Propriétés personnalisées du jeton SAML de sécurité de services Web

Lorsque vous configurez un jeton SAML de sécurité de services Web, vous pouvez configurer des paires de données nom-valeur, dans lesquelles le nom est une clé de propriété et la valeur une chaîne, pouvant être utilisées pour définir des propriétés de configuration du système interne. Vous pouvez utiliser ces propriétés de configuration, de pair avec les options proposées dans la console d'administration, pour contrôler la manière dont le jeton SAML est généré ou consommé.

Pour configurer ces propriétés SAML personnalisées, dans la console d'administration :

  1. Développez Services.
  2. Sélectionnez Fournisseur de service ou Client de service
  3. Cliquez sur l'application appropriée dans la colonne Nom.
  4. Cliquez sur la liaison appropriée dans la colonne Liaison.

    Au préalable, il est nécessaire d'associer un ensemble de règles et d'affecter une liaison.

ou

  1. Cliquez sur Applications > Types d'application, puis sur Applications d'entreprise WebSphere.
  2. Sélectionnez une application contenant des services Web. Cette application doit contenir un fournisseur de services ou un client de service.
  3. Sous l'en-tête Propriétés des services Web, cliquez sur Liaisons et ensemble de règles du fournisseur de services ou sur Liaisons et ensembles de règles de client de service.
  4. Sélectionnez une liaison. Vous devez avoir précédemment associé un ensemble de règles et affecté une liaison spécifique à l'application.

Puis, effectuez les opérations suivantes :

  1. Cliquez sur WS-Security dans la table des règles.
  2. Sous l'en-tête Liaisons de la règle de sécurité du message, cliquez sur Authentification et protection.
  3. Sous l'en-tête Jetons d'authentification, cliquez sur le nom du jeton d'authentification.
    Configurations prises en charge Configurations prises en charge: Vous pouvez utiliser le jeton, qui est traité par le module de connexion du jeton de sécurité générique, uniquement à des fins d'authentification. Vous ne pouvez pas utiliser le jeton comme un jeton de protection.sptcfg
  4. Sous l'en-tête Additional Bindings (Liaisons supplémentaires, cliquez sur Gestionnaire d'appel.
  5. Sous l'en-tête Propriétés personnalisées, entrez les paires de nom et de valeur.

Les sections suivantes répertorient les propriétés personnalisées et indiquent comment chaque propriété personnalisée est utilisée.

Propriétés personnalisées de générateur de jeton SAML

Le tableau suivant recense les propriétés personnalisées du gestionnaire d'appel qui seules peuvent être utilisées pour configurer les liaisons de générateur de jeton SAML.

