Sie können SAML an Ihre Bedürfnisse anpassen.
Eigenschaften, die als mandantenübergreifende Eigenschaften hervorgehoben sind, können Sie nur mithilfe des Kommandozeilen-Tools ARIS Cloud Controller ändern. Zum Ändern der Einstellungen geben Sie Folgendes ein:
reconfigure umcadmin_<Größe Ihrer Installation, s, m oder l> JAVA-D<Eigenschaftsname>="<value>"
Beispiel
reconfigure umcadmin_m JAVA-Dcom.aris.umc.loadbalancer.url="https://myserver.com"
Allgemein
Schlüssel |
Beschreibung |
---|---|
com.aris.umc.saml.active |
SAML verwenden Legt fest, ob eine SAML-basierte Anmeldung erlaubt ist. Gültige Eingabe true, false Beispiel False |
com.aris.umc.saml.binding |
Binding Definiert das verwendete Binding für das Senden von Authentifizierungsanforderungen an den Identitätsanbieter. Definiert, wie die Umleitung der Authentifizierung erfolgt. Die Optionen sind Redirect oder POST. Beispiel POST |
com.aris.umc.saml.identity.provider.id |
Identitätsanbieter-ID Legt die ID des Identitätsanbieters fest. Gültige Eingabe Zeichenfolge |
com.aris.umc.saml.service.provider.id |
ID Service-Anbieter Legt die ID des Service-Anbieters fest. Gültige Eingabe Zeichenfolge |
com.aris.umc.saml.identity.provider.sso.url |
Single Sign-On-URL Legt den Endpunkt des Identitätsanbieters fest, der für Single Sign-On verwendet wird. |
com.aris.umc.saml.identity.provider.logout.url |
Single Logout-URL Legt den Endpunkt des Identitätsanbieters fest, der für Single Logout verwendet wird. |
Signatur
Schlüssel |
Beschreibung |
---|---|
com.aris.umc.saml.signature.assertion.active |
Signieren der Assertions erzwingen Setzt durch, dass SAML-Assertions signiert sein müssen. Wenn diese Option aktiviert ist, müssen alle Assertions, die die Anwendung empfängt, signiert sein. Assertions, die von der Anwendung gesendet werden, sind signiert. Gültige Eingabe true, false Beispiel False |
com.aris.umc.saml.signature.request.active |
Signieren der Anfragen erzwingen Setzt durch, dass die SAML-Authentifizierungsanfragen signiert sein müssen. Wenn diese Option aktiviert ist, müssen alle Anfragen, die die Anwendung empfängt, signiert sein. Anfragen, die von der Anwendung gesendet werden, sind signiert. Gültige Eingabe true, false Beispiel False |
com.aris.umc.saml.signature.response.active |
Signieren der Antworten erzwingen Setzt durch, dass die SAML-Antwort signiert sein muss. Wenn diese Option aktiviert ist, müssen alle Antworten, die die Anwendung empfängt, signiert sein. Antworten, die von der Anwendung gesendet werden, sind signiert. Gültige Eingabe true, false Beispiel False |
com.aris.umc.saml.signature.metadata.active |
Signieren der Metadaten erzwingen Setzt durch, dass die SAML-Metadaten signiert sein müssen. Wenn diese Option aktiviert ist, wird die von der Anwendung bereitgestellte Metadaten-Datei des Service-Anbieters signiert. Gültige Eingabe true, false Beispiel False |
com.aris.umc.saml.signature.algorithm |
Signatur-Algorithmus Legt den Algorithmus für die Signatur fest. Der Algorithmus kann aus der Liste gewählt werden. Gültige Eingabe Zeichenfolge |
Keystore
Schlüssel |
Beschreibung |
---|---|
com.aris.umc.saml.keystore.location |
Keystore Legt den Speicherort der Keystore-Datei fest, die zum Validieren von SAML-Assertions verwendet wird. Der Keystore muss vorher hochgeladen worden sein. |
com.aris.umc.saml.keystore.alias |
Alias Legt den Alias-Namen fest, der verwendet wird, um auf den Keystore zuzugreifen. Gültige Eingabe Zeichenfolge |
com.aris.umc.saml.keystore.password |
Kennwort Legt das Kennwort fest, das verwendet wird, um auf den Keystore zuzugreifen. Gültige Eingabe Zeichenfolge |
com.aris.umc.saml.keystore.type |
Typ Legt den Typ des Keystore fest, der verwendet werden soll. Der Keystore-Typ kann aus einer Liste gewählt werden. Gültige Eingabe Zeichenfolge Beispiel JKB |
Truststore
Schlüssel |
Beschreibung |
---|---|
com.aris.umc.saml.truststore.location |
Truststore Legt den Speicherort der Truststore-Datei fest, die zum Validieren von SAML-Assertions verwendet wird. Der Truststore muss zuvor hochgeladen worden sein. |
com.aris.umc.saml.truststore.alias |
Alias Legt des Alias fest, der zum Zugreifen auf den Trust-Store verwendet werden soll. Gültige Eingabe Zeichenfolge |
com.aris.umc.saml.truststore.password |
Kennwort Legt das Kennwort fest, das zum Zugreifen auf den Trust-Store verwendet werden soll. Gültige Eingabe Zeichenfolge |
com.aris.umc.saml.truststore.type |
Typ Legt den Typ des Truststore fest. Gültige Eingabe Zeichenfolge Beispiel JKB |
Benutzerattribute
Schlüssel |
Beschreibung |
---|---|
com.aris.umc.saml.attribute.fname |
