SAML Web インバウンド TAI のカスタム・プロパティー
SAML Web インバウンド・トラスト・アソシエーション・インターセプター (TAI) のカスタム・プロパティーを使用して、Web インバウンド TAI の動作を指定したり、インバウンド Web 要求で受け取った SAML トークンを処理したりします。
SAML Web インバウンド TAI のカスタム・プロパティーを以下の表にまとめます。これらのプロパティーは、管理コンソールを使用して、SAML Web インバウンド TAI の「カスタム・プロパティー」パネルで定義できます。
プロパティーは、次の 2 つのカテゴリーに分類されます。
- 必須プロパティー: これらのプロパティーを定義しなければ、SAML Web インバウンド TAI は初期化されません。
- オプション・プロパティー: これらのプロパティーは、定義されていなければ、記載しているデフォルト値が適用されます。SAML Web インバウンド TAI の動作を微調整するために使用します。
必須プロパティー
プロパティー名 | 値 | 説明 |
---|---|---|
headerName | 任意のストリング値を指定できます。このプロパティーに、デフォルト値はありません。 | このプロパティーでは、TAI が SAML トークンを抽出するために検索するインバウンド要求内のヘッダー名のリストを指定します。1 つのヘッダー名を指定することも、複数のヘッダー名をコンマや「|」で区切って指定することもできます。 例: headerName=saml_token headerName=header one, header two headerName=saml1 token|saml2 token|saml3_token |
オプション・プロパティー
プロパティー名 | 値 | 説明 |
---|---|---|
setLtpaCookie | 以下のいずれかの値を指定することができます。
|
このプロパティーでは、SAML Web インバウンド TAI が応答内で LTPA トークンを設定する必要があるかどうかを指定します。デフォルトの場合、TAI は応答内で LTPA Cookie を設定しません。 |
signatureAlgorithm | 以下のいずれかの値を指定することができます。
|
このプロパティーでは、SAML トークンの署名に使用するアルゴリズムを指定します。このプロパティーに SHA256 を指定した場合は、要求内の SAML トークンに SHA256 署名アルゴリズムで署名する必要があります。署名しないと、要求は拒否されます。 |
clockSkew | 任意の正数を指定することができます。 デフォルトは 3 分です。 | このプロパティーでは、SAML トークンの妥当性検査時の許容クロック・スキューをミリ秒単位で指定します。 |
userIdentifier | デフォルトの場合、このプロパティーには、SAML サブジェクトの NameID 属性の値が設定されます。 | このプロパティーでは、ユーザー ID として使用する値を持つ SAML 属性の名前を指定します。 例: userIdentifier=RunAsUser |
mapIdentityToRegistryUser | 以下のいずれかの値を指定することができます。
|
このプロパティーを false に設定すると、WebSphere® サブジェクトに、SAML アサーションで指定されているユーザーおよびグループが取り込まれます。 このプロパティーを true に設定すると、SAML Web インバウンド TAI によって、SAML トークンに記述されているユーザーが WebSphere ユーザー・レジストリー内の同じユーザーにマップされます。この場合は、すべてのユーザーを WebSphere ユーザー・レジストリーで管理する必要があります。 |
groupIdentifier | 任意のストリング値を指定できます。このプロパティーに、デフォルト値はありません。 | このプロパティーでは、サブジェクト内にグループ・メンバーとして組み込む値を持つ SAML 属性の名前を指定します。 |
realmIdentifier | デフォルトでは、このプロパティーは SAML 発行者名に設定されます。 | このプロパティーでは、サブジェクトのレルムとして使用する値を持つ SAML 属性の名前を指定します。このプロパティーを指定しなければ、SAML の発行者の名前がレルム名として使用されます。 |
realmName | 任意のストリング値を指定できます。このプロパティーに、デフォルト値はありません。 | このプロパティーでは、SAML アサーションで使用するレルム名を指定します。realmIdentifier プロパティーと realmName プロパティーの両方を指定した場合、realmName プロパティーのほうが realmIdentifier の値よりも優先されます。 |
filter | このプロパティーに、デフォルト値はありません。 | このプロパティーでは条件を指定します。その条件に照らして Web 要求が検査され、SAML Web インバウンド TAI の処理対象としてその要求が選択されるかどうかが決まります。 |
audiences | URI 値のコンマ区切りリストを指定できます。このプロパティーに、デフォルト値はありません。 | このプロパティーでは、許容対象者 URI のリストを指定します。そのリストが、SAML アサーションの <AudienceRestriction> エレメントで指定されている対象者 URI のリストと比較されます。そのリストにある URI が SAML アサーションに 1 つも含まれていないと、SAML トークンの妥当性検査が失敗します。 例: filter=”request-url%=helloworld” |
trustStore | このプロパティーに、デフォルト値はありません。 | このプロパティーは、SAML 署名を検証するためのトラストストアを指定します。 これは、管理対象鍵ストアの名前を指定します。 |
keyStore | このプロパティーに、デフォルト値はありません。 | このプロパティーは、暗号化された SAML アサーションを暗号化解除するための秘密鍵が入っている管理対象鍵ストアの名前を指定します。 |