Tableau 1. Propriétés personnalisées du gestionnaire d'appel de jeton SAML pour les liaisons du générateur de jeton uniquement. Cette table contient le nom de la propriété personnalisée, ses valeurs et une brève description.
Chaîne Valeurs Description
appliesTo Cette propriété personnalisée ne possède pas de valeur par défaut. Spécifie la valeur AppliesTo à utiliser pour le jeton SAML demandé lorsqu'une API WSS est utilisée.
audienceRestriction Les valeurs admises sont true et false. Le comportement par défaut est true et inclut AudienceRestrictionCondition dans le même jeton SAML. Cette propriété s'applique aux jetons SAML auto-générés seulement. Utilisez cette propriété personnalisée pour spécifier si l'élément AudienceRestrictionCondition est inclus dans le jeton SAML.
authenticationMethod Cette propriété personnalisée ne possède pas de valeur par défaut. Cette propriété s'applique aux jetons SAML auto-générés seulement. Utilisez cette propriété personnalisée pour spécifier la valeur de l'attribut AuthenticationMethod dans l'élément AuthenticationStatement du jeton SAML. Lorsque cette propriété personnalisée est spécifiée, le sujet est contenu dans un élément AuthenticationStatement au lieu d'un élément AttributeStatement.
com.ibm.webservices.wssecurity.platform.SAMLIssuerConfigDataPath Cette propriété personnalisée ne possède pas de valeur par défaut. Utilisez cette propriété personnalisée pour spécifier les données de configuration requises lors de la génération d'un jeton SAML auto-généré.
cacheCushion La valeur par défaut est de 5 minutes. Délai, exprimé en minutes, au terme duquel un jeton SAML arrive à expiration et un nouveau jeton est émis. Par exemple, si l'attribut cacheCushion a pour valeur 5 minutes et que le jeton SAML arrive à expiration dans 2 minutes, ce dernier n'est pas réutilisé ; un nouveau jeton SAML est généré. Au cours de processus de mise en cache d'un jeton SAML, si ce dernier se situe au-delà de la marge de sécurité du cache, il n'est pas mis en cache.
cacheToken Les valeurs admises sont true et false. Le comportement par défaut est true, ce qui permet la mise en cache de jeton SAML pour sa réutilisation. Utilisez cette propriété personnalisée pour spécifier si un jeton SAML peut être mis en cache pour sa réutilisation.
com.ibm.webservices.wssecurity.platform.SAMLIssuerConfigDataPath La valeur par défaut est ${USER_INSTALL_ROOT}/config/cells/${WAS_CELL_NAME}/sts/SAMLIssuerConfig.properties Chemin vers les données de configuration à utiliser lors de la génération d'un jeton SAML auto-généré.
com.ibm.wsspi.wssecurity.saml.client.SamlTokenCacheEntries La valeur par défaut est 250. Utilisez cette propriété personnalisée JVM pour spécifier le nombre maximal d'entrées de cache pouvant être conservées.
com.ibm.wsspi.wssecurity.saml.client.SamlTokenCacheTimeout La valeur par défaut est de 60 minutes. Cette propriété est utilisée seulement pour les jetons SAML pour lesquels le délai d'expiration est inconnu (jetons encryptés ou expiration non incluse avec le jeton dans la réponse du STS). Pour les jetons SAML pour lesquels le délai d'expiration est inconnu, la propriété SamlTokenCacheTimeout est utilisée pour remplacer le délai d'expiration. Le délai d'expiration d'un nouveau jeton SAML mis en cache avec ces critères est (heure_courante)+SamlTokenCacheTimeout. Les conditions décrites pour la propriété cacheCushion s'appliquent ; par conséquent, tenez compte de la valeur de cacheCushion lorsque vous modifiez la valeur de SamlTokenCacheTimeout.
com.ibm.wsspi.wssecurity.saml.get.SamlToken et com.ibm.wsspi.wssecurity.saml.put.SamlToken Les valeurs admises sont true ou false. La valeur par défaut est false.  
confirmationMethod Les valeurs admises sont bearer, holder-of-key et sender-vouches. La valeur par défaut est bearer. Méthode de confirmation du sujet de jeton SAML.
com.ibm.wsspi.wssecurity.saml.get.SamlToken Cette propriété personnalisée ne possède pas de valeur par défaut. Utilisez cette propriété personnalisée pour définir le jeton SAML à RequestContext.
com.ibm.wsspi.wssecurity.saml.put.SamlToken Cette propriété personnalisée ne possède pas de valeur par défaut. Utilisez cette propriété personnalisée pour définir le jeton SAML à RequestContext.
failOverToTokenRequest Les valeurs admises sont true ou false. La valeur par défaut est true, c'est-à-dire que l'environnement d'exécution de la sécurité des services Web émet toujours un nouveau jeton SAML si celui en entrée n'est pas valide. Utilisez cette propriété personnalisée pour spécifier si l'environnement d'exécution de la sécurité des services Web doit utiliser l'ensemble de règles associé pour émettre un nouveau jeton SAML si le jeton SAML en entrée dans RequestContext n'est pas valide.
recipientAlias Cette propriété personnalisée ne possède pas de valeur par défaut. Alias de service cible pour un certificat.
signToken Les valeurs valides sont true et false. Cette propriété personnalisée ne possède pas de valeur par défaut. Utilisez cette propriété personnalisée pour spécifier si un jeton SAML doit être signé avec un message d'application.
sslConfigAlias Si une valeur n'est pas spécifiée pour cette propriété, l'alias SSL par défaut défini dans la configuration SSL de votre système est utilisé.

