SAML Web Inbound TAI Custom Properties

The SAML Web Inbound Trust Association Interceptor (TAI) custom properties are used to determine the behavior of the Web inbound TAI, and to process the SAML token that is received in the inbound web request.

The following tables list the custom properties for the SAML Web inbound TAI. You can define these properties in the Custom Properties panel for the SAML Web inbound TAI using the administrative console.

Les propriétés sont regroupées en deux catégories :

  • Required Properties: Without these properties defined, the SAML Web inbound TAI will not initialize.
  • Optional Properties: These properties default to the value as documented. They are used to fine-tune the behavior of SAML Web inbound TAI.

Required Properties

Tableau 1. SAML Web Inbound TAI Required Properties
Nom de la propriété Valeurs Description
headerName Vous pouvez spécifier une valeur de chaîne. Cette propriété ne comporte pas de valeur par défaut. This property specifies a list of header names in the inbound request that the TAI will look for to extract the SAML token. You can specify a single header name or multiple header names separated by a comma or "|".

Exemple :

headerName=saml_token

headerName=header one, header two

headerName=saml1 token|saml2 token|saml3_token

Optional Properties

Tableau 2. SAML Web Inbound TAI Optional Properties
Nom de la propriété Valeurs Description
setLtpaCookie Vous pouvez indiquer l'une des valeurs suivantes :
  • true
  • false (Default)
This property specifies whether the SAML Web inbound TAI must set the LTPA token in the response. By default, the TAI will not set the LTPA cookie in the response.
signatureAlgorithm Vous pouvez indiquer l'une des valeurs suivantes :
  • SHA128 (Default)
  • SHA256
This property specifies the algorithm that is used to sign the SAML token. If this property specifies SHA256, then the SAML token in the request must be signed with the SHA256 signature algorithm, or the request is rejected.
clockSkew Vous pouvez indiquer un nombre positif. The default is 3 minutes. This property specifies the allowed clock skew in milliseconds when validating the SAML token.
userIdentifier By default, this property is set to the value of the NameID attribute of the SAML Subject. This property specifies the name of the SAML attribute whose value is used as the user ID.

Exemple :

userIdentifier=RunAsUser

mapIdentityToRegistryUser Vous pouvez indiquer l'une des valeurs suivantes :
  • true
  • false (Default)
When this property is set to false, the WebSphere subject is populated with the user and groups specified in the SAML assertion.

When the property is set to true, the SAML Web inbound TAI maps the user from the SAML token to the same user in the WebSphere user registry. This requires that all users be maintained in the WebSphere user registry.

groupIdentifier Vous pouvez spécifier une valeur de chaîne. Cette propriété ne comporte pas de valeur par défaut. This property specifies the name of the SAML attribute whose values are included as group members in the subject.
realmIdentifier Par défaut, le nom de l'émetteur SAML est attribué à cette propriété. This property specifies the name of the SAML attribute whose value is used as the subject realm. If this property is not specified, the SAML issuer name is used as the realm name.
realmName Vous pouvez spécifier une valeur de chaîne. Cette propriété ne comporte pas de valeur par défaut. This property specifies the realm name to be used for the SAML assertion. If both the realmIdentifier and realmName properties are specified, the realmName property overrides the value of realmIdentifier.
filter Cette propriété ne comporte pas de valeur par défaut. This property is used to specify a condition, that is checked against the web request, to determine whether the request is selected to be processed by the SAML web inbound TAI.
audiences You can specify comma-separated list of URI values here. Cette propriété ne comporte pas de valeur par défaut. This property specifies a list of allowed audience URIs that is compared against the list of audience URIs specified by the <AudienceRestriction> element in the SAML assertion. The SAML token validation fails if none of the URIs from this list exists in the SAML assertion.

Exemple :

filter=”request-url%=helloworld”

trustStore Cette propriété ne comporte pas de valeur par défaut. Cette propriété indique le fichier de clés certifiées pour la validation de la signature SAML. Elle indique le nom d'un fichier de clés géré.
keyStore Cette propriété ne comporte pas de valeur par défaut. Cette propriété indique le nom du fichier de clés géré qui contient la clé privée permettant de déchiffrer une assertion SAML chiffrée.

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwbs_saml_web_inbound_tai_prop
Nom du fichier : rwbs_saml_web_inbound_tai_prop.html