SAML Web 入站 TAI 定制属性
SAML Web 入站信任关联拦截器 (TAI) 定制属性用来确定 Web 入站 TAI 的行为,并用来处理在入站 Web 请求中接收到的 SAML 令牌。
下列各表列示 SAML Web 入站 TAI 的定制属性。您可以使用管理控制台在 SAML Web 入站 TAI 的定制属性面板中定义这些属性。
这些属性分组为两个类别:
必需属性
属性名 | 值 | 描述 |
---|---|---|
headerName | 您可以指定任何字符串值。此属性没有缺省值。 | 此属性指定入站请求中的一列头名称,TAI 将查找这些头以抽取
SAML 令牌。您可指定单个头名称,也可指定多个以逗号或“|”分隔的头名称。
示例: headerName=saml_token headerName=header one, header two headerName=saml1 token|saml2 token|saml3_token |
可选属性
属性名 | 值 | 描述 |
---|---|---|
setLtpaCookie | 可以指定下列其中一个值:
|
此属性指定 SAML Web 入站 TAI 是否必须在响应中设置 LTPA 令牌。缺省情况下,TAI 不会在响应中设置 LTPA Cookie。 |
signatureAlgorithm | 可以指定下列其中一个值:
|
此属性指定用于对 SAML 令牌进行签名的算法。如果此属性指定 SHA256,那么请求中的 SAML 令牌必须使用 SHA256 签名算法进行签名,否则该请求将被拒绝。 |
clockSkew | 可以指定任何正整数。缺省值是 3 分钟。 | 此属性指定验证 SAML 令牌时允许的时钟偏差(以毫秒计)。 |
userIdentifier | 缺省情况下,此属性设置为 SAML 主体集的 NameID 属性的值。 | 此属性指定一个 SAML 属性的名称,该 SAML 属性的值将用作用户标识。 示例: userIdentifier=RunAsUser |
mapIdentityToRegistryUser | 可以指定下列其中一个值:
|
如果此属性设置为 false,那么将以 SAML 断言中指定的用户和组填充 WebSphere® 主体集。
如果此属性设置为 true,那么 SAML Web 入站 TAI 会将 SAML 令牌中的用户映射到 WebSphere 用户注册表中的同一用户。这要求在 WebSphere 用户注册表中维护所有用户。 |
groupIdentifier | 您可以指定任何字符串值。此属性没有缺省值。 | 此属性指定一个 SAML 属性的名称,该 SAML 属性的值将作为组成员包括在主体集内。 |
realmIdentifier | 缺省情况下,此属性设置为 SAML 签发者名称。 | 此属性指定一个 SAML 属性的名称,该 SAML 属性的值将用作主体集领域。如果未指定此属性,那么将使用 SAML 签发者名称作为领域名称。 |
realmName | 您可以指定任何字符串值。此属性没有缺省值。 | 此属性指定要用于 SAML 断言的领域名称。如果同时指定 realmIdentifier 和 realmName 属性,那么 realmName 属性将覆盖 realmIdentifier 的值。 |
filter | 此属性没有缺省值。 | 此属性用于指定要对 Web 请求检查的条件,以确定是否选择该请求以供 SAML Web 入站 TAI 进行处理。 |
audiences | 可在此处指定以逗号分隔的 URI 值列表。此属性没有缺省值。 | 此属性指定允许的受众 URI 列表,此列表将与 SAML 断言中
<AudienceRestriction> 元素所指定的受众 URI
列表进行比较。如果此列表中的所有 URI 在 SAML 断言中都不存在,那么 SAML 令牌验证将失败。
示例: filter="request-url%=helloworld" |
trustStore | 此属性没有缺省值。 | 此属性指定用于验证 SAML 签名的信任库。它指定受管密钥库的名称。 |
keyStore | 此属性没有缺省值。 | 此属性指定一个受管密钥库的名称,该密钥库包含用于对经过加密的 SAML 断言进行解密的专用密钥。 |