Cette propriété est facultative.

L'alias d'une configuration SSL utilisé oar un client WS-Trust pour demander un jeton SAML.
stsURI Cette propriété personnalisée ne possède pas de valeur par défaut. Adresse STS (SecurityTokenService).
keySize Cette propriété personnalisée ne possède pas de valeur par défaut. Valeur KeySize utilisée lors d'une demande d'objet SecretKey auprès de STS.
tokenRequest Les valeurs admises sont issue, propagation,issueByWSCredential et issueByWSPrincipal. Valeur par défaut : issue. Méthode de demande de jeton SAML. Pour plus d'informations sur les valeurs pouvant être définies pour cette propriété, voir la rubrique Propagation des jetons SAML
tokenType Cette propriété personnalisée ne possède pas de valeur par défaut. Utilisez cette propriété personnalisée pour définir le type de jeton requis à SAMLGenerateCallback
usekeyType Cette propriété personnalisée est facultative. Valeurs valides : KeyValue, X509Certificate et X509IssuerSerial. Utilisez cette propriété personnalisée pour spécifier le type Usekey, lequel indique au client de générer un type spécifique d'information de clé.
WSSConsumingContext Cette propriété personnalisée ne possède pas de valeur par défaut. Utilisez cette propriété personnalisée pour spécifier l'objet WSSConsumingContext que le client WS-Trust utilise pour demander un jeton SAML.
WSSGenerationContext Cette propriété personnalisée ne possède pas de valeur par défaut. Utilisez cette propriété personnalisée pour spécifier l'objet WSSGenerationContext que le client WS-Trust utilise pour demander un jeton SAML.
NameID Cette propriété personnalisée ne possède pas de valeur par défaut. Cette propriété définit la valeur NameID dans le sujet d'un jeton SAML auto-généré. Lorsque le générateur est configuré pour auto-générer un jeton, si la propriété NameID n'est pas spécifiée, le système tente de générer un jeton à partir d'un jeton SAML dans le sujet runAs. Si aucun jeton SAML ne figure dans le sujet runAs, le jeton est créé et la propriété NameID dans le sujet prend la valeur UNAUTHENTICATED. Pour plus d'informations sur la création de jetons SAML auto-générés à l'aide des paramètres des liaisons WS-Security, voir SAML Issuer Config Properties.
   

Propriétés personnalisées de consommateur de jeton SAML

Le tableau suivant recense les propriétés personnalisées du gestionnaire d'appel qui seules peuvent être utilisées pour configurer les liaisons de consommateur de jeton SAML.

