SAML Web シングル・サインオン (SSO) トラスト・アソシエーション・インターセプター (TAI) のカスタム・プロパティー
以下の表は、Security Assertion Markup Language (SAML) トラスト・アソシエーション・インターセプター (TAI) のカスタム・プロパティーをリストしたものです。 これらのプロパティーは、管理コンソールを使用して、SAML TAI のカスタム・プロパティー・パネルで定義することができます。
関与する可能性のある各シングル・サインオン (SSO) サービス・プロバイダー (SP) パートナーを
識別する固有のプロパティー名を割り当てるために、プロパティー名に sso_<id>
が組み込まれ、
これを使用して 各 SSO パートナーに関連付けられたプロパティーがグループ化されます。 これらの sso_<id>
は、SSO サービス・プロバイダー・パートナーごとに順番に番号が付けられます。
- グローバル・プロパティー - これらのプロパティーは、SAML TAI 用に構成されているすべての SSO パートナーに適用可能です。
- IdP プロパティー - これらのプロパティーは、SAML TAI 用に構成されている ID プロバイダーに適用可能です。 それぞれの ID プロバイダー・パートナーを識別する固有のプロパティー名を割り当てるために、
プロパティー名に
idp_<id>
が組み込まれ、これを使用して、 各 SSO IdP パートナーに関連付けられたプロパティーがグループ化されます。 - サービス・プロバイダー・プロパティー-これらのプロパティーはサービス・プロバイダーに適用され、SSO サービス・プロバイダー・パートナーごとに固有の
sso_<id>
の下にグループ化されます。<id>
を数値に置き換えて、固有のsso_<id>
(sso_1.acsUrl
など) を生成します。 2 つのプロバイダーがある場合は、sso_2.acsUrl
を使用して別のセットを作成します。
sso_<id>.sp.principalName
カスタム・プロパティーで構成されます。 SAML アサーションに NameID がなく、 sso_<id>.sp.principalName
カスタム・プロパティーが構成されていない場合、SAML Web SSO TAI は保護リソースへのアクセスを許可しません。次の表では、SAML TAI のカスタム・プロパティーのうちグローバル・プロパティーについて説明します。
プロパティー名 | 値 | 説明 |
---|---|---|
targetUrl |
任意の URL 値を指定することができます。 | このプロパティーは、sso_<id>.sp.targetUrl によってオーバーライドされます。 これは、IdP から RelayState を受け取っていない場合に、SAMLResponse の妥当性検査が成功した後に使用するデフォルトのターゲット URL になります。 |
useRelayStateForTarget |
以下のいずれかの値を指定することができます。
|
このプロパティーは、sso_<id>.sp.
useRelayStateForTarget によってオーバーライドされます。 これは、RelayState をターゲット URL として使用するかどうかを示すために使用されます。 |
|
以下のいずれかの値を指定することができます。
|
要求が IdPにリダイレクトされたときに TAI が JavaScript を使用できるようにするには、このプロパティーを true に設定します。 JavaScriptを使用しない場合、元のインバウンド要求に存在するフラグメントはすべて失われます。
|
allowedClockSkew |
任意の正数を指定することができます。 デフォルトは 3 分です。 | このプロパティーは、sso_<id>.sp.allowedClockSkew によってオーバーライドされます。 これは、SAML アサーションの検証時に許可されるクロック・スキューを分単位で指定するために使用されます。 |
enforceTaiCookie |
以下のいずれかの値を指定することができます。
|
このプロパティーは、sso_<id>.sp.enforceTaiCookie によってオーバーライドされます。 これは、SSO パートナー用に作成されたサブジェクトに LTPA Cookie がマップされるかどうかを SAML TAI が確認する必要があるかどうかを示すために使用されます。詳しくは、 |
|
任意の URL 値を指定することができます。 この URL を IdPのシングル・ログアウト (SLO) エンドポイントにすることはできません。 |
このプロパティーは、sso_<id>.sp.logoutUrl によってオーバーライドされます。 ログアウト要求は、 HttpServletRequest.logout またはフォーム・ログアウトの実行時に、このプロパティーで指定された URL にリダイレクトされます。 |
preventReplayAttackScope |
このプロパティーにはデフォルトはありません。 以下の値を指定できます。
|
デフォルトで、SAML TAI はリプレイ・アタックを避けるために、分散キャッシュを使用して SAML アサーション ID を保管します。 このプロパティーを server に設定すると、SAML TAI は代わりにローカル・キャッシュを使用します。 |
