Propiedades personalizadas de señal SAML de seguridad de servicios web
Al configurar una señal SAML de seguridad de servicios web, puede configurar los pares de datos de nombre-valor arbitrarios, en los que el nombre es una clave de propiedad y el valor es un valor de serie que se puede utilizar para establecer propiedades internas de configuración del sistema. Puede utilizar estas propiedades de configuración junto con las opciones proporcionadas en la consola administrativa para controlar cómo se genera o consume la señal SAML.
Para configurar estas propiedades personalizadas de SAML, en la consola administrativa:
- Expanda Servicios.
- Seleccione Proveedor de servicios o Cliente de servicio
- Pulsar la aplicación adecuada en la columna Nombre.
- Pulsar el enlace adecuado en la columna Enlace.
Previamente se debe haber conectado un conjunto de políticas y asignado un enlace.
o
- Expanda Aplicaciones empresariales de WebSphere. y pulse
- Seleccione una aplicación que contenga servicios Web. La aplicación debe contener un proveedor o cliente de servicios.
- En la cabecera Propiedades de servicios web, pulse Enlaces y conjuntos de políticas del proveedor de servicios o Enlaces y conjuntos de políticas de cliente de servicio.
- Seleccione un enlace. Previamente debe haber conectado un conjunto de políticas y asignado un enlace específico de la aplicación.
A continuación, siga estos pasos:
- Pulse WS-Security en la tabla Políticas.
- Bajo el título Enlaces de política de seguridad de mensajes principales, haga clic en Autenticación y protección.
- En el título Señales de autenticación, pulse en el nombre de la señal de autenticación.
Supported configurations: Puede utilizar la señal, que es procesada por el módulo de inicio de sesión de señal de seguridad genérico, sólo para la autenticación. No puede utilizar esta señal como señal de protección.sptcfg
- Bajo la cabecera Enlaces adicionales, pulse Manejador de devolución de llamada.
- Bajo la cabecera Propiedades personalizadas, especifique los pares de nombre y valor.
Las secciones siguientes listan las propiedades personalizadas e indican cómo se utiliza cada propiedad personalizada.
- Propiedades personalizadas de generador de señal SAML
- Propiedades personalizadas de consumidor de señal SAML
- Propiedades personalizadas de señal SAML tanto para el generador como para el consumidor de señales
- Propiedades del generador de señales SAML para las señales autoemitidas
- Propiedades personalizadas de cliente de confianza
Propiedades personalizadas de generador de señal SAML
En la tabla siguiente se enumeran las propiedades personalizadas del manejador de devolución de llamada que solo se pueden utilizar para configurar los enlaces del generador de señales SAML.
Name | Valores | Descripción |
---|---|---|
appliesTo | Esta propiedad personalizada no tiene un valor predeterminado. | Especifica el valor AppliesTo que se utiliza para la señal SAML solicitada cuando se utiliza una API WSS. |
audienceRestriction | Los valores válidos son true y false. El comportamiento predeterminado es true, que incluye AudienceRestrictionCondition en la señal SAML. | Esta propiedad sólo se aplica a señales SAML autoemitidas. Utilice esta propiedad personalizada para especificar si el elemento AudienceRestrictionCondition se incluye en la señal SAML. |
authenticationMethod | Esta propiedad personalizada no tiene un valor predeterminado. | Esta propiedad sólo se aplica a señales SAML autoemitidas. Utilice esta propiedad personalizada para especificar el valor del atributo AuthenticationMethod del elemento AuthenticationStatement en la señal SAML. Cuando esta propiedad personalizada se especifica, el asunto será incluye en un elemento AuthenticationStatement en lugar de un elemento AttributeStatement. |
com.ibm.webservices.wssecurity.platform.SAMLIssuerConfigDataPath | Esta propiedad personalizada no tiene un valor predeterminado. | Utilice esta propiedad personalizada para especificar los datos de configuración necesarios al generar una señal SAML autoemitida. |