Tableau 2. Propriétés personnalisées du gestionnaire d'appel de jeton SAML pour les liaisons de consommateur de jeton uniquement. Cette table contient le nom de la propriété personnalisée, ses valeurs et une brève description.
Chaîne Valeurs Description
allowUnencKeyInHok Les valeurs admises sont true ou false. La valeur par défaut est true, ce qui signifie que les clés non chiffrées sont autorisées. Utilisez cette propriété pour demander au consommateur de jeton SAML d'accepter une clé non chiffrée dans un jeton SAML de type holder-of-key.
com.ibm.wsspi.wssecurity.saml.signature.SignatureCacheEntries Un entier. La valeur par défaut est 1000. Nombre d'entrées de cache de signature pouvant être conservées pour un jeton consommateur SAML.
com.ibm.wsspi.wssecurity.saml.signature.SignatureCacheTimeout Un entier. La valeur par défaut est de 60 minutes. Nombre de minutes pendant lesquelles un jeton SAML doit être gardé en cache. Une validation de signature n'a pas besoin d'être répétée tant que le jeton SAML est en cache.
keyAlias Cette propriété personnalisée ne possède pas de valeur par défaut. Alias de la clé privée de déchiffrement, tel qu'il est défini dans le magasin de clés.
keyName Cette propriété personnalisée ne possède pas de valeur par défaut. Nom de la clé privée de déchiffrement, tel qu'il est défini dans le fichier de clés. Ce nom est donné à titre de référence et n'est pas évalué par l'environnement d'exécution.
keyPassword Cette propriété personnalisée ne possède pas de valeur par défaut. Mot de passe de la clé privée défini de déchiffrement, tel qu'il est défini dans le fichier de clés (le mot de passe doit être codé par la méthode XOR). Pour plus d'informations, consultez la rubrique relative au codage des mots de passe dans les fichiers.
keyStorePassword Cette propriété personnalisée ne possède pas de valeur par défaut. Mot de passe du fichier de clés. Le mot de passe peut être codé par la méthode XOR. Pour plus d'informations, consultez la rubrique relative au codage des mots de passe dans les fichiers.
keyStorePath Cette propriété personnalisée ne possède pas de valeur par défaut. Chemin du fichier de clés qui contient la clé de déchiffrement.
keyStoreRef Cette propriété personnalisée ne possède pas de valeur par défaut. Référence à un fichier de clés géré dans security.xml qui contient la clé de déchiffrement.

Exemple :

name=myKeyStoreRef managementScope=(cell):myCell:(node):myNode
keyStoreType Cette propriété personnalisée ne possède pas de valeur par défaut. Type du fichier de clés.
signatureRequired La valeur par défaut est true. Utilisez cette propriété personnalisée pour spécifier si une signature est requise sur une assertion SAML.
trustAnySigner La valeur par défaut est false. Utilisez cette propriété personnalisée pour spécifier si un destinataire peut se fier à un certificat signant une assertion SAML.
trustedAlias Cette propriété personnalisée ne possède pas de valeur par défaut. Alias du certificat STS sécurisé pour le jeton consommateur SAML.
trustedIssuer_ Le nom est spécifié sous la forme trustedIssuer_n, où n est un entier. Cette propriété personnalisée ne possède pas de valeur par défaut. Nom d'un émetteur sécurisé.
trustedSubjectDN_ La valeur spécifiée doit suivre le format nom_distinctif_sujet_de_confiance_n, où n est un entier. Cette propriété personnalisée ne possède pas de valeur par défaut. Nom SubjectDN de X509Certificate pour l'émetteur sécurisé.
trustStorePassword Cette propriété personnalisée ne possède pas de valeur par défaut. Mot de passe de fichier de clés certifiées pour un jeton de consommateur SAML.
trustStorePath Cette propriété personnalisée ne possède pas de valeur par défaut. Chemin du mot de passe de fichier de clés certifiées pour un jeton de consommateur SAML.
trustStoreRef Cette propriété personnalisée ne possède pas de valeur par défaut. Référence de fichier de clés certifiées pour un jeton de consommateur SAML.

Exemple :

name=myTrustStoreRef managementScope=(cell):myCell:(node):myNode
trustStoreType Cette propriété personnalisée ne possède pas de valeur par défaut. Type de magasin de clés pour le fichier de clés certifiées.
validateAudienceRestriction Les valeurs admises sont true ou false. La valeur par défaut est false, c'est-à-dire qu'une validation d'assertion AudienceRestriction n'est pas requise. Utilisez cette propriété personnalisée pour spécifier si une assertion AudienceRestriction doit être validée.
validateOneTimeUse Les valeurs admises sont true ou false. La valeur par défaut est true, ce qui signifie que la validation d'assertion OneTimeUse est requise. Utilisez cette propriété personnalisée pour spécifier si une assertion OneTimeUse dans SAML 2.0 ou une assertion DoNotCacheCondition dans SAML 1.1 doit être validée.
CRLPATH Cette propriété personnalisée ne possède pas de valeur par défaut. Chemin d'accès au fichier de la liste des certificats révoqués pour un jeton de consommateur SAML.
X509PATH Cette propriété personnalisée ne possède pas de valeur par défaut. Chemin d'accès au fichier certificat X509 intermédiaire pour un jeton de consommateur SAML.
CRLPATH_ La valeur spécifiée doit suivre le format nom_distinctif_sujet_de_confiance_n, où n est un entier. Cette propriété personnalisée ne possède pas de valeur par défaut. Chemin d'accès au fichier de la liste des certificats X509 révoqués pour un jeton de consommateur SAML.
X509PATH_ La valeur spécifiée doit suivre le format chemin_X509_n, où n est un entier. Cette propriété personnalisée ne possède pas de valeur par défaut. Chemin d'accès au fichier certificat X509 intermédiaire pour un jeton de consommateur SAML.