replayAttackTimeWindow |
任意の整数値を指定することができます。 デフォルト値は 30 です。 | このプロパティーは、2 つの同一の SAML アサーションが TAI によって受信された場合に、2 番目の要求が拒否される時間を分単位で指定します。 sso_<id>.sp.preventReplayAttack も参照してください。 |
retryOnceAfterTrustFailure |
以下のいずれかの値を指定することができます。
|
トラスト検証が失敗した後にランタイムがトラストストアを再ロードできるようにするには、このプロパティーを true に設定します。 これにより、アプリケーション・サーバー実行中にトラストストアが新しい IdP 証明書で更新されることが許可されます。 |
redirectToIdPonServerSide |
以下のいずれかの値を指定することができます。
|
このプロパティーは、sso_<id>.sp.redirectToIdPonServerSide によってオーバーライドされます。 このプロパティーを使用して、TAI を IdP 自体にリダイレクトすることを示します。 クライアント・サイド・リダイレクトを実行するには、このプロパティーを false に設定します。 リダイレクトで URL フラグメントが失われる場合、このプロパティーを false に設定します。TAI は JavaScript を使用してクライアント・サイドのリダイレクトを実行します。
|
次の表では、SAML TAI のカスタム・プロパティーのうち IdP プロパティーについて説明します。
プロパティー名 | 値 | 説明 |
---|---|---|
sso_<id>.idp_<id>.SingleSignOnUrl |
任意の URL 値を指定することができます。 | このカスタム・プロパティーは、IdP の SSO サービスの URL を指定します。 このプロパティーは、 |
sso_<id>.idp_<id>.allowedIssuerDN |
このカスタム・プロパティーに、デフォルト値はありません。 | このカスタム・プロパティーは、 IdPによって送信される SAML アサーションに署名できる証明書のサブジェクト DN を指定します。 SAML アサーションがこの証明書によって署名されていない場合、トークンは拒否されます。 このプロパティーが指定されている場合、 sso_<id>.sp.wantAssertionsSigned カスタム・プロパティーは true でなければなりません。 IdP の署名者証明書の代わりに、トラストストア内に署名者証明書の発行者がある場合、このプロパティーを使用してください。 これによって、すべての署名者証明書が同じ発行者によって発行されることを許可することが防止されます。 |
sso_<id>.idp_<id>.allowedIssuerName |
このカスタム・プロパティーに、デフォルト値はありません。 | このカスタム・プロパティーは、SAML アサーション内の <saml:Issuer> 発行者エレメントの値を指定します。 トークン内の発行者がこの値と一致しない場合、 IdP から受信した SAML アサーションは拒否されます。 |
次の表では、SAML TAI のカスタム・プロパティーのうちサービス・プロバイダー・プロパティーについて説明します。
プロパティー名 | 値 | 説明 |
---|---|---|
sso_<id>.sp.acsUrl |
このプロパティーは必須であり 、デフォルト値はありません。 以下のいずれかの値を指定することができます。
|
このプロパティーは、ACS またはビジネス・アプリケーションの URL を指定します。 SAML ワークフロー用に同様のエントリー・ポイントを複数持つ必要がある場合は、このプロパティー用の特定の URI パターン・ストリングではなく、ストリングの末尾にワイルドカードが付いた URL を指定することができます。 以下に例を示します。
各 |
sso_<id>.sp.login.error.page |
このプロパティーにはデフォルト値はありませんが、SP 開始 Web SSO フローを使用して要求を処理する場合は、値を設定する必要があります。 | このプロパティーは、非認証クライアント要求のリダイレクト先であるエラー・ページ、IdP ログイン・ページ、またはカスタム・マッピング・クラスを指定します。 カスタム・マッピング・クラスは、ID プロバイダー・マッピング用に SP 開始の SSO と ID プロバイダー・マッピングのどちらの場合も、要求が最初にアプリケーション・サーバーに送信されると、ユーザーがログインするために IdP にリダイレクトされます。 |
sso_<id>.sp.acsErrorPage |
このプロパティーのデフォルトは、 sso_ < id>.sp.login.error.pageの値です。 | このプロパティーは、 sso_<id>.sp.login.error.page をオーバーライドするために使用されます。 |
sso_<id>.sp.filter |
任意のフィルター値を指定できます。 デフォルト値は |
