SAML 认证的连接的配置设置
要为基于 SAML 的认证启用连接策略,必须在策略、策略映射或缺省映射的元数据部分中定义下列设置。
- SSO_SAML20_IDP
- 这是身份提供者的唯一名称,例如 IdpName。此元数据将启用基于
SAML 的认证的策略,并用来找到身份提供者设置。此元数据是支持基于 SAML 的认证所必需的。请参阅以下示例:
<meta-data> <name>SSO_SAML20_IDP</name> <value>IdpName</value> </meta-data>要点: 对于其余设置,IdpName 引用的是您在 SSO_SAML20_IDP 设置中指定的身份提供者的名称。 - IdpName.IDP_HOST
- 这是身份提供者的主机名或 IP 地址。此设置是必需的。请参阅以下示例:
<meta-data> <name>IdpName.IDP_HOST</name> <value>www.mytfim.org</value> </meta-data> - IdpName.IDP_PROTOCOL
- 此设置定义连接身份提供者的方式,并具有两个可能的值:http 或 https。请参阅以下示例:
<meta-data> <name>IdpName.IDP_PROTOCOL</name> <value>https</value> </meta-data> - IdpName.IDP_PORT
- 此设置定义用于身份提供者连接的 TCP 端口。缺省值为 80。请参阅以下示例:
<meta-data> <name>IdpName.IDP_PORT</name> <value>9443</value> </meta-data> - IdpName.IDP_URI
- 这是向其提交 SAML 认证的身份提供者服务的 URI。如果未定义此元数据设置,那么连接将使用缺省 URI /SAML2/SSO/POST。请参阅以下示例:
<meta-data> <name>IdpName.IDP_URI</name> <value>/idp/saml20/post</value> </meta-data> - IdpName.IDP_TIMEOUT
- 这是与身份提供者的连接的超时值。如果未定义此元数据设置,那么连接超时为 60 秒。请参阅以下示例:
<meta-data> <name>IdpName.IDP_TIMEOUT</name> <value>120</value> <!-- wait 2 minutes --> </meta-data> - IdpName.IDP_AUTH_TOKEN_SOURCE
- 这是可选参数,用于确定从中获取 IDP 认证令牌的位置。缺省值为 ltpa。SAML 认证协议以针对身份提供者的请求开始。此请求包含认证令牌,用于识别身份提供者的调用者。IdpName.IDP_AUTH_TOKEN_SOURCE 参数用于确定从中获取该认证令牌的位置。当前,启用了两个值:
- ltpa
- 如果定义了值 ltpa,那么 Ajax 代理将根据 Ajax 代理连接的用户主题创建 LTPA 令牌。将向身份提供者提交此 LTPA 令牌,以认证 IDP 请求。针对基于 Tivoli Federated Identity Manager 的大多数认证方案,ltpa 设置是首选设置。
- cookies
- 如果定义了值 cookies,那么 Ajax 代理会使用来自本地连接的认证 cookie 来认证 IDP 请求。认证 cookie 名称在 IdpName.IDP_AUTH_TOKEN.n 元数据设置中进行定义。
<meta-data> <name>IdpName.IDP_AUTH_TOKEN_SOURCE</name> <value>cookies</value> <! -- take cookie list from IDP_AUTH_TOKEN_COOKIE.n as authentication tokens --> </meta-data> - IdpName.PARAM_NAME.n 和 IdpName.PARAM_VALUE.n
- IdpName.PARAM_NAME.n 是针对身份提供者的 URL 查询参数的名称。将此设置与 IdpName.PARAM_VALUE.n 配合使用,后者定义了针对身份提供者的 URL 查询参数的值。对于这两项设置,n 是从 1 开始的计数器。请参阅以下示例:
<meta-data> <name>IdpName.PARAM_NAME.1</name> <value>RequestBinding</value> </meta-data> <meta-data> <name>IdpName.PARAM_VALUE.1</name> <value>HTTPPost</value> </meta-data> - IdpName.IDP_AUTH_COOKIE.n
- 这是认证 Cookie 的名称,其中 n 是从 1 开始的计数器。如果未定义此元数据设置,那么缺省认证 cookie 为 SAML20。请参阅以下示例:
<meta-data> <name>IdpName.IDP_AUTH_COOKIE.1</name> <value>SAML20</value> </meta-data> <meta-data> <name>IdpName.IDP_AUTH_COOKIE.2</name> <value>another_cookie</value> </meta-data> - IdpName.IDP_AUTH_TOKEN_COOKIE.n
- 这是用于针对身份提供者进行认证以启动 SAML 认证协议的认证 cookie 的名称。该元数据仅在将元数据 IdpName.IDP_AUTH_TOKEN_SOURCE 设置为 cookies 时才有效。否则,会忽略这些设置。以下示例定义认证 cookie MSISAuthenticated、MSISAuth 和 MSISAuth1。
<meta-data> <name>IdpName.IDP_AUTH_TOKEN_COOKIE.1</name> <value>MSISAuthenticated</value> </meta-data> <meta-data> <name>IdpName.IDP_AUTH_TOKEN_COOKIE.2</name> <value>MSISAuth</value> </meta-data> <meta-data> <name>IdpName.IDP_AUTH_TOKEN_COOKIE.3</name> <value>MSISAuth1</value> </meta-data>