Propriétés personnalisées de jeton SAML pour le générateur de jeton et le consommateur de jeton

Le tableau suivant recense les propriétés personnalisées du gestionnaire d'appel qui peuvent être utilisées pour configurer à la fois les liaisons de générateur de jeton et celles de consommateur de jeton SAML.

Tableau 3. Propriétés personnalisées du gestionnaire d'appel de jeton SAML pour les liaisons du générateur de jeton et du consommateur de jeton. Ce tableau contient le nom de la propriété personnalisée, ses valeurs et une brève description.
Chaîne Valeurs Description
clockSkew La valeur par défaut est de 3 minutes. Délai, exprimé en minutes, d'un réglage des heures dans le jeton SAML auto-généré créé par SAMLGenerateLoginModule.

La propriété personnalisée clockSkew est définie sur le gestionnaire d'appel du générateur de jeton SAML qui utilise la classe SAMLGenerateLoginModule. La valeur spécifiée pour cette propriété personnalisée doit être numérique et est indiquée en minutes.

Lorsqu'une valeur est indiquée pour cette propriété personnalisée, les ajustements d'heure sont effectués dans le jeton SAML auto-généré créé par le module SAMLGenerateLoginModule :
  • La nouvelle valeur de temps NotBefore est égale à la valeur de temps NotBefore initiale, moins la durée spécifiée pour la propriété personnalisée clockSkew.
  • La nouvelle valeur de temps NotAfter est égale à la valeur de temps NotAfter initiale, plus la durée spécifiée pour la propriété personnalisée clockSkew.
clientLabel Cette propriété personnalisée ne possède pas de valeur par défaut. Libellé du client, en octets, à utiliser pour les clés dérivées chaque fois qu'une API WSS est utilisée avec le jeton SAML demandé.
serviceLabel Cette propriété personnalisée ne possède pas de valeur par défaut. Libellé du service, en octets, à utiliser pour les clés dérivées chaque fois qu'une API WSS est utilisée avec le jeton SAML demandé.
keylength Cette propriété personnalisée ne possède pas de valeur par défaut. Longueur de clé dérivée, en octets, à utiliser pour les clés dérivées chaque fois qu'une API WSS est utilisée avec le jeton SAML demandé.
nonceLength La valeur par défaut est 128. Longueur de nonce dérivé, en octets, à utiliser pour les clés dérivées chaque fois qu'une API WSS est utilisée avec le jeton SAML demandé.
requireDKT La valeur par défaut est false. Utilisez cette propriété personnalisée pour spécifier une option pour les clés dérivées chaque fois qu'une API WSS est utilisée avec le jeton SAML demandé.
useImpliedDKT La valeur par défaut est false. Utilisez cette propriété personnalisée pour spécifier une option pour les clés dérivées impliquées chaque fois qu'une API WSS est utilisée avec le jeton SAML demandé.

Propriétés de générateur de jeton SAML pour des jetons auto-générés

Le tableau suivant recense les propriétés personnalisées du gestionnaire d'appel qui seules peuvent être utilisées pour configurer les liaisons de générateur de jeton SAML pour des jetons SAML auto-générés.