このプロパティーは、要求を処理する SP を選択するために HTTP 要求に対してチェックされる条件を指定します。 このプロパティーについて詳しくは、「 SAML TAI フィルター・プロパティー 」セクションを参照してください。 デフォルト・フィルターは、管理アプリケーションへの要求を除き、TAI に送信されたすべての要求を代行受信します。 要求が複数の SP のフィルター条件と一致する場合、その要求は拒否されます。 |
|
このプロパティーに任意の URL 値を指定することができます。 この URL を IdPのシングル・ログアウト (SLO) エンドポイントにすることはできません。 |
ログアウト要求は、 HttpServletRequest.logout またはフォーム・ログアウトの実行時に、このプロパティーで指定された URL にリダイレクトされます。 |
sso_<id>.sp.targetUrl |
このプロパティーに、デフォルト値はありません。 | このプロパティーはターゲット・アプリケーションの URL を指定します。 これは、クライアント要求に RelayState が存在しないときに使用されます。 |
sso_<id>.sp.useRelayStateForTarget |
以下のいずれかの値を指定することができます。
|
このプロパティーは、クライアント要求で受け取った RelayState 値をターゲット・アプリケーションの URL として使用するかどうかを指定します。 このプロパティーを false に設定すると、sso_<id>.sp.targetUrl プロパティーがターゲット・アプリケーションの URL として使用されます。 |
sso_<id>.sp.idMap |
以下のいずれかの値を指定することができます。
|
このプロパティーは、SAML ユーザーをサブジェクトにマップする方法を指定します。 |
sso_<id>.sp.principalName |
任意の SAML 属性名を指定できます。 このプロパティーに、デフォルト値はありません。 | このプロパティーは、サブジェクト・プリンシパルとして使用される SAML 属性を指定します。 デフォルトでは、Subject プリンシパルの値は、SAML アサーション内の |
sso_<id>.sp.uniqueId |
任意の SAML 属性名を指定できます。 このプロパティーに、デフォルト値はありません。 | このプロパティーは、サブジェクト デフォルトでは、 |
sso_<id>.sp.groupName |
任意の SAML 属性名を指定できます。 このプロパティーに、デフォルト値はありません。 | このプロパティーは、ユーザーのグループ・メンバーシップを含み、IDAssertion でのみ使用される SAML 属性を指定します。 グループは、 sso_<id>.sp.groupMap プロパティーの値に従って、ユーザーのサブジェクトに追加されます。 |
sso_<id>.sp.groupMap |
このプロパティーに、デフォルト値はありません。 以下のいずれかの値を指定することができます。
|
このプロパティーは、SAML アサーション内のグループを WebSphere グループにマップする方法を指定し、IDAssertion でのみ使用されます。 SAML アサーションからグループを取得するには、 sso_<id>.sp.groupName プロパティーを値に設定する必要があります。 デフォルトでは、IDAssertion を使用すると、SAML ユーザーのサブジェクトにグループは追加されません。 |
sso_<id>.sp.realmName |
This can be any string value. デフォルトでは、このプロパティーは SAML 発行者名に設定されます。 | このプロパティーは任意の SAML 属性を指定するもので、realmNameRange と対で使用されます。 この属性の値はサブジェクト・レルムとして使用されます。 このレルムは、realmNameRange によって指定されたレルムのリストに存在しなければ拒否されます。 |
sso_<id>.sp.realmNameRange |
このプロパティーにはデフォルト値がありません。 | このプロパティーは許容されるレルム名のリストを指定するもので、realmName と対で使用されます。 sso_<id>.sp.realmName の説明を参照してください。 |
|
このカスタム・プロパティーに、デフォルト値はありません。 | このプロパティーはレルム名を指定するもので、デフォルト・レルムをオーバーライドするために使用されます。 このプロパティーは realmName プロパティーもオーバーライドします。デフォルトの WebSphere レルム名を使用するには、このプロパティーの値を |
sso_<id>.sp.wantAssertionsSigned |
以下のいずれかの値を指定することができます。
|
このプロパティーが false に設定された場合は、SAML アサーションに署名する必要がないので、署名の検証は行われません。 このプロパティーの値が trueの場合、 sso_<id>.sp.trustAnySigner を true に設定するか、 sso_<id>.sp.trustStore を有効な管理対象鍵ストアに設定する必要があります。 |
sso_<id>.sp.trustAnySigner |
以下のいずれかの値を指定することができます。
|
