Propiedades personalizadas de TAI de entrada Web SAML
Las propiedades personalizadas de TAI (interceptor de asociación de confianza) de entrada Web SAML se utilizan para determinar el comportamiento del TAI de entrada Web y para procesar la señal SAML recibida en la solicitud web de entrada.
Las tablas siguientes listan las propiedades personalizadas del TAI de entrada Web SAML. Puede definir estas propiedades en el panel Propiedades personalizadas del TAI de entrada Web SAML utilizando la consola administrativa.
Las propiedades se agrupan en dos categorías:
- Propiedades obligatorias: sin definir estas propiedades, el TAI de entrada Web SAML no se inicializará.
- Propiedades opcionales: estas propiedades toman de forma predeterminada el valor indicado. Se utilizan para ajustar el comportamiento del TAI de entrada Web SAML.
Propiedades obligatorias
Nombre de propiedad | Valores | Descripción |
---|---|---|
headerName | Puede especificar cualquier valor de serie. Esta propiedad no tiene un valor predeterminado. | Esta propiedad especifica una lista de nombres de cabecera de la solicitud de entrada que el TAI buscará para extraer la señal SAML. Puede
especificar un solo nombre o varios nombres de cabecera separados por una coma o "|". Ejemplo: headerName=señal_saml headerName=cabecera uno, cabecera dos headerName=señal saml1|señal saml2|señal_saml3 |
Propiedades opcionales
Nombre de propiedad | Valores | Descripción |
---|---|---|
setLtpaCookie | Puede especificar uno de los siguientes valores:
|
Esta propiedad especifica si el TAI de entrada Web SAML debe establecer la señal LTPA en la respuesta. De forma predeterminada, el TAI no establecerá la cookie LTPA en la respuesta. |
signatureAlgorithm | Puede especificar uno de los siguientes valores:
|
Esta propiedad especifica el algoritmo que se utiliza para firmar la señal SAML. Si esta propiedad especifica SHA256, la señal SAML de la solicitud debe estar firmada con el algoritmo de firma SHA256; de lo contrario. la solicitud es rechazada. |
clockSkew | Puede especificar cualquier número positivo. El valor predeterminado es 3 minutos. | Esta propiedad especifica el desfase horario permitido en milisegundos cuando se valida la señal SAML. |
userIdentifier | De forma predeterminada, esta propiedad se establece en el valor del atributo NameID del sujeto SAML. | Esta propiedad especifica el nombre del atributo SAML cuyo valor se utiliza como ID de usuario. Ejemplo: userIdentifier=RunAsUser |
mapIdentityToRegistryUser | Puede especificar uno de los siguientes valores:
|
Cuando esta propiedad se establece en false, el sujeto de WebSphere se rellena
con el usuario y los grupos especificados en la aserción SAML. Cuando esta propiedad se establece en true, el TAI de entrada Web SAML correlaciona el usuario de la señal SAML con el mismo usuario del registro de usuarios de WebSphere. Para ello, es necesario que todos los usuarios se mantengan en el registro de usuarios de WebSphere. |
groupIdentifier | Puede especificar cualquier valor de serie.Esta propiedad no tiene un valor predeterminado. | Esta propiedad especifica el nombre del atributo SAML cuyos valores se incluyen como miembros de grupo en el sujeto. |
realmIdentifier | De forma predeterminada, esta propiedad se establece en el nombre de emisor SAML. | Esta propiedad especifica el nombre del atributo SAML cuyo valor se utiliza como reino de sujeto. Si no se especifica esta propiedad, el nombre del emisor SAML se utiliza como nombre de reino. |
realmName | Puede especificar cualquier valor de serie.Esta propiedad no tiene un valor predeterminado. | Esta propiedad especifica el nombre de reino que debe utilizarse para la aserción SAML. Si se especifican las propiedades realmIdentifier y realmName, la propiedad realmName altera temporalmente el valor de realmIdentifier. |
filter | Esta propiedad no tiene un valor predeterminado. | Esta propiedad se utiliza para especificar una condición, que se comprueba comparándola con la solicitud web, para determinar si la solicitud se ha seleccionado para el procesamiento mediante el TAI de entrada web SAML. |
audiences | Aquí puede especificar una lista separada por comas de valores de URI. Esta propiedad no tiene un valor predeterminado. | Esta propiedad especifica una lista de URI de destinatario permitidos que se compara con la lista de URI de destinatario especificados por el
elemento
<AudienceRestriction> en la aserción SAML. La validación de señal SAML falla si ninguno de los URI de esta lista existe en la
aserción SAML. Ejemplo: filter=”request-url%=helloworld” |
trustStore | Esta propiedad no tiene un valor predeterminado. | Esta propiedad especifica el almacén de confianza para validar la firma SAML. Especifica el nombre de un almacén de claves gestionado. |
keyStore | Esta propiedad no tiene un valor predeterminado. | Esta propiedad especifica el nombre del almacén de claves gestionado que contiene la clave privada para descifrar una aserción SAML cifrada. |