Tableau 4. Propriétés personnalisées du gestionnaire d'appel de jeton SAML pour créer les jetons SAML auto-générés. Ce tableau contient le nom de la propriété personnalisée, ses valeurs et une brève description.
Nom de la propriété des liaisons de règles Exemple de valeur Description de la propriété
com.ibm.wsspi.wssecurity.saml.config.issuer.oldEnvelopedSignature true A n'utiliser que si vous associez la propriété personnalisée JVM com.ibm.wsspi.wssecurity.dsig.enableEnvelopedSignatureProperty à la valeur true. Voir la rubrique relative aux propriétés personnalisées Java Virtual Machine (JVM) pour savoir quand utiliser cette propriété personnalisée JVM.
com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerFormat urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName Valeur de l'attribut Format de l'élément Issuer dans le jeton SAML.
Remarque : Si vous voulez ajouter l'attribut Format à l'élément Issuer, vous devez spécifier cette propriété.
com.ibm.wsspi.wssecurity.saml.config.issuer.IssuerURI http://www.websphere.ibm.com/SAML/SelfIssuer URI de l'émetteur.
com.ibm.wsspi.wssecurity.saml.config.issuer.TimeToLiveMilliseconds 3600000 Délai maximum avant l'expiration du jeton. Cette propriété permet de définir les attributs NotOnOrAfter dans le jeton. NotOnOrAfter a pour valeur (currentTime)+TimeToLive+(currentClockSkew).
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreRef name=myKeyStoreRef managementScope=(cell):myCell:(node):myNode Référence à un fichier de clés géré dans security.xml qui contient la clé de signature.
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePath racine_serveur_app/etc/ws-security/samples/dsig-receiver.ks Emplacement du fichier de clés qui contient la clé de signature.
Remarque : Vous devez entrer le chemin correspondant à votre installation à la place de la valeur par défaut.
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStoreType JKS Type du fichier de clés.
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyStorePassword motdepasse Mot de passe du fichier de clés (le mot de passe doit être codé par la méthode XOR). Pour plus d'informations, consultez la rubrique relative au codage des mots de passe dans les fichiers.
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyAlias fournisseurSOAP Alias de la clé privée de siganture, tel que défini dans le magasin de clés.
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyName CN=SOAPProvider, OU=TRL, O=IBM, ST=Kanagawa, C=JP Nom de la clé privée de siganture, tel que défini dans le fichier de clés. Ce nom est donné à titre de référence et n'est pas évalué par l'environnement d'exécution.
com.ibm.wsspi.wssecurity.saml.config.issuer.KeyPassword motdepasse Mot de passe de la clé privée défini dans le fichier de clés (le mot de passe doit être codé par la méthode XOR).
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreRef name=myTrustStoreRef managementScope=(cell):myCell:(node):myNode Référence à un fichier de clés géré dans security.xml qui contient le certificat de chiffrement.
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePath racine_serveur_app/etc/ws-security/samples/dsig-receiver.ks Emplacement du fichier de magasin qui contient le certificat de chiffrement.
Remarque : Vous devez entrer le chemin correspondant à votre installation à la place de la valeur par défaut.
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStoreType JKS Type de magasin du fichier de magasin qui contient le certificat de chiffrement.
com.ibm.wsspi.wssecurity.saml.config.issuer.TrustStorePassword motdepasse Mot de passe du fichier de magasin qui contient le certificat de chiffrement.
com.ibm.wsspi.wssecurity.saml.config.issuer.AttributeProvider com.monentreprise.SAML.implFournisseurAttributs Classe d'implémentation du fournisseur d'attributs.
Remarque : Cette classe doit implémenter javax.security.auth.callback.CallbackHandler. Elle doit recevoir l'objet de rappel com.ibm.websphere.wssecurity.callbackhandler.Saml11AttributeCallback ou com.ibm.websphere.wssecurity.callbackhandler.Saml20AttributeCallback, puis mettre à jour la liste SAMLAttribute reçue de la méthode getSAMLAttributes appelée depuis cet objet.