cacheCushion | El valor por omisión es 5 minutos. | La cantidad de tiempo, en minutos, en que se debe emitir una nueva señal antes del tiempo de caducidad de una señal de SAML. Por ejemplo, si cacheCushion se establece en 5 minutos y la señal SAML caducará en 2 minutos, no se reutilizará; se emitirá una nueva señal SAML. Cuando el tiempo de ejecución está en proceso de incluir en la memoria caché una señal SAML, una señal de que está más allá de la protección de memoria caché no se almacena en la memoria caché. |
cacheToken | Los valores válidos son true y false. El comportamiento predeterminado es true, que permite el almacenamiento en memoria caché de la señal SAML para su reutilización. | Utilice esta propiedad personalizada para especificar si una señal SAML puede almacenarse en memoria caché para reutilizarla. |
com.ibm.webservices.wssecurity.platform.SAMLIssuerConfigDataPath | El valor predeterminado es ${USER_INSTALL_ROOT}/config/cells/${WAS_CELL_NAME}/sts/SAMLIssuerConfig.properties | La vía de acceso de archivo de los datos de configuración que se utilizan cuando se genera una señal SAML autoemitida. |
com.ibm.wsspi.wssecurity.saml.client.SamlTokenCacheEntries | El valor predeterminado es 250. | Utilice esta propiedad personalizada de JVM para especificar el número máximo de entradas de memoria caché que se pueden mantener. |
com.ibm.wsspi.wssecurity.saml.client.SamlTokenCacheTimeout | El valor predeterminado es de 60 minutos. | Esta propiedad sólo se utiliza para las señales SAML cuya hora de caducidad se desconoce (señales que están cifradas o cuando no se incluye una caducidad con la señal en la respuesta del STS). Para las señales SAML cuya hora de caducidad se desconoce, SamlTokenCacheTimeout se utiliza para sustituir la hora de caducidad. Para obtener una nueva señal SAML que entrará en la memoria caché con estos criterios, su hora de caducidad será (hora_actual)+SamlTokenCacheTimeout. Las condiciones descritas para la propiedad cacheCushion se seguirán aplicando, por lo que debe tener en cuenta el valor de cacheCushion al modificar el valor de SamlTokenCacheTimeout. |
com.ibm.wsspi.wssecurity.saml.get.SamlToken y com.ibm.wsspi.wssecurity.saml.put.SamlToken | Los valores válidos son true o false. El valor predeterminado es false. | |
confirmationMethod | Los valores válidos son bearer, holder-of-key y sender-vouches. El valor predeterminado es bearer. | El asunto de la señal SAML ConfirmationMethod. |
com.ibm.wsspi.wssecurity.saml.get.SamlToken | Esta propiedad personalizada no tiene un valor predeterminado. | Utilice esta propiedad personalizada para obtener la señal SAML en RequestContext. |
com.ibm.wsspi.wssecurity.saml.put.SamlToken | Esta propiedad personalizada no tiene un valor predeterminado. | Utilice esta propiedad personalizada para establecer el nombre de señal SAML en RequestContext. |
failOverToTokenRequest | Los valores válidos son true o false. El valor predeterminado es true, que significa que la ejecución de seguridad de servicios web siempre emite una nueva señal SAML si la señal de entrada no es válida. | Utilice esta propiedad personalizada para especificar si el entorno de ejecución de seguridad de servicios web debe utilizar el conjunto de políticas asociado para emitir una nueva señal SAML si la señal SAML de entrada de RequestContext no es válida. |
recipientAlias | Esta propiedad personalizada no tiene un valor predeterminado. | El alias del servicio de destino de un certificado. |
signToken | Los valores válidos son true y false. Esta propiedad personalizada no tiene un valor predeterminado. | Utilice esta propiedad personalizada para especificar si una señal SAML debe firmarse con un mensaje de aplicación. |
sslConfigAlias | Si no se especifica un valor para esta propiedad, se utiliza el alias SSL predeterminado definido en la configuración SSL del
sistema. Esta propiedad es opcional. |
El alias de una configuración SSL que un cliente de WS-Trust utiliza para solicitar una señal SAML. |
stsURI | Esta propiedad personalizada no tiene un valor predeterminado. | La dirección del servicio de señales de seguridad (STS). |
