Propriétés personnalisées du jeton SAML de sécurité de services Web
Lorsque vous configurez un jeton SAML de sécurité de services Web, vous pouvez configurer des paires de données nom-valeur, dans lesquelles le nom est une clé de propriété et la valeur une chaîne, pouvant être utilisées pour définir des propriétés de configuration du système interne. Vous pouvez utiliser ces propriétés de configuration, de pair avec les options proposées dans la console d'administration, pour contrôler la manière dont le jeton SAML est généré ou consommé.
Pour configurer ces propriétés SAML personnalisées, dans la console d'administration :
- Développez Services.
- Sélectionnez Fournisseur de service ou Client de service
- Cliquez sur l'application appropriée dans la colonne Nom.
- Cliquez sur la liaison appropriée dans la colonne Liaison.
Au préalable, il est nécessaire d'associer un ensemble de règles et d'affecter une liaison.
ou
- Cliquez sur Applications d'entreprise WebSphere. , puis sur
- Sélectionnez une application contenant des services Web. Cette application doit contenir un fournisseur de services ou un client de service.
- Sous l'en-tête Propriétés des services Web, cliquez sur Liaisons et ensemble de règles du fournisseur de services ou sur Liaisons et ensembles de règles de client de service.
- Sélectionnez une liaison. Vous devez avoir précédemment associé un ensemble de règles et affecté une liaison spécifique à l'application.
Puis, effectuez les opérations suivantes :
- Cliquez sur WS-Security dans la table des règles.
- Sous l'en-tête Liaisons de la règle de sécurité du message, cliquez sur Authentification et protection.
- Sous l'en-tête Jetons d'authentification,
cliquez sur le nom du jeton d'authentification.
Configurations prises en charge: Vous pouvez utiliser le jeton, qui est traité par le module de connexion du jeton de sécurité générique, uniquement à des fins d'authentification. Vous ne pouvez pas utiliser le jeton comme un jeton de protection.sptcfg
- Sous l'en-tête Additional Bindings (Liaisons supplémentaires, cliquez sur Gestionnaire d'appel.
- Sous l'en-tête Propriétés personnalisées, entrez les paires de nom et de valeur.
Les sections suivantes répertorient les propriétés personnalisées et indiquent comment chaque propriété personnalisée est utilisée.
- Propriétés personnalisées de générateur de jeton SAML
- Propriétés personnalisées de consommateur de jeton SAML
- Propriétés personnalisées de jeton SAML pour le générateur de jeton et le consommateur de jeton
- Propriétés de générateur de jeton SAML pour des jetons auto-générés
- Propriétés personnalisées du client sécurisé
Propriétés personnalisées de générateur de jeton SAML
Le tableau suivant recense les propriétés personnalisées du gestionnaire d'appel qui seules peuvent être utilisées pour configurer les liaisons de générateur de jeton SAML.
Chaîne | Valeurs | Description |
---|---|---|
appliesTo | Cette propriété personnalisée ne possède pas de valeur par défaut. | Spécifie la valeur AppliesTo à utiliser pour le jeton SAML demandé lorsqu'une API WSS est utilisée. |
audienceRestriction | Les valeurs admises sont true et false. Le comportement par défaut est true et inclut AudienceRestrictionCondition dans le même jeton SAML. | Cette propriété s'applique aux jetons SAML auto-générés seulement. Utilisez cette propriété personnalisée pour spécifier si l'élément AudienceRestrictionCondition est inclus dans le jeton SAML. |
authenticationMethod | Cette propriété personnalisée ne possède pas de valeur par défaut. | Cette propriété s'applique aux jetons SAML auto-générés seulement. Utilisez cette propriété personnalisée pour spécifier la valeur de l'attribut AuthenticationMethod dans l'élément AuthenticationStatement du jeton SAML. Lorsque cette propriété personnalisée est spécifiée, le sujet est contenu dans un élément AuthenticationStatement au lieu d'un élément AttributeStatement. |
com.ibm.webservices.wssecurity.platform.SAMLIssuerConfigDataPath | Cette propriété personnalisée ne possède pas de valeur par défaut. | Utilisez cette propriété personnalisée pour spécifier les données de configuration requises lors de la génération d'un jeton SAML auto-généré. |