Pour plus d'informations, reportez-vous à la rubrique Ajout d'attributs à des jetons SAML autogénérés à l'aide de l'API.

com.ibm.wsspi.wssecurity.saml.config.issuer.EncryptingAlias soaprecipient Entrée du fichier indiqué par la propriété TrustStore, contenant le certificat public destiné au chiffrement du jeton SAML. Lors de la génération d'un jeton auto-généré avec les API, un alias défini sur RequesterConfig à l'aide de la méthode setKeyAliasForAppliesTo a la priorité sur la valeur de cette propriété.
com.ibm.wsspi.wssecurity.saml.config.issuer.EncryptSAML true

Définissez cette propriété sur true pour générer un jeton SAML chiffré. Par défaut, cette propriété a la valeur false.

Lors de la génération d'un jeton auto-généré avec les API, vous pouvez aussi indiquer que vous souhaitez chiffrer le jeton SAML à l'aide de la méthode setEncryptSAML(true) sur l'objet RequesterConfig. Le jeton SAML sera chiffré si setEncryptSAML=true sur l'objet RequesterConfig ou la propriété personnalisée EncryptSAML a la valeur true.

com.ibm.wsspi.wssecurity.saml.config.issuer.NameIDProvider com.monentreprise.SAML.implFournisseurIDNom Classe d'implémentation du fournisseur d'ID de nom.
Remarque : Cette classe doit implémenter javax.security.auth.callback.CallbackHandler. Elle doit recevoir l'objet de rappel com.ibm.websphere.wssecurity.callbackhandler.NameIDCallback, puis appeler la méthode setSAMLNameID sur cet objet pour mettre à jour l'ID de nom (NameID).

Pour plus d'informations, reportez-vous à la rubrique Personnalisation du NameID pour les jetons SAML autogénérés à l'aide de l'API.

com.ibm.wsspi.wssecurity.saml.config.issuer.UseSha2ForSignature true Affectez à cette propriété la valeur true de manière à utiliser l'algorithme de signature SHA-2 http://www.w3.org/2001/04/xmldsig-more#rsa-sha256, lors de la signature du jeton SAML.

Propriétés personnalisées du client sécurisé

Le tableau suivant recense les propriétés personnalisées pouvant être utilisées pour configurer un client sécurisé. Lorsqu'elles sont utilisées en conjonction avec un générateur de jeton SAML, ces propriétés personnalisées sont ajoutées au gestionnaire d'appel du générateur de jeton SAML.

Tableau 5. Propriétés personnalisées pour le client sécurisé.. Ce tableau contient le nom de la propriété personnalisée, ses valeurs et une brève description.
Chaîne Valeurs Description
com.ibm.wsspi.wssecurity.trust.client.TrustServiceCacheEntries La valeur par défaut est 1000. Nombre maximal d'entrées de cache d'instance de service STS qui peuvent être conservées.
com.ibm.wsspi.wssecurity.trust.client.TrustServiceCacheTimeout La valeur par défaut est de 60 minutes. Durée, exprimée en minutes, pendant laquelle une instance de service STS peut être conservée dans un cache côté client.
keyType Vous pouvez spécifier les valeurs keyType suivantes pour WS-Trust 1.2:
  • http://schemas.xmlsoap.org/ws/2005/02/trust/PublicKey
  • http://schemas.xmlsoap.org/ws/2005/02/trust/SymmetricKey

Vous pouvez spécifier les valeurs keyType suivantes pour WS-Trust 1.3 :