このプロパティーは、信頼性検証のために SAML アサーションの署名者証明書を検証するかどうかを指定します。 このプロパティーが true に設定された場合は、どの署名者証明書も信頼されることになります。 |
sso_<id>.sp.trustStore |
単一サーバー上ではデフォルトのトラストストアは NodeDefaultTrustStore であり、その他の場合は CellDefaultTrustStore です。 |
このプロパティーは、SAML 署名を検証するためのトラストストアを指定します。 これは、管理対象鍵ストアの名前を指定します。 例:
|
sso_<id>.sp.trustedAlias |
このプロパティーに、デフォルト値はありません。 | このプロパティーを指定すると、この別名で指定された証明書を使用して SAML アサーション内の署名が検証されます。 この証明書は、SAML アサーションに存在する可能性のあるすべての証明書の値をオーバーライドします。 SAMLResponse の着信 SAML アサーション内の署名に KeyInfo エレメントが含まれていない場合は、このプロパティーを指定して署名を検証する必要があります。 |
sso_<id>.sp.keyStore |
このプロパティーは、 単一サーバーの場合、デフォルトの keyStore は |
このプロパティーは、暗号化された SAML アサーションを暗号化解除するための秘密鍵が入っている管理対象鍵ストアの名前を指定します。 例:
|
sso_<id>.sp.keyAlias |
このプロパティーは、EncryptedAssertion を受け取って処理するために必要であり、デフォルト値はありません。 | このプロパティーは、SAML アサーションを暗号化解除するための鍵別名を指定します。 |
sso_<id>.sp.keyName |
このプロパティーは、EncryptedAssertion を受け取って処理するために必要であり、デフォルト値はありません。 | このプロパティーは、SAML アサーションを暗号化解除するための鍵名を指定します。 |
sso_<id>.sp.keyPassword |
このプロパティーは、EncryptedAssertion を受け取って処理するために必要であり、デフォルト値はありません。 | このプロパティーは、SAML アサーションを暗号化解除するための鍵パスワードを指定します。 |
sso_<id>.sp.allowedClockSkew |
このプロパティーに、デフォルト値はありません。 | このプロパティーは、 IdPによって送信される SAML アサーションのトークン有効期限に追加される時間を分単位で指定します。 |
|
このプロパティーに、デフォルト値はありません。 例えば UTF-8 に設定します | このプロパティーは、HTTPServletRequest 内の設定をオーバーライドするために使用される文字エンコード方式を指定します。 |
sso_<id>.sp.cookiegroup |
このプロパティーに、デフォルト値はありません。 | このプロパティーは、構成済み SAML SSO パートナーの LTPA Cookie に追加されるタグを指定します。 Web 要求を LTPA Cookie と共に受信した場合、その LTPA Cookie は、タグがこの値と一致している場合のみ有効です |
sso_<id>.sp.defaultRealm |
以下のいずれかの値を指定することができます。
|
このカスタム・プロパティーは、SAML アサーションの Issuer と NameQualifier のどちらをデフォルト・レルムとして使用するかを指定します。 |
|
以下のいずれかの値を指定することができます。
|
このプロパティーが true に設定されている場合、リダイレクトの元の URL がデコードすることなく使用されます。 |
sso_<id>.sp.enforceTaiCookie |
以下のいずれかの値を指定することができます。
|
このプロパティーは、SSO パートナー用に作成されたサブジェクトに LTPA Cookie がマップされるかどうかを SAML TAI が確認する必要があるかどうかを示すために使用されます。 このプロパティーを このプロパティーが true (デフォルト) に設定されている場合、 |
sso_<id>.sp.EntityID |
デフォルトでは、このプロパティーは sso_ < id>.sp.acsUrlの値に設定されます。 | このプロパティーは、SAML アサーションで AudienceRestriction を検証するために使用されます。 |
sso_<id>.sp.includeCacheKey |
以下のいずれかの値を指定することができます。
|
このプロパティーは、TAI が、要求用に作成される WebSphere サブジェクトのカスタム authCacheキーを生成することを示します。 このプロパティーを false に設定すると、コア・セキュリティーによりキャッシュ・キーが生成されます。 enforceTaiCookie プロパティーが trueに設定されている場合は、このプロパティーを true に設定する必要があります。
|
sso_<id>.sp.includeToken |
以下のいずれかの値を指定することができます。
|