cacheCushion | La valeur par défaut est de 5 minutes. | Délai, exprimé en minutes, au terme duquel un jeton SAML arrive à expiration et un nouveau jeton est émis. Par exemple, si l'attribut cacheCushion a pour valeur 5 minutes et que le jeton SAML arrive à expiration dans 2 minutes, ce dernier n'est pas réutilisé ; un nouveau jeton SAML est généré. Au cours de processus de mise en cache d'un jeton SAML, si ce dernier se situe au-delà de la marge de sécurité du cache, il n'est pas mis en cache. |
cacheToken | Les valeurs admises sont true et false. Le comportement par défaut est true, ce qui permet la mise en cache de jeton SAML pour sa réutilisation. | Utilisez cette propriété personnalisée pour spécifier si un jeton SAML peut être mis en cache pour sa réutilisation. |
com.ibm.webservices.wssecurity.platform.SAMLIssuerConfigDataPath | La valeur par défaut est ${USER_INSTALL_ROOT}/config/cells/${WAS_CELL_NAME}/sts/SAMLIssuerConfig.properties | Chemin vers les données de configuration à utiliser lors de la génération d'un jeton SAML auto-généré. |
com.ibm.wsspi.wssecurity.saml.client.SamlTokenCacheEntries | La valeur par défaut est 250. | Utilisez cette propriété personnalisée JVM pour spécifier le nombre maximal d'entrées de cache pouvant être conservées. |
com.ibm.wsspi.wssecurity.saml.client.SamlTokenCacheTimeout | La valeur par défaut est de 60 minutes. | Cette propriété est utilisée seulement pour les jetons SAML pour lesquels le délai d'expiration est inconnu (jetons encryptés ou expiration non incluse avec le jeton dans la réponse du STS). Pour les jetons SAML pour lesquels le délai d'expiration est inconnu, la propriété SamlTokenCacheTimeout est utilisée pour remplacer le délai d'expiration. Le délai d'expiration d'un nouveau jeton SAML mis en cache avec ces critères est (heure_courante)+SamlTokenCacheTimeout. Les conditions décrites pour la propriété cacheCushion s'appliquent ; par conséquent, tenez compte de la valeur de cacheCushion lorsque vous modifiez la valeur de SamlTokenCacheTimeout. |
com.ibm.wsspi.wssecurity.saml.get.SamlToken et com.ibm.wsspi.wssecurity.saml.put.SamlToken | Les valeurs admises sont true ou false. La valeur par défaut est false. | |
confirmationMethod | Les valeurs admises sont bearer, holder-of-key et sender-vouches. La valeur par défaut est bearer. | Méthode de confirmation du sujet de jeton SAML. |
com.ibm.wsspi.wssecurity.saml.get.SamlToken | Cette propriété personnalisée ne possède pas de valeur par défaut. | Utilisez cette propriété personnalisée pour définir le jeton SAML à RequestContext. |
com.ibm.wsspi.wssecurity.saml.put.SamlToken | Cette propriété personnalisée ne possède pas de valeur par défaut. | Utilisez cette propriété personnalisée pour définir le jeton SAML à RequestContext. |
failOverToTokenRequest | Les valeurs admises sont true ou false. La valeur par défaut est true, c'est-à-dire que l'environnement d'exécution de la sécurité des services Web émet toujours un nouveau jeton SAML si celui en entrée n'est pas valide. | Utilisez cette propriété personnalisée pour spécifier si l'environnement d'exécution de la sécurité des services Web doit utiliser l'ensemble de règles associé pour émettre un nouveau jeton SAML si le jeton SAML en entrée dans RequestContext n'est pas valide. |
recipientAlias | Cette propriété personnalisée ne possède pas de valeur par défaut. | Alias de service cible pour un certificat. |
signToken | Les valeurs valides sont true et false. Cette propriété personnalisée ne possède pas de valeur par défaut. | Utilisez cette propriété personnalisée pour spécifier si un jeton SAML doit être signé avec un message d'application. |
sslConfigAlias | Si une valeur n'est pas spécifiée pour cette propriété,
l'alias SSL par défaut défini dans la configuration SSL de votre système est utilisé. Cette propriété est facultative. |
L'alias d'une configuration SSL utilisé oar un client WS-Trust pour demander un jeton SAML. |
stsURI | Cette propriété personnalisée ne possède pas de valeur par défaut. | Adresse STS (SecurityTokenService). |