keySize | Esta propiedad personalizada no tiene un valor predeterminado. | El tamaño de clave (KeySize) cuando se solicita una clave secreta (SecretKey) de STS. |
tokenRequest | Los valores válidos son issue, propagation, issueByWSCredential e issueByWSPrincipal. El valor predeterminado es issue. | El método de solicitud de SAMLToken. Para obtener más información sobre los valores que se pueden especificar para esta propiedad, consulte el tema Propagación de señales SAML |
tokenType | Esta propiedad personalizada no tiene un valor predeterminado. | Utilice esta propiedad personalizada para establecer el tipo señal necesario en SAMLGenerateCallback. |
usekeyType | Esta propiedad personalizada es opcional. Los valores válidos son KeyValue, X509Certificate y X509IssuerSerial. | Utilice esta propiedad personalizada para especificar el tipo de Usekey, que indica al cliente que debe generar un tipo específico de información de clave. |
WSSConsumingContext | Esta propiedad personalizada no tiene un valor predeterminado. | Utilice esta propiedad personalizada para especificar el objeto WSSConsumingContext que el cliente de WS-Trust utiliza para solicitar una señal SAML. |
WSSGenerationContext | Esta propiedad personalizada no tiene un valor predeterminado. | Utilice esta propiedad personalizada para especificar el objeto WSSGenerationContext que el cliente de WS-Trust utiliza para solicitar una señal SAML. |
NameID | Esta propiedad personalizada no tiene un valor predeterminado. | Esta propiedad establece el NameID en el sujeto de una señal SAML autoemitida. Cuando el generador se configura para autoemitir una señal, si no se especifica la propiedad NameID, se intenta generar una señal a partir de una señal SAML en el sujeto runAs. Si no hay ninguna señal SAML en el sujeto runAs, la señal se crea desde cero y el NameID en el sujeto se establecerá en UNAUTHENTICATED. Para obtener más información sobre la generación de señales SAML autoemitidas utilizando los valores de los enlaces de WS-Security, consulte Propiedades de configuración del emisor de SAML. |
Propiedades personalizadas de consumidor de señal SAML
En la tabla siguiente se enumeran las propiedades personalizadas del manejador de devolución de llamada que solo se pueden utilizar para configurar los enlaces del consumidor de señal SAML.
Name | Valores | Descripción |
---|---|---|
allowUnencKeyInHok | Los valores válidos son true o false. El valor predeterminado es true, que significa que se permiten claves sin cifrar. | Utilice esta propiedad para indicar al consumidor de señales SAML que acepte una clave cifrada en una señal de poseedor de clave SAML. |
com.ibm.wsspi.wssecurity.saml.signature.SignatureCacheEntries | Un entero. El valor predeterminado es 1000. | El número de entradas de memoria caché de firma que pueden mantenerse para una señal de consumidor SAML. |
com.ibm.wsspi.wssecurity.saml.signature.SignatureCacheTimeout | Un entero. El valor predeterminado es de 60 minutos. | El número de minutos que una señal SAML debe almacenarse en la memoria caché. No es necesario repetir una validación de firmas mientras la señal SAML está almacenada en memoria caché. |
keyAlias | Esta propiedad personalizada no tiene un valor predeterminado. | Alias de la clave privada de descifrado según se define en el archivo de almacén de claves. |
keyName | Esta propiedad personalizada no tiene un valor predeterminado. | Nombre de la clave privada de descifrado según se define en el archivo de almacén de claves. Este nombre es para referencia y no se evalúa en tiempo de ejecución. |
keyPassword | Esta propiedad personalizada no tiene un valor predeterminado. | La contraseña de la clave privada de descifrado tal como se ha definido en el archivo de almacén de claves (la contraseña debe estar codificada con XOR). Para obtener más información, consulte la codificación de contraseñas en archivos. |
keyStorePassword | Esta propiedad personalizada no tiene un valor predeterminado. | La contraseña del archivo de almacén de claves. La contraseña puede estar codificada con XOR. Para obtener más información, consulte la codificación de contraseñas en archivos. |