このプロパティーは、ID プロバイダーから受信した SAML アサーションから WebSphere サブジェクト内に作成される SAMLtoken オブジェクトが TAI に含まれることを示します。 以下の各条件では、このプロパティーを true (デフォルト) に設定する必要があります。
Subject に
|
sso_<id>.sp.interceptAdminApp |
このカスタム・プロパティーに有効な値を 1 つ選択してください:
|
SP が管理コンソールなどの管理アプリケーションをインターセプトできるようにするには、このプロパティーを true に設定します。 このプロパティーを true に設定する場合は、必ず、 wsadmin などのコマンド・ライン・アプリケーションがインターセプトされないようにフィルターを設定してください。 デフォルトでは、フィルターが管理アプリケーションをインターセプトするように設定されていても、このプロパティーが true に設定されていない限り、TAI はそれをインターセプトしません。 |
sso_<id>.sp.preserveRequestState |
以下のいずれかの値を指定することができます。
|
TAI が認証のために要求を IdP にリダイレクトする前に、元の要求 URL とパラメーターを保存しないようにするには、このプロパティーを false に設定します。 このプロパティーを falseに設定すると、要求の復元に WasSamlSpReqURL Cookie は使用されません。 以下の いずれか のアクションが実行されていることを確認する必要があります。
|
sso_<id>.sp.preventReplayAttack |
以下のいずれかの値を指定することができます。
|
このプロパティーは、SAML TAI が、2 つの同一の SAML アサーションがクライアント要求で送信されないようにするかどうかを指定するために使用されます。 このプロパティーはグローバル・プロパティー replayAttackTimeWindow と対で使用されます。 |
sso_<id>.sp.preventReplayAttackScope |
このプロパティーにはデフォルトはありません。 以下の値を指定できます。
|
デフォルトで、SAML TAI はリプレイ・アタックを避けるために、分散キャッシュを使用して SAML アサーション ID を保管します。 このプロパティーを server に設定すると、SAML TAI は代わりにローカル・キャッシュを使用します。 |
sso_<id>.sp.redirectToIdPonServerSide |
以下のいずれかの値を指定することができます。
|
このプロパティーを使用して、TAI を IdP 自体にリダイレクトすることを示します。 クライアント・サイド・リダイレクトを実行するには、このプロパティーを false に設定します。 リダイレクトで URL フラグメントが失われる場合、このプロパティーを false に設定します。TAI は JavaScript を使用してクライアント・サイドのリダイレクトを実行します。
|
sso_<id>.sp.retryOnceAfterTrustFailure |
以下のいずれかの値を指定することができます。
|
トラスト検証が失敗した後にランタイムがトラストストアを再ロードできるようにするには、このプロパティーを true に設定します。 これにより、アプリケーション・サーバー実行中にトラストストアが新しい IdP 証明書で更新されることが許可されます。 |
|
以下のいずれかの値を指定することができます。
|
このプロパティーが true に設定され、要求が IdPにリダイレクトされると、TAI は JavaScriptを使用します。 JavaScript を使用しない場合、元のインバウンド要求に存在するフラグメントはすべて失われます。
|
sso_<id>.sp.userMapImpl |
このプロパティーに、デフォルト値はありません。 | このプロパティーは、カスタム・ユーザー・マッピング・モジュール・クラスの名前を指定します。 これは、SAML アサーション内のユーザー ID を、ローカル・ユーザー・レジストリー内に存在する別のユーザー ID にマップするために使用されます。 カスタム・マッピング・クラスは、 ユーザー・マッピング・エラーが発生した場合に、 sso_<id>.sp.acsErrorPage カスタム・プロパティーに設定されているエラー・ページ以外のエラー・ページを使用するには、 |
sso_<id>.sp.X509PATH |
このプロパティーに、デフォルト値はありません。 | このプロパティーは、SAML 署名の検証で使用される中間証明書用の証明書ストアを指定します。 |
sso_<id>.sp.CRLPATH |
このプロパティーに、デフォルト値はありません。 | このプロパティーは、SAML 署名の検証で使用される証明書失効リスト用の証明書ストアを指定します。 |
SAML TAI フィルター・プロパティー
sp.filter
SAML TAI フィルター・プロパティーは、クライアントが IdP への認証なしで、保護されているサービス・プロバイダー・アプリケーションを直接呼び出すときに使用されます。 通常、このフィルター・プロパティーは、認証されなかったクライアント要求を sp.login.error.page
プロパティーで指定された URL アドレスにリダイレクトするために、sp.login.error.page