keySize | Cette propriété personnalisée ne possède pas de valeur par défaut. | Valeur KeySize utilisée lors d'une demande d'objet SecretKey auprès de STS. |
tokenRequest | Les valeurs admises sont issue, propagation,issueByWSCredential et issueByWSPrincipal. Valeur par défaut : issue. | Méthode de demande de jeton SAML. Pour plus d'informations sur les valeurs pouvant être définies pour cette propriété, voir la rubrique Propagation des jetons SAML |
tokenType | Cette propriété personnalisée ne possède pas de valeur par défaut. | Utilisez cette propriété personnalisée pour définir le type de jeton requis à SAMLGenerateCallback |
usekeyType | Cette propriété personnalisée est facultative. Valeurs valides : KeyValue, X509Certificate et X509IssuerSerial. | Utilisez cette propriété personnalisée pour spécifier le type Usekey, lequel indique au client de générer un type spécifique d'information de clé. |
WSSConsumingContext | Cette propriété personnalisée ne possède pas de valeur par défaut. | Utilisez cette propriété personnalisée pour spécifier l'objet WSSConsumingContext que le client WS-Trust utilise pour demander un jeton SAML. |
WSSGenerationContext | Cette propriété personnalisée ne possède pas de valeur par défaut. | Utilisez cette propriété personnalisée pour spécifier l'objet WSSGenerationContext que le client WS-Trust utilise pour demander un jeton SAML. |
NameID | Cette propriété personnalisée ne possède pas de valeur par défaut. | Cette propriété définit la valeur NameID dans le sujet d'un jeton SAML auto-généré. Lorsque le générateur est configuré pour auto-générer un jeton, si la propriété NameID n'est pas spécifiée, le système tente de générer un jeton à partir d'un jeton SAML dans le sujet runAs. Si aucun jeton SAML ne figure dans le sujet runAs, le jeton est créé et la propriété NameID dans le sujet prend la valeur UNAUTHENTICATED. Pour plus d'informations sur la création de jetons SAML auto-générés à l'aide des paramètres des liaisons WS-Security, voir SAML Issuer Config Properties. |
Propriétés personnalisées de consommateur de jeton SAML
Le tableau suivant recense les propriétés personnalisées du gestionnaire d'appel qui seules peuvent être utilisées pour configurer les liaisons de consommateur de jeton SAML.
Chaîne | Valeurs | Description |
---|---|---|
allowUnencKeyInHok | Les valeurs admises sont true ou false. La valeur par défaut est true, ce qui signifie que les clés non chiffrées sont autorisées. | Utilisez cette propriété pour demander au consommateur de jeton SAML d'accepter une clé non chiffrée dans un jeton SAML de type holder-of-key. |
com.ibm.wsspi.wssecurity.saml.signature.SignatureCacheEntries | Un entier. La valeur par défaut est 1000. | Nombre d'entrées de cache de signature pouvant être conservées pour un jeton consommateur SAML. |
com.ibm.wsspi.wssecurity.saml.signature.SignatureCacheTimeout | Un entier. La valeur par défaut est de 60 minutes. | Nombre de minutes pendant lesquelles un jeton SAML doit être gardé en cache. Une validation de signature n'a pas besoin d'être répétée tant que le jeton SAML est en cache. |
keyAlias | Cette propriété personnalisée ne possède pas de valeur par défaut. | Alias de la clé privée de déchiffrement, tel qu'il est défini dans le magasin de clés. |
keyName | Cette propriété personnalisée ne possède pas de valeur par défaut. | Nom de la clé privée de déchiffrement, tel qu'il est défini dans le fichier de clés. Ce nom est donné à titre de référence et n'est pas évalué par l'environnement d'exécution. |
keyPassword | Cette propriété personnalisée ne possède pas de valeur par défaut. | Mot de passe de la clé privée défini de déchiffrement, tel qu'il est défini dans le fichier de clés (le mot de passe doit être codé par la méthode XOR). Pour plus d'informations, consultez la rubrique relative au codage des mots de passe dans les fichiers. |
keyStorePassword | Cette propriété personnalisée ne possède pas de valeur par défaut. | Mot de passe du fichier de clés. Le mot de passe peut être codé par la méthode XOR. Pour plus d'informations, consultez la rubrique relative au codage des mots de passe dans les fichiers. |