keyStorePath | Esta propiedad personalizada no tiene un valor predeterminado. | La vía de acceso del archivo de almacén de claves que contiene la clave de descifrado. |
keyStoreRef | Esta propiedad personalizada no tiene un valor predeterminado. | Una referencia a un almacén de claves gestionado en security.xml que contiene la clave de descifrado. Ejemplo: name=myKeyStoreRef managementScope=(cell):myCell:(node):myNode |
keyStoreType | Esta propiedad personalizada no tiene un valor predeterminado. | El tipo del almacén de claves del archivo de almacén de claves. |
signatureRequired | El valor predeterminado es true. | Utilice esta propiedad personalizada para especificar si es necesaria una firma en una aserción SAML. |
trustAnySigner | El valor predeterminado es false. | Utilice esta propiedad personalizada para especificar si un destinatario puede confiar en los certificados que firman aserciones SAML. |
trustedAlias | Esta propiedad personalizada no tiene un valor predeterminado. | El alias del certificado STS de confianza para una señal de consumidor SAML. |
trustedIssuer_ | El nombre se especifica como trustedIssuer_n donde n es un entero. Esta propiedad personalizada no tiene un valor predeterminado. | El nombre de un emisor de confianza. |
trustedSubjectDN_ | El valor especificado debe estar en el formato trustedSubjectDN_n, donde n es un entero. Esta propiedad personalizada no tiene un valor predeterminado. | El nombre SubjectDN del X509Certificate del emisor de confianza. |
trustStorePassword | Esta propiedad personalizada no tiene un valor predeterminado. | La contraseña de almacén de confianza para una señal de consumidor SAML. |
trustStorePath | Esta propiedad personalizada no tiene un valor predeterminado. | La vía de acceso del almacén de confianza para una señal de consumidor SAML. |
trustStoreRef | Esta propiedad personalizada no tiene un valor predeterminado. | La referencia de almacén de confianza para una señal de consumidor SAML. Ejemplo: name=myTrustStoreRef managementScope=(cell):myCell:(node):myNode |
trustStoreType | Esta propiedad personalizada no tiene un valor predeterminado. | El tipo de almacén de claves del almacén de confianza. |
validateAudienceRestriction | Los valores válidos son true o false. El valor predeterminado es false que significa que no es necesaria una validación de aserción AudienceRestriction. | Utilice esta propiedad personalizada para especificar si se debe validar una aserción AudienceRestriction. |
validateOneTimeUse | Los valores válidos son true o false. El valor predeterminado es true, que significa que es necesaria la validación de aserción OneTimeUse. | Utilice esta propiedad personalizada para especificar si debe validarse una aserción OneTimeUse en SAML 2.0 o DoNotCacheCondition en SAML 1.1. |
CRLPATH | Esta propiedad personalizada no tiene un valor predeterminado. | La vía de acceso de archivo de la lista de certificados revocados para una señal de consumidor SAML. |
X509PATH | Esta propiedad personalizada no tiene un valor predeterminado. | La vía de acceso de archivo del certificado X509 intermedio para una señal de consumidor SAML. |
CRLPATH_ | El valor especificado debe estar en el formato trustedSubjectDN_n, donde n es un entero. Esta propiedad personalizada no tiene un valor predeterminado. | La vía de acceso de archivo de la lista de certificados X509 revocados para una señal de consumidor SAML. |
X509PATH_ | El valor especificado debe estar en el formato X509_víaAcceso_n, donde n es un entero. Esta propiedad personalizada no tiene un valor predeterminado. | La vía de acceso de archivo del certificado X509 intermedio para una señal de consumidor SAML. |
Propiedades personalizadas de señal SAML tanto para el generador como para el consumidor de señales
La siguiente tabla lista las propiedades personalizadas del manejador de devolución de llamada que se pueden utilizar para configurar enlaces tanto de generador como de consumidor de señales SAML.