プロパティーと対で使用されます。 sp.filter
プロパティーは、SAMLResponse には適用されません。 SAMLResponse 内の要求 URL は、sp.acsURL
に照らして評価されます。
SAML TAI フィルター・プロパティーは、OAuth、OIDC、および SAML Web インバウンド TAI によってサポートされます。
入力エレメントが HTTP 要求から抽出する HTTP 要求ヘッダー・フィールドを特定すると、そのフィールドの値が演算子の指定に従ってフィルター・プロパティーに指定されている値と比較されます。 入力エレメントによって特定されたヘッダー・フィールドが HTTP 要求に存在しなければ、条件は満たされていないとみなされます。 任意の HTTP 要求ヘッダー・フィールドを、フィルター条件の入力エレメントとして使用できます。 有効なヘッダーのリストについては、HTTP 仕様を参照してください。
プロパティー名 | 説明 |
---|---|
request-url |
このフィルターは、クライアント・アプリケーションが要求を行うために使用する URL アドレスと比較します。 この値には、照会ストリングが含まれます。 例 : https://acme.com/app/folder/page.html?abc=123 |
remote-address |
このフィルターは、 HTTP 要求を送信したクライアント・アプリケーションの TCP/IP アドレスと比較します。 |
applicationNames |
このフィルターは、 HTTP 要求が属するアプリケーションの名前と比較します。 |
|
このフィルターは、プロトコル名から HTTP 要求の照会ストリングまでの要求 URL の部分と比較します。 この値には、照会ストリングは含まれません。 例えば、 https://acme.com/app/folder/page.html?abc=123 URLの場合、 request-uri は /app/folder/page.html です。 |
オペレーター | 条件 | 例 |
---|---|---|
== |
この演算子は完全一致を指定します。 入力エレメントが比較値に等しくなければなりません。 | From==jones@my.company.com |
%= |
入力エレメントに比較値を含める必要があります。 |
|
^= |
入力エレメントにいずれかの比較値を含める必要があります。 これは | 演算子と結合できる唯一の演算子です。 値が 1 つしか指定されていない場合、この演算子は %= と同義です。 | request-url^=urlApp1|urlApp2| urlApp3 |
!= |
入力エレメントに比較値を含めないでください。 | request-url!=test105 |
|
入力エレメントは、正規表現として比較値と一致する必要があります。 |
|
> |
入力エレメントが比較値より大です。 | remote-address>192.168.255.130 |
< |
入力エレメントが比較値より小です。 | remote-address<192.168.255.135 |
; |
論理 AND 演算子 | request-url!=test105;From==jones@my.company.com5 |
|
論理 OR 演算子 | request-uri~=/ibm/console(?!/images/)(.*).*||request-url!=test105;From==jones@my.company.com||request-url%=company.com/urlApp1 |
バージョン 9.0.5.14より前には、フィルター・プロパティーで使用できる論理 OR 演算子は存在しません。
例
From
を、samluser@xyz.com
を比較値として、また ==
を演算子として持つ、入力として指定しています。sso_1.sp.filter=From==samluser@xyz.com
この場合は、samluser@xyz.com
という値を持つ HTTP ヘッダー・フィールド From
がクライアント要求に含まれていると、SAML TAI はこの sso_1
フィルターの SSO サービス・プロバイダー・パートナーをクライアント要求の処理のために選択します。ivtlanding.jsp
を、また演算子として %=
を持つ URL を指定しています。sso_2.sp.filter=request-url%=ivtlanding.jsp
この場合は、クライアントが呼び出すターゲット・アプリケーションの URL にストリング ivtlanding.jsp
が含まれていると、SAML TAI はこの sso_2
フィルターの SSO パートナーをクライアント要求の処理のために選択します。DefaultApplication
を、また演算子として ==
を持つアプリケーション名を指定しています。sso_3.sp.filter=applicationNames==DefaultApplication
この場合は、クライアント・アプリケーションが呼び出すターゲット・アプリケーションの名前が DefaultApplication
であると、SAML TAI はこの sso_3
フィルターの SSO パートナーをクライアント要求の処理のために選択します。