Vorname Legt den Attributnamen fest, der zum Auslesen von Vornamen aus einer SAML-Assertion verwendet werden soll. Gültige Eingabe Zeichenfolge Beispiel Max |
com.aris.umc.saml.attribute.lname |
Nachname Legt den Attributnamen fest, der zum Auslesen von Nachnamen aus einer SAML-Assertion verwendet werden soll. Gültige Eingabe Zeichenfolge Beispiel Doe |
com.aris.umc.saml.attribute.email |
E-Mail-Adresse Legt den Attributnamen fest, der zum Auslesen von E-Mail-Adressen aus einer SAML-Assertion verwendet werden soll. Gültige Eingabe Zeichenfolge Beispiel jd@company.com |
com.aris.umc.saml.attribute.phone |
Telefonnummer Definiert den Attributnamen, der zum Auslesen von Telefonnummern aus einer SAML-Assertion verwendet werden soll. Gültige Eingabe Ganzzahl Beispiel 01234567 |
com.aris.umc.saml.attribute.memberof |
Mitglied von Attribut, das auf die Gruppen eines Benutzers referenziert. Gültige Eingabe Zeichenfolge Beispiel Hauptgruppe |
com.aris.umc.saml.attribute.userdefined |
Benutzerdefiniert Kommagetrennte Liste von Attributen, die als benutzerdefinierte Attribute des Benutzers importiert werden sollen. |
Erweiterte Einstellungen
Schlüssel |
Beschreibung |
---|---|
com.aris.umc.saml.login.mode.dn.active |
Anmeldung mit DN Legt fest, ob die Anmeldung mit vollqualifizierte Namen statt Benutzernamen versucht werden soll. Gültige Eingabe true, false |
com.aris.umc.saml.login.mode.keyword.active |
DN zerlegen Legt fest, ob der vollqualifizierte Name zerlegt werden soll oder nicht. Gültige Eingabe true, false |
com.aris.umc.saml.login.mode.keyword.name |
Schlüsselwort Legt fest, welcher Teil des vollqualifizierten Namens für die Anmeldung benutzt werden soll. Gültige Eingabe true, false |
com.aris.umc.saml.auth.context.class.refs |
Klassen des Authentifizierungskontexts Legt die anzufragenden Klassen des Authentifizierungskontexts, also die Stärke der Authentifizierung fest. Beispielsweise legen Sie fest, dass Benutzer Kerberos verwenden müssen, wenn Sie Microsoft® Windows als eine der Klassen des Authentifizierungskontexts und den Vergleich des Authentifizierungskontexts als exakt definieren. Gültige Eingabe Zeichenfolge |
com.aris.umc.saml.auth.context.comparison |
Vergleich des Authentifizierungskontexts Definiert den anzufragenden Vergleich des Authentifizierungskontexts, d. h. Sie legen fest, ob andere Authentifizierungsverfahren zulässig sind oder nicht. Beispielsweise legen Sie fest, dass Benutzer Kerberos verwenden müssen, wenn Sie Microsoft® Windows als eine der Klassen des Authentifizierungskontexts und den Vergleich des Authentifizierungskontexts als exakt definieren. Gültige Eingabe Zeichenfolge |
com.aris.umc.saml.auth.nameid.format |
NameID-Format Definiert, in welchem Format die Benutzer-ID an ARIS Administration übertragen wird. Gültige Eingabe Zeichenfolge |
com.aris.umc.saml.login.users.create |
Benutzer automatisch anlegen Definiert, ob der in der SAML-Assertion angegebene Benutzer automatisch angelegt werden soll, wenn der Benutzer nicht bereits vorhanden ist. Der Standardwert ist false. Die folgenden Einschränkungen gelten für automatisch angelegte Benutzer:
Gültige Eingabe true, false Beispiel False |
com.aris.umc.saml.assertion.timeoffset |
Zeitabweichung (in Sekunden) Legt den Zeitversatz zwischen Identitätsanbieter und Dienstanbieter in Sekunden fest. Assertions werden akzeptiert, wenn sie im erlaubten Zeitrahmen empfangen werden. Beispiel 60 |
com.aris.umc.saml.service.provider.urls |
Zulässige Dienstanbieter-URLs Kommagetrennte Liste der Dienstanbieter-URLs, die zulässig sind, damit die Benutzeradministration die Verwendung von SSO (Single-Sign-On) anfordern kann. |
com.aris.umc.saml.assertion.ttl |
Gültigkeitsdauer Assertion (in Sekunden) Legt die maximale Lebenszeit einer SAML-Assertion in Sekunden fest. Beispiel 10 |
com.aris.umc.saml.service.provider.assertion.consumer.url.overwrite |
Assertionsverbraucherdienst-URL Legt fest, dass die in SAML-Authentifizierungsanfragen verwendete Assertionsverbraucherdienst-URL überschrieben werden kann. Die URL muss im Format http(s)://hostname/umc/rest/saml/initsso angegeben sein. Wenn nichts festgelegt wird, dann wird die URL von der HTTP-Anfrage abgeleitet. |
com.aris.umc.saml.tenant |
Standard-Mandant Legt den Standard-Mandant fest, der für die SAML-basierte Anmeldung verwendet werden soll. Mandantenübergreifende Eigenschaft, die nur mithilfe von ARIS Cloud Controller geändert werden kann. Weitere Informationen hierzu finden Sie im Handbuch ARIS Cloud Controller (ACC) Command-line Tool. Gültige Eingabe Zeichenfolge Beispiel default |