keyStorePath | Cette propriété personnalisée ne possède pas de valeur par défaut. | Chemin du fichier de clés qui contient la clé de déchiffrement. |
keyStoreRef | Cette propriété personnalisée ne possède pas de valeur par défaut. | Référence à un fichier de clés géré dans security.xml qui contient la clé de déchiffrement. Exemple : name=myKeyStoreRef managementScope=(cell):myCell:(node):myNode |
keyStoreType | Cette propriété personnalisée ne possède pas de valeur par défaut. | Type du fichier de clés. |
signatureRequired | La valeur par défaut est true. | Utilisez cette propriété personnalisée pour spécifier si une signature est requise sur une assertion SAML. |
trustAnySigner | La valeur par défaut est false. | Utilisez cette propriété personnalisée pour spécifier si un destinataire peut se fier à un certificat signant une assertion SAML. |
trustedAlias | Cette propriété personnalisée ne possède pas de valeur par défaut. | Alias du certificat STS sécurisé pour le jeton consommateur SAML. |
trustedIssuer_ | Le nom est spécifié sous la forme trustedIssuer_n, où n est un entier. Cette propriété personnalisée ne possède pas de valeur par défaut. | Nom d'un émetteur sécurisé. |
trustedSubjectDN_ | La valeur spécifiée doit suivre le format nom_distinctif_sujet_de_confiance_n, où n est un entier. Cette propriété personnalisée ne possède pas de valeur par défaut. | Nom SubjectDN de X509Certificate pour l'émetteur sécurisé. |
trustStorePassword | Cette propriété personnalisée ne possède pas de valeur par défaut. | Mot de passe de fichier de clés certifiées pour un jeton de consommateur SAML. |
trustStorePath | Cette propriété personnalisée ne possède pas de valeur par défaut. | Chemin du mot de passe de fichier de clés certifiées pour un jeton de consommateur SAML. |
trustStoreRef | Cette propriété personnalisée ne possède pas de valeur par défaut. | Référence de fichier de clés certifiées pour un jeton de consommateur SAML. Exemple : name=myTrustStoreRef managementScope=(cell):myCell:(node):myNode |
trustStoreType | Cette propriété personnalisée ne possède pas de valeur par défaut. | Type de magasin de clés pour le fichier de clés certifiées. |
validateAudienceRestriction | Les valeurs admises sont true ou false. La valeur par défaut est false, c'est-à-dire qu'une validation d'assertion AudienceRestriction n'est pas requise. | Utilisez cette propriété personnalisée pour spécifier si une assertion AudienceRestriction doit être validée. |
validateOneTimeUse | Les valeurs admises sont true ou false. La valeur par défaut est true, ce qui signifie que la validation d'assertion OneTimeUse est requise. | Utilisez cette propriété personnalisée pour spécifier si une assertion OneTimeUse dans SAML 2.0 ou une assertion DoNotCacheCondition dans SAML 1.1 doit être validée. |
CRLPATH | Cette propriété personnalisée ne possède pas de valeur par défaut. | Chemin d'accès au fichier de la liste des certificats révoqués pour un jeton de consommateur SAML. |
X509PATH | Cette propriété personnalisée ne possède pas de valeur par défaut. | Chemin d'accès au fichier certificat X509 intermédiaire pour un jeton de consommateur SAML. |
CRLPATH_ | La valeur spécifiée doit suivre le format nom_distinctif_sujet_de_confiance_n, où n est un entier. Cette propriété personnalisée ne possède pas de valeur par défaut. | Chemin d'accès au fichier de la liste des certificats X509 révoqués pour un jeton de consommateur SAML. |
X509PATH_ | La valeur spécifiée doit suivre le format chemin_X509_n, où n est un entier. Cette propriété personnalisée ne possède pas de valeur par défaut. | Chemin d'accès au fichier certificat X509 intermédiaire pour un jeton de consommateur SAML. |
Propriétés personnalisées de jeton SAML pour le générateur de jeton et le consommateur de jeton
Le tableau suivant recense les propriétés personnalisées du gestionnaire d'appel qui peuvent être utilisées pour configurer à la fois les liaisons de générateur de jeton et celles de consommateur de jeton SAML.