Name | Valores | Descripción |
---|---|---|
clockSkew | El valor predeterminado es 3 minutos. | El tiempo, en minutos, de un ajuste en los tiempos
de la señal SAML autoemitida que el SAMLGenerateLoginModule crea. La propiedad personalizada clockSkew se establece en el manejador de devolución de llamada del generador de señales SAML que utiliza la clase SAMLGenerateLoginModule. El valor especificado para esta propiedad personalizada debe ser numérico y se especifica en minutos. Cuando se
especifica un valor para esta propiedad personalizada, se realizan estos ajustes de tiempo en la señal SAML
autoemitida que el SAMLGenerateLoginModule crea:
|
clientLabel | Esta propiedad personalizada no tiene un valor predeterminado. | La etiqueta de cliente, en bytes, que debe utilizarse para las claves derivadas siempre que se utilice una API WSS con la señal SAML solicitada. |
serviceLabel | Esta propiedad personalizada no tiene un valor predeterminado. | La etiqueta de servicio, en bytes, que debe utilizarse para las claves derivadas siempre que se utilice una API WSS con la señal SAML solicitada. |
keylength | Esta propiedad personalizada no tiene un valor predeterminado. | La longitud de clave derivada, en bytes, que debe utilizarse para las claves derivadas siempre que se utilice una API WSS con la señal SAML solicitada. |
nonceLength | El valor por omisión es 128. | La longitud de nonce derivada, en bytes, que debe utilizarse para las claves derivadas siempre que se utilice una API WSS con la señal SAML solicitada. |
requireDKT | El valor predeterminado es false. | Utilice esta propiedad personalizada para especificar una opción para las claves derivadas siempre que se utilice una API WSS con la señal SAML solicitada. |
useImpliedDKT | El valor predeterminado es false. | Utilice esta propiedad personalizada para especificar una opción utilizada con claves derivadas implicadas siempre que se utilice una API WSS con la señal SAML solicitada. |
Propiedades del generador de señales SAML para las señales autoemitidas
En la tabla siguiente se enumeran las propiedades personalizadas del manejador de devolución de llamada que solo se pueden utilizar para configurar los enlaces del generador de señales SAML para las señales SAML autoemitidas.
Nombre de la propiedad de enlaces de política | Valor de propiedad de ejemplo | Descripción de la propiedad |
---|---|---|
com.ibm.wsspi.wssecurity.saml.config.issuer.oldEnvelopedSignature | true | Utilícese solamente si está estableciendo la propiedad personalizada de JVM com.ibm.wsspi.wssecurity.dsig.enableEnvelopedSignatureProperty en true. Consulte el tema Propiedades personalizadas de la máquina virtual Java (JVM) si desea una descripción del momento en que puede utilizar esta propiedad personalizada de JVM. |
com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerFormat | urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName | Valor para el atributo Format del elemento Emisor en la señal SAML. Nota: Si desea añadir el atributo Format al elemento Emisor, deberá especificar esta propiedad.
|
com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerURI | http://www.websphere.ibm.com/SAML/SelfIssuer | URI del emisor. |
com.ibm.wsspi.wssecurity.saml.config.issuer.TimeToLiveMilliseconds | 3600000 | Periodo de tiempo antes de que caduque la señal. Esta propiedad se utiliza para establecer los atributos de NotOnOrAfter en la señal. NotOnOrAfter se establece en (horaActual)+TiempoDeVida+(desfaseHorarioActual). |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreRef | name=myKeyStoreRef managementScope=(cell):myCell:(node):myNode | Una referencia a un almacén de claves gestionado en security.xml que contiene la clave de firma. |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePath | raíz_servidor_aplicaciones/etc/ws-security/samples/dsig-receiver.ks | La ubicación del archivo de almacén de claves que contiene la clave de firma. Nota: Debe modificar el valor predeterminado para que coincida con la ubicación de vía
de acceso para el sistema.
|
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreType | JKS | El tipo de almacén de claves. |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePassword | contraseña | La contraseña del archivo de almacén de claves (la contraseña debe estar codificada con XOR). Para obtener más información, consulte la codificación de contraseñas en archivos. |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyAlias | soapprovider | Alias de la clave privada de firma según se define en el archivo de almacén de claves. |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyName | CN=SOAPProvider, OU=TRL, O=IBM, ST=Kanagawa, C=JP | Nombre de la clave privada de firma según se define en el archivo de almacén de claves. Este nombre es para referencia y no se evalúa en tiempo de ejecución. |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyPassword | contraseña | La contraseña de la clave privada tal como se ha definido en el archivo de almacén de claves (la contraseña debe estar codificada con XOR). |
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreRef | name=myTrustStoreRef managementScope=(cell):myCell:(node):myNode | Una referencia a un almacén de claves gestionado en security.xml que contiene el certificado de cifrado. |
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePath | raíz_servidor_aplicaciones/etc/ws-security/samples/dsig-receiver.ks | La ubicación del archivo de almacén que contiene el certificado de cifrado. Nota: Debe modificar el valor predeterminado para que coincida con la ubicación de vía
de acceso para el sistema.