  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/PublicKey
  • ttp://docs.oasis-open.org/ws-sx/ws-trust/200512/SymmetricKey
  • http://docs.oasis-open.org/ws-sx/ws-trust/200512/Bearer
Valeur de keyType à utiliser lors d'une demande WS-Trust auprès de STS.
wstrustActAsRequired Les valeurs valides sont true et false. La valeur par défaut est false. Affectez à cette propriété la valeur true lorsqu'un jeton SAML doit être inséré dans une demande STS dans l'élément ActAs. Le jeton SAML doit exister dans le sujet runAs en cours ou dans l'objet d'état partagé de connexion JAAS. Un jeton présent dans l'état partagé de connexion JAAS est prioritaire sur celui qui se trouve dans le sujet runAs. Si onBehalfOfRequired et actAsRequired ont pour valeur true, seul l'élément OnBehalfOf sera inséré dans la demande STS. Pour plus d'informations, voir Génération et consommation de jetons SAML à l'aide de modules de connexion JAAS empilés.
wstrustActAsTokenType Les valeurs valides sont http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1 et http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0. La valeur par défaut est le type du jeton qui est généré avec le gestionnaire d'appel de générateur SAML. Affectez à cette propriété le type du jeton SAML à insérer dans le message de l'élément ActAs dans la demande STS.
wstrustActAsReIssue Les valeurs valides sont true et false. La valeur par défaut est false. Affectez à cette propriété la valeur true pour insérer dans l'élément ActAsReIssue de la demande STS un jeton SAML provenant du sujet runAs qui est recréé à l'aide des paramètres de signature et de chiffrement dans le gestionnaire d'appel de générateur SAML. Un jeton SAML obtenu auprès de l'objet d'état partagé de connexion JAAS ne peut pas être recréé.
wstrustClientBinding Cette propriété personnalisée ne possède pas de valeur par défaut. Nom de liaison pour le client WS-trust.
wstrustClientBindingScope Cette propriété personnalisée ne possède pas de valeur par défaut. Portée de liaison pour l'ensemble de règles associé au client WS-Trust.
wstrustClientCollectionRequest Les valeurs admises sont true ou false. La valeur par défaut est false, c'est-à-dire que RequestSecurityToken est utilisé au lieu de RequestSecurityTokenCollection. Utilisez cette propriété personnalisée pour spécifier si RequestSecurityTokenCollection est requis dans une demande WS-Trust.
wstrustClientPolicy Cette propriété personnalisée ne possède pas de valeur par défaut. Nom de l'ensemble de règles pour un client WS-Trust.
wstrustClientSoapVersion Les valeurs valides sont 1.1 et 1.2. Si aucune valeur n'est spécifiée, la version SOAP adoptée est celle utilisée par le client d'application. Version SOAP dans une demande WS-Trust.
wstrustClientWSTNamespace La valeur par défaut est trust13. Les valeurs admises sont trust12 et trust13. Espace de nom WS-Trust pour une demande WS-Trust.
wstrustOnBehalfOfRequired Les valeurs admises sont true et false. La valeur par défaut est false. Affectez à cette propriété la valeur true lorsqu'un jeton SAML doit être inséré dans une demande STS dans l'élément OnBehalfOf. Le jeton SAML doit exister dans le sujet runAs en cours ou dans l'objet d'état partagé de connexion JAAS. Un jeton présent dans l'état partagé de connexion JAAS est prioritaire sur celui qui se trouve dans le sujet runAs. Pour plus d'informations, voir twbs_gen_con_token_JAAS_mod.
wstrustOnBehalfOfTokenType Les valeurs valides sont http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1 et http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0. La valeur par défaut est le type du jeton qui est généré avec le gestionnaire d'appel de générateur SAML. Affectez à cette propriété le type du jeton SAML à insérer dans le message de l'élément OnBehalfOf dans la demande STS.
wstrustOnBehalfOfReIssue Les valeurs valides sont true et false. La valeur par défaut est false. Affectez à cette propriété la valeur true pour insérer dans l'élément OnBehalfOf de la demande STS un jeton SAML provenant du sujet runAs qui est recréé à l'aide des paramètres de signature et de chiffrement dans le gestionnaire d'appel de générateur SAML. Un jeton SAML obtenu auprès de l'objet d'état partagé de connexion JAAS ne peut pas être recréé.

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rwbs_saml_customproperties
Nom du fichier : rwbs_saml_customproperties.html