Chaîne | Valeurs | Description |
---|---|---|
clockSkew | La valeur par défaut est de 3 minutes. | Délai, exprimé en minutes, d'un réglage des heures dans le jeton SAML auto-généré créé par SAMLGenerateLoginModule. La propriété personnalisée clockSkew est définie sur le gestionnaire d'appel du générateur de jeton SAML qui utilise la classe SAMLGenerateLoginModule. La valeur spécifiée pour cette propriété personnalisée doit être numérique et est indiquée en minutes. Lorsqu'une valeur est indiquée pour cette propriété personnalisée, les ajustements
d'heure sont effectués dans le jeton SAML auto-généré créé par le module SAMLGenerateLoginModule :
|
clientLabel | Cette propriété personnalisée ne possède pas de valeur par défaut. | Libellé du client, en octets, à utiliser pour les clés dérivées chaque fois qu'une API WSS est utilisée avec le jeton SAML demandé. |
serviceLabel | Cette propriété personnalisée ne possède pas de valeur par défaut. | Libellé du service, en octets, à utiliser pour les clés dérivées chaque fois qu'une API WSS est utilisée avec le jeton SAML demandé. |
keylength | Cette propriété personnalisée ne possède pas de valeur par défaut. | Longueur de clé dérivée, en octets, à utiliser pour les clés dérivées chaque fois qu'une API WSS est utilisée avec le jeton SAML demandé. |
nonceLength | La valeur par défaut est 128. | Longueur de nonce dérivé, en octets, à utiliser pour les clés dérivées chaque fois qu'une API WSS est utilisée avec le jeton SAML demandé. |
requireDKT | La valeur par défaut est false. | Utilisez cette propriété personnalisée pour spécifier une option pour les clés dérivées chaque fois qu'une API WSS est utilisée avec le jeton SAML demandé. |
useImpliedDKT | La valeur par défaut est false. | Utilisez cette propriété personnalisée pour spécifier une option pour les clés dérivées impliquées chaque fois qu'une API WSS est utilisée avec le jeton SAML demandé. |
Propriétés de générateur de jeton SAML pour des jetons auto-générés
Le tableau suivant recense les propriétés personnalisées du gestionnaire d'appel qui seules peuvent être utilisées pour configurer les liaisons de générateur de jeton SAML pour des jetons SAML auto-générés.
Nom de la propriété des liaisons de règles | Exemple de valeur | Description de la propriété |
---|---|---|
com.ibm.wsspi.wssecurity.saml.config.issuer.oldEnvelopedSignature | true | A n'utiliser que si vous associez la propriété personnalisée JVM com.ibm.wsspi.wssecurity.dsig.enableEnvelopedSignatureProperty à la valeur true. Voir la rubrique relative aux propriétés personnalisées Java Virtual Machine (JVM) pour savoir quand utiliser cette propriété personnalisée JVM. |
com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerFormat | urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName | Valeur de l'attribut Format de l'élément Issuer dans le jeton SAML.
Remarque : Si vous voulez ajouter l'attribut Format à l'élément Issuer, vous devez spécifier cette propriété.
|
com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerURI | http://www.websphere.ibm.com/SAML/SelfIssuer | URI de l'émetteur. |
com.ibm.wsspi.wssecurity.saml.config.issuer.TimeToLiveMilliseconds | 3600000 | Délai maximum avant l'expiration du jeton. Cette propriété permet de définir les attributs NotOnOrAfter dans le jeton. NotOnOrAfter a pour valeur (currentTime)+TimeToLive+(currentClockSkew). |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreRef | name=myKeyStoreRef managementScope=(cell):myCell:(node):myNode | Référence à un fichier de clés géré dans security.xml qui contient la clé de signature. |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePath | racine_serveur_app/etc/ws-security/samples/dsig-receiver.ks | Emplacement du fichier de clés qui contient la clé de signature. Remarque : Vous devez entrer le chemin correspondant à votre installation à la place de la valeur par défaut.
|
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreType | JKS | Type du fichier de clés. |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePassword | motdepasse | Mot de passe du fichier de clés (le mot de passe doit être codé par la méthode XOR). Pour plus d'informations, consultez la rubrique relative au codage des mots de passe dans les fichiers. |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyAlias | fournisseurSOAP | Alias de la clé privée de siganture, tel que défini dans le magasin de clés. |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyName | CN=SOAPProvider, OU=TRL, O=IBM, ST=Kanagawa, C=JP | Nom de la clé privée de siganture, tel que défini dans le fichier de clés. Ce nom est donné à titre de référence et n'est pas évalué par l'environnement d'exécution. |
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyPassword | motdepasse | Mot de passe de la clé privée défini dans le fichier de clés (le mot de passe doit être codé par la méthode XOR). |
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreRef | name=myTrustStoreRef managementScope=(cell):myCell:(node):myNode | Référence à un fichier de clés géré dans security.xml qui contient le certificat de chiffrement. |
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePath | racine_serveur_app/etc/ws-security/samples/dsig-receiver.ks | Emplacement du fichier de magasin qui contient le certificat de
chiffrement. Remarque : Vous devez entrer le chemin correspondant à votre installation à la place de la valeur par défaut.