|
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreType | JKS | El tipo de almacén del archivo de almacén que contiene el certificado de cifrado. |
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePassword | contraseña | La contraseña del archivo de almacén que contiene el certificado de cifrado. |
com.ibm.wsspi.wssecurity.saml.config.issuer.AttributeProvider | com.mycompany.SAML.AttributeProviderImpl | Clase de implementación del proveedor de atributo. Nota: La clase debe implementar javax.security.auth.callback.CallbackHandler.
La clase debe recibir el objeto de devolución de llamada com.ibm.websphere.wssecurity.callbackhandler.Saml20AttributeCallback o com.ibm.websphere.wssecurity.callbackhandler.Saml11AttributeCallback y, a continuación, actualizar la lista SAMLAttribute recibida del método getSAMLAttributes invocado desde ese objeto.
Para obtener más información, consulte la sección Adición de atributos a señales SAML autoemitidas mediante la API. |
com.ibm.wsspi.wssecurity.saml.config.issuer.EncryptingAlias | soaprecipient | La entrada en el archivo de almacén proporcionado en la propiedad TrustStore que contiene el certificado público que se utilizará para cifrar la señal SAML. Cuando se genera una señal autoemitida con las API, un alias establecido en RequesterConfig utilizando el método setKeyAliasForAppliesTo tendrá prioridad sobre el valor proporcionado para esta propiedad. |
com.ibm.wsspi.wssecurity.saml.config.issuer.EncryptSAML | true | Establezca esta propiedad en true si desea generar una señal SAML cifrada. El valor predeterminado de esta propiedad es false. Cuando genera una señal autoemitida con las API, también puede indicar que desea cifrar la señal SAML utilizando el método setEncryptSAML(true) en el objeto RequesterConfig. La señal SAML se cifrará si setEncryptSAML=true en el objeto RequesterConfig o si la propiedad personalizada EncryptSAML se establece en true. |
com.ibm.wsspi.wssecurity.saml.config.issuer.NameIDProvider | com.mycompany.SAML.NameIDProviderImpl | Clase de implementación del proveedor de ID de nombre. Nota: La clase debe implementar javax.security.auth.callback.CallbackHandler.
La clase debe recibir el objeto de devolución de llamada com.ibm.websphere.wssecurity.callbackhandler.NameIDCallback y, a continuación, llamar al método setSAMLNameID en ese objeto para actualizar NameID.
Para obtener más información, consulte la sección Personalización de NameID para señales SAML autoemitidas mediante la API. |
com.ibm.wsspi.wssecurity.saml.config.issuer.UseSha2ForSignature | true | Establezca esta propiedad en true para utilizar el algoritmo de firma SHA-2, http://www.w3.org/2001/04/xmldsig-more#rsa-sha256, cuando se firme la señal SAML. |
Propiedades personalizadas de cliente de confianza
En la tabla siguiente se enumeran las propiedades personalizadas que se pueden utilizar para configurar el cliente confianza. Cuando se utilizan junto con un generador de señales SAML, estas propiedades personalizadas se añaden al manejador de devolución de llamada del generador de señales SAML.
