SAML Web Inbound TAI Custom Properties
The SAML Web Inbound Trust Association Interceptor (TAI) custom properties are used to determine the behavior of the Web inbound TAI, and to process the SAML token that is received in the inbound web request.
The following tables list the custom properties for the SAML Web inbound TAI. You can define these properties in the Custom Properties panel for the SAML Web inbound TAI using the administrative console.
Les propriétés sont regroupées en deux catégories :
- Required Properties: Without these properties defined, the SAML Web inbound TAI will not initialize.
- Optional Properties: These properties default to the value as documented. They are used to fine-tune the behavior of SAML Web inbound TAI.
Required Properties
Nom de la propriété | Valeurs | Description |
---|---|---|
headerName | Vous pouvez spécifier une valeur de chaîne. Cette propriété ne comporte pas de valeur par défaut. | This property specifies a list of header names in the inbound request that the TAI will look
for to extract the SAML token. You can specify a single header name or multiple header names
separated by a comma or "|". Exemple : headerName=saml_token headerName=header one, header two headerName=saml1 token|saml2 token|saml3_token |
Optional Properties
Nom de la propriété | Valeurs | Description |
---|---|---|
setLtpaCookie | Vous pouvez indiquer l'une des valeurs suivantes :
|
This property specifies whether the SAML Web inbound TAI must set the LTPA token in the response. By default, the TAI will not set the LTPA cookie in the response. |
signatureAlgorithm | Vous pouvez indiquer l'une des valeurs suivantes :
|
This property specifies the algorithm that is used to sign the SAML token. If this property specifies SHA256, then the SAML token in the request must be signed with the SHA256 signature algorithm, or the request is rejected. |
clockSkew | Vous pouvez indiquer un nombre positif. The default is 3 minutes. | This property specifies the allowed clock skew in milliseconds when validating the SAML token. |
userIdentifier | By default, this property is set to the value of the NameID attribute of the SAML Subject. | This property specifies the name of the SAML attribute whose value is used as the user
ID. Exemple : userIdentifier=RunAsUser |
mapIdentityToRegistryUser | Vous pouvez indiquer l'une des valeurs suivantes :
|
When this property is set to false, the WebSphere subject is populated with the user and groups specified in the SAML
assertion. When the property is set to true, the SAML Web inbound TAI maps the user from the SAML token to the same user in the WebSphere user registry. This requires that all users be maintained in the WebSphere user registry. |
groupIdentifier | Vous pouvez spécifier une valeur de chaîne. Cette propriété ne comporte pas de valeur par défaut. | This property specifies the name of the SAML attribute whose values are included as group members in the subject. |
realmIdentifier | Par défaut, le nom de l'émetteur SAML est attribué à cette propriété. | This property specifies the name of the SAML attribute whose value is used as the subject realm. If this property is not specified, the SAML issuer name is used as the realm name. |
realmName | Vous pouvez spécifier une valeur de chaîne. Cette propriété ne comporte pas de valeur par défaut. | This property specifies the realm name to be used for the SAML assertion. If both the realmIdentifier and realmName properties are specified, the realmName property overrides the value of realmIdentifier. |
filter | Cette propriété ne comporte pas de valeur par défaut. | This property is used to specify a condition, that is checked against the web request, to determine whether the request is selected to be processed by the SAML web inbound TAI. |
audiences | You can specify comma-separated list of URI values here. Cette propriété ne comporte pas de valeur par défaut. | This property specifies a list of allowed audience URIs that is compared against the list of
audience URIs specified by the <AudienceRestriction> element in the SAML
assertion. The SAML token validation fails if none of the URIs from this list exists in the SAML
assertion. Exemple : filter=”request-url%=helloworld” |
trustStore | Cette propriété ne comporte pas de valeur par défaut. | Cette propriété indique le fichier de clés certifiées pour la validation de la signature SAML. Elle indique le nom d'un fichier de clés géré. |
keyStore | Cette propriété ne comporte pas de valeur par défaut. | Cette propriété indique le nom du fichier de clés géré qui contient la clé privée permettant de déchiffrer une assertion SAML chiffrée. |