAML. Una señal SAML obtenida de un objeto de estado compartido de inicio de sesión JAAS no puede volverse a emitir.
wstrustClientBinding Esta propiedad personalizada no tiene un valor predeterminado. Un nombre de enlace para el cliente WS-Trust.
wstrustClientBindingScope Esta propiedad personalizada no tiene un valor predeterminado. El ámbito de enlace del conjunto de políticas asociado al cliente WS-Trust.
wstrustClientCollectionRequest Los valores válidos son true o false. El valor predeterminado es false que significa que se utiliza RequestSecurityToken en lugar de RequestSecurityTokenCollection. Utilice esta propiedad personalizada para especificar si es necesaria una RequestSecurityTokenCollection en una solicitud WS-Trust.
wstrustClientPolicy Esta propiedad personalizada no tiene un valor predeterminado. El nombre de conjunto de políticas para un cliente WS-Trust.
wstrustClientSoapVersion Los valores válidos son 1.1 y 1.2. Si no se especifica ningún valor, la versión SOAP toma como valor predeterminado la versión SOAP que el cliente de aplicaciones utiliza. La versión SOAP de una solicitud WS-Trust.
wstrustClientWSTNamespace El valor predeterminado es trust13. Los valores válidos son trust12 y trust13. El espacio de nombres WS-Trust de una solicitud WS-Trust.
wstrustOnBehalfOfRequired Los valores válidos son true y false. El valor predeterminado es false. Establezca esta propiedad en true cuando se vaya a insertar una señal SAML en una solicitud STS en el elemento OnBehalfOf. La señal SAML debe existir en el sujeto runAs actual o en el objeto de estado compartido de inicio de sesión JAAS. Una señal en el estado compartido de inicio de sesión JAAS tiene prioridad sobre la del sujeto runAs. Consulte twbs_gen_con_token_JAAS_mod para obtener más información.
wstrustOnBehalfOfTokenType Los valores válidos son http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1 y http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0. El valor predeterminado es el tipo de señal que se está generando con el manejador de devolución de llamada del generador de SAML. Establezca esta propiedad en el tipo de señal de la señal SAML que se va a insertar en el mensaje en el elemento OnBehalfOf de la solicitud STS.
wstrustOnBehalfOfReIssue Los valores válidos son true y false. El valor predeterminado es false. Establezca esta propiedad en true para insertar una señal SAML en el elemento OnBehalfOf de la solicitud STS, una señal SAML del sujeto runAs que se vuelve a emitir con los valores de firma y cifrado en el manejador de devolución de llamada del generador de SAML. Una señal SAML obtenida de un objeto de estado compartido de inicio de sesión JAAS no puede volverse a emitir.

Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwbs_saml_customproperties
File name: rwbs_saml_customproperties.html