Name | Valores | Descripción |
---|---|---|
com.ibm.wsspi.wssecurity.trust.client.TrustServiceCacheEntries | El valor predeterminado es 1000. | El número máximo de entradas de memoria caché de instancia de servicio STS que pueden mantenerse. |
com.ibm.wsspi.wssecurity.trust.client.TrustServiceCacheTimeout | El valor predeterminado es de 60 minutos. | El tiempo, en minutos, en el que una instancia de servicio STS puede conservarse en la memoria caché del lado del cliente. |
keyType | Pueden especificarse los siguientes keyTypes para WS-Trust 1.2:
Pueden especificarse los siguientes keyTypes para WS-Trust 1.3:
|
El keyType que se utiliza cuando se realiza una solicitud WS-Trust a STS. |
wstrustActAsRequired | Los valores válidos son true y false. El valor predeterminado es false. | Establezca esta propiedad en true cuando se vaya a insertar una señal SAML en una solicitud STS en el elemento ActAs. La señal SAML debe existir en el sujeto runAs actual o en el objeto de estado compartido de inicio de sesión JAAS. Una señal en el estado compartido de inicio de sesión JAAS tiene prioridad sobre la del sujeto runAs. Si onBehalfOfRequired y actAsRequired se establecen en true, sólo se insertará el elemento OnBehalfOf en la solicitud STS. Para obtener más información, consulte Generación y consumo de señales SAML utilizando módulos de inicio de sesión JAAS apilados. |
wstrustActAsTokenType | Los valores válidos son http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1 y http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0. El valor predeterminado es el tipo de señal que se está generando con el manejador de devolución de llamada del generador de SAML. | Establezca esta propiedad en el tipo de señal de la señal SAML que se va a insertar en el mensaje en el elemento ActAs de la solicitud STS. |
wstrustActAsReIssue | Los valores válidos son true y false. El valor predeterminado es false. | Establezca esta propiedad en true para insertar una señal SAML en el elemento ActAsReIssue que se halla en la solicitud STS o una señal SAML del sujeto runAs que se vuelve a emitir con los valores de firma y cifrado en el manejador de devolución de llamada del generador de SAML. Una señal SAML obtenida de un objeto de estado compartido de inicio de sesión JAAS no puede volverse a emitir. |
wstrustClientBinding | Esta propiedad personalizada no tiene un valor predeterminado. | Un nombre de enlace para el cliente WS-Trust. |
wstrustClientBindingScope | Esta propiedad personalizada no tiene un valor predeterminado. | El ámbito de enlace del conjunto de políticas asociado al cliente WS-Trust. |
wstrustClientCollectionRequest | Los valores válidos son true o false. El valor predeterminado es false que significa que se utiliza RequestSecurityToken en lugar de RequestSecurityTokenCollection. | Utilice esta propiedad personalizada para especificar si es necesaria una RequestSecurityTokenCollection en una solicitud WS-Trust. |
wstrustClientPolicy | Esta propiedad personalizada no tiene un valor predeterminado. | El nombre de conjunto de políticas para un cliente WS-Trust. |
wstrustClientSoapVersion | Los valores válidos son 1.1 y 1.2. Si no se especifica ningún valor, la versión SOAP toma como valor predeterminado la versión SOAP que el cliente de aplicaciones utiliza. | La versión SOAP de una solicitud WS-Trust. |
wstrustClientWSTNamespace | El valor predeterminado es trust13. Los valores válidos son trust12 y trust13. | El espacio de nombres WS-Trust de una solicitud WS-Trust. |
wstrustOnBehalfOfRequired | Los valores válidos son true y false. El valor predeterminado es false. | Establezca esta propiedad en true cuando se vaya a insertar una señal SAML en una solicitud STS en el elemento OnBehalfOf. La señal SAML debe existir en el sujeto runAs actual o en el objeto de estado compartido de inicio de sesión JAAS. Una señal en el estado compartido de inicio de sesión JAAS tiene prioridad sobre la del sujeto runAs. Consulte twbs_gen_con_token_JAAS_mod para obtener más información. |
wstrustOnBehalfOfTokenType | Los valores válidos son http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1 y http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0. El valor predeterminado es el tipo de señal que se está generando con el manejador de devolución de llamada del generador de SAML. | Establezca esta propiedad en el tipo de señal de la señal SAML que se va a insertar en el mensaje en el elemento OnBehalfOf de la solicitud STS. |
wstrustOnBehalfOfReIssue | Los valores válidos son true y false. El valor predeterminado es false. | Establezca esta propiedad en true para insertar una señal SAML en el elemento OnBehalfOf de la solicitud STS, una señal SAML del sujeto runAs que se vuelve a emitir con los valores de firma y cifrado en el manejador de devolución de llamada del generador de SAML. Una señal SAML obtenida de un objeto de estado compartido de inicio de sesión JAAS no puede volverse a emitir. |