|
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreType | JKS | Type de magasin du fichier de magasin qui contient le certificat de chiffrement. |
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePassword | motdepasse | Mot de passe du fichier de magasin qui contient le certificat de chiffrement. |
com.ibm.wsspi.wssecurity.saml.config.issuer.AttributeProvider | com.monentreprise.SAML.implFournisseurAttributs | Classe d'implémentation du fournisseur d'attributs. Remarque : Cette classe doit implémenter javax.security.auth.callback.CallbackHandler. Elle doit recevoir l'objet de rappel com.ibm.websphere.wssecurity.callbackhandler.Saml11AttributeCallback
ou com.ibm.websphere.wssecurity.callbackhandler.Saml20AttributeCallback, puis mettre à jour la liste SAMLAttribute reçue de la méthode getSAMLAttributes appelée depuis cet objet.
Pour plus d'informations, reportez-vous à la rubrique Ajout d'attributs à des jetons SAML autogénérés à l'aide de l'API. |
com.ibm.wsspi.wssecurity.saml.config.issuer.EncryptingAlias | soaprecipient | Entrée du fichier indiqué par la propriété TrustStore, contenant le certificat public destiné au chiffrement du jeton SAML. Lors de la génération d'un jeton auto-généré avec les API, un alias défini sur RequesterConfig à l'aide de la méthode setKeyAliasForAppliesTo a la priorité sur la valeur de cette propriété. |
com.ibm.wsspi.wssecurity.saml.config.issuer.EncryptSAML | true | Définissez cette propriété sur true pour générer un jeton SAML chiffré. Par défaut, cette propriété a la valeur false. Lors de la génération d'un jeton auto-généré avec les API, vous pouvez aussi indiquer que vous souhaitez chiffrer le jeton SAML à l'aide de la méthode setEncryptSAML(true) sur l'objet RequesterConfig. Le jeton SAML sera chiffré si setEncryptSAML=true sur l'objet RequesterConfig ou la propriété personnalisée EncryptSAML a la valeur true. |
com.ibm.wsspi.wssecurity.saml.config.issuer.NameIDProvider | com.monentreprise.SAML.implFournisseurIDNom | Classe d'implémentation du fournisseur d'ID de nom. Remarque : Cette classe doit implémenter javax.security.auth.callback.CallbackHandler. Elle doit recevoir l'objet de rappel com.ibm.websphere.wssecurity.callbackhandler.NameIDCallback, puis appeler la méthode setSAMLNameID sur cet objet pour mettre à jour l'ID de nom (NameID).
Pour plus d'informations, reportez-vous à la rubrique Personnalisation du NameID pour les jetons SAML autogénérés à l'aide de l'API. |
com.ibm.wsspi.wssecurity.saml.config.issuer.UseSha2ForSignature | true | Affectez à cette propriété la valeur true de manière à utiliser l'algorithme de signature SHA-2 http://www.w3.org/2001/04/xmldsig-more#rsa-sha256, lors de la signature du jeton SAML. |
Propriétés personnalisées du client sécurisé
Le tableau suivant recense les propriétés personnalisées pouvant être utilisées pour configurer un client sécurisé. Lorsqu'elles sont utilisées en conjonction avec un générateur de jeton SAML, ces propriétés personnalisées sont ajoutées au gestionnaire d'appel du générateur de jeton SAML.
Chaîne | Valeurs | Description |
---|---|---|
com.ibm.wsspi.wssecurity.trust.client.TrustServiceCacheEntries | La valeur par défaut est 1000. | Nombre maximal d'entrées de cache d'instance de service STS qui peuvent être conservées. |
com.ibm.wsspi.wssecurity.trust.client.TrustServiceCacheTimeout | La valeur par défaut est de 60 minutes. | Durée, exprimée en minutes, pendant laquelle une instance de service STS peut être conservée dans un cache côté client. |
keyType | Vous pouvez spécifier les valeurs keyType suivantes pour WS-Trust 1.2:
Vous pouvez spécifier les valeurs keyType suivantes pour WS-Trust 1.3 :
|
Valeur de keyType à utiliser lors d'une demande WS-Trust auprès de STS. |
wstrustActAsRequired | Les valeurs valides sont true et false. La valeur par défaut est false. | Affectez à cette propriété la valeur true lorsqu'un jeton SAML doit être inséré dans une demande STS dans l'élément ActAs. Le jeton SAML doit exister dans le sujet runAs en cours ou dans l'objet d'état partagé de connexion JAAS. Un jeton présent dans l'état partagé de connexion JAAS est prioritaire sur celui qui se trouve dans le sujet runAs. Si onBehalfOfRequired et actAsRequired ont pour valeur true, seul l'élément OnBehalfOf sera inséré dans la demande STS. Pour plus d'informations, voir Génération et consommation de jetons SAML à l'aide de modules de connexion JAAS empilés. |
wstrustActAsTokenType | Les valeurs valides sont http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1 et http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0. La valeur par défaut est le type du jeton qui est généré avec le gestionnaire d'appel de générateur SAML. | Affectez à cette propriété le type du jeton SAML à insérer dans le message de l'élément ActAs dans la demande STS. |
wstrustActAsReIssue | Les valeurs valides sont true et false. La valeur par défaut est false. | Affectez à cette propriété la valeur true pour insérer dans l'élément ActAsReIssue de la demande STS un jeton SAML provenant du sujet runAs qui est recréé à l'aide des paramètres de signature et de chiffrement dans le gestionnaire d'appel de générateur SAML. Un jeton SAML obtenu auprès de l'objet d'état partagé de connexion JAAS ne peut pas être recréé. |
wstrustClientBinding | Cette propriété personnalisée ne possède pas de valeur par défaut. | Nom de liaison pour le client WS-trust. |
wstrustClientBindingScope | Cette propriété personnalisée ne possède pas de valeur par défaut. | Portée de liaison pour l'ensemble de règles associé au client WS-Trust. |
wstrustClientCollectionRequest | Les valeurs admises sont true ou false. La valeur par défaut est false, c'est-à-dire que RequestSecurityToken est utilisé au lieu de RequestSecurityTokenCollection. | Utilisez cette propriété personnalisée pour spécifier si RequestSecurityTokenCollection est requis dans une demande WS-Trust. |
wstrustClientPolicy | Cette propriété personnalisée ne possède pas de valeur par défaut. | Nom de l'ensemble de règles pour un client WS-Trust. |
wstrustClientSoapVersion | Les valeurs valides sont 1.1 et 1.2. Si aucune valeur n'est spécifiée, la version SOAP adoptée est celle utilisée par le client d'application. | Version SOAP dans une demande WS-Trust. |
wstrustClientWSTNamespace | La valeur par défaut est trust13. Les valeurs admises sont trust12 et trust13. | Espace de nom WS-Trust pour une demande WS-Trust. |
wstrustOnBehalfOfRequired | Les valeurs admises sont true et false. La valeur par défaut est false. | Affectez à cette propriété la valeur true lorsqu'un jeton SAML doit être inséré dans une demande STS dans l'élément OnBehalfOf. Le jeton SAML doit exister dans le sujet runAs en cours ou dans l'objet d'état partagé de connexion JAAS. Un jeton présent dans l'état partagé de connexion JAAS est prioritaire sur celui qui se trouve dans le sujet runAs. Pour plus d'informations, voir twbs_gen_con_token_JAAS_mod. |
wstrustOnBehalfOfTokenType | Les valeurs valides sont http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1 et http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0. La valeur par défaut est le type du jeton qui est généré avec le gestionnaire d'appel de générateur SAML. | Affectez à cette propriété le type du jeton SAML à insérer dans le message de l'élément OnBehalfOf dans la demande STS. |
wstrustOnBehalfOfReIssue | Les valeurs valides sont true et false. La valeur par défaut est false. | Affectez à cette propriété la valeur true pour insérer dans l'élément OnBehalfOf de la demande STS un jeton SAML provenant du sujet runAs qui est recréé à l'aide des paramètres de signature et de chiffrement dans le gestionnaire d'appel de générateur SAML. Un jeton SAML obtenu auprès de l'objet d'état partagé de connexion JAAS ne peut pas être recréé. |