Sie können SAML an Ihre Bedürfnisse anpassen.
Eigenschaften, die als mandantenübergreifende Eigenschaften hervorgehoben sind, können nur mithilfe des Kommandozeilen-Tools ARIS Cloud Controller geändert werden. Zum Ändern der Einstellungen geben Sie Folgendes ein:
reconfigure umcadmin_<Größe Ihrer Installation, s, m oder l> JAVA-D<Eigenschaftsname>="<value>"
Beispiel
reconfigure umcadmin_m JAVA-Dcom.aris.umc.loadbalancer.url="https://myserver.com"
Allgemein
Schlüssel |
Bezeichnung |
Gültige Eingabe |
Beispiel |
---|---|---|---|
com.aris.umc.saml.active |
SAML verwenden Legt fest, ob eine SAML-basierte Anmeldung erlaubt ist. |
true, false |
false |
com.aris.umc.saml.binding |
Binding Definiert das verwendete Binding für das Senden von Authentifizierungsanforderungen an den Identitätsanbieter. Definiert, wie die Umleitung der Authentifizierung erfolgt. Die Optionen sind Redirect oder POST. |
|
POST |
com.aris.umc.saml.identity.provider.id |
Identitätsanbieter-ID Legt die ID des Identitätsanbieters fest. |
Zeichenfolge |
|
com.aris.umc.saml.service.provider.id |
ID Service-Anbieter Legt die ID des Service-Anbieters fest. |
Zeichenfolge |
|
com.aris.umc.saml.identity.provider.sso.url |
Single Sign-On-URL Legt den Endpunkt des Identitätsanbieters fest, der für Single Sign-On verwendet wird. |
|
|
com.aris.umc.saml.identity.provider.logout.url |
Single Logout-URL Legt den Endpunkt des Identitätsanbieters fest, der für Single Logout verwendet wird. |
|
|
Signatur
Schlüssel |
Bezeichnung |
Gültige Eingabe |
Beispiel |
---|---|---|---|
com.aris.umc.saml.signature.assertion.active |
Signieren der Assertions erzwingen Setzt durch, dass SAML-Assertions signiert sein müssen. Wenn diese Option aktiviert ist, müssen alle Assertions, die die Anwendung empfängt, signiert sein. Assertions, die von der Anwendung gesendet werden, sind signiert. |
true, false |
false |
com.aris.umc.saml.signature.request.active |
Signieren der Anfragen erzwingen Setzt durch, dass die SAML-Authentifizierungsanfragen signiert sein müssen. Wenn diese Option aktiviert ist, müssen alle Anfragen, die die Anwendung empfängt, signiert sein. Anfragen, die von der Anwendung gesendet werden, sind signiert. |
true, false |
false |
com.aris.umc.saml.signature.response.active |
Signieren der Antworten erzwingen Setzt durch, dass die SAML-Antwort signiert sein muss. Wenn diese Option aktiviert ist, müssen alle Antworten, die die Anwendung empfängt, signiert sein. Antworten, die von der Anwendung gesendet werden, sind signiert. |
true, false |
false |
com.aris.umc.saml.signature.metadata.active |
Signieren der Metadaten erzwingen Setzt durch, dass die SAML-Metadaten signiert sein müssen. Wenn diese Option aktiviert ist, wird die von der Anwendung bereitgestellte Metadaten-Datei des Service-Anbieters signiert. |
true, false |
false |
com.aris.umc.saml.signature.algorithm |
Signatur-Algorithmus Legt den Algorithmus für die Signatur fest. Der Algorithmus kann aus der Liste gewählt werden. |
Zeichenfolge |
|
Keystore
Schlüssel |
Bezeichnung |
Gültige Eingabe |
Beispiel |
---|---|---|---|
com.aris.umc.saml.keystore.location |
Keystore Legt den Speicherort der Keystore-Datei fest, die zum Validieren von SAML-Assertions verwendet wird. Der Keystore muss vorher hochgeladen worden sein. |
|
|
com.aris.umc.saml.keystore.alias |
Alias Legt den Alias-Namen fest, der verwendet wird, um auf den Keystore zuzugreifen. |
Zeichenfolge |
|
com.aris.umc.saml.keystore.password |
Kennwort Legt das Kennwort fest, das verwendet wird, um auf den Keystore zuzugreifen. |
Zeichenfolge |
|
com.aris.umc.saml.keystore.type |
Typ Legt den Typ des Keystore fest, der verwendet werden soll. Der Keystore-Typ kann aus einer Liste gewählt werden. |
Zeichenfolge |
JKB |
Truststore
Schlüssel |
Bezeichnung |
Gültige Eingabe |
Beispiel |
---|---|---|---|
com.aris.umc.saml.truststore.location |
Truststore Legt den Speicherort der Truststore-Datei fest, die zum Validieren von SAML-Assertions verwendet wird. Der Truststore muss zuvor hochgeladen worden sein. |
|
|
com.aris.umc.saml.truststore.alias |
Alias Legt des Alias fest, der zum Zugreifen auf den Trust-Store verwendet werden soll. |
Zeichenfolge |
|
com.aris.umc.saml.truststore.password |
Kennwort Legt das Kennwort fest, das zum Zugreifen auf den Trust-Store verwendet werden soll. |
Zeichenfolge |
|
com.aris.umc.saml.truststore.type |
Typ Legt den Typ des Truststore fest. |
Zeichenfolge |
JKB |
Benutzerattribute
Schlüssel |
Bezeichnung |
Gültige Eingabe |
Beispiel |
---|---|---|---|
com.aris.umc.saml.attribute.fname |
Vorname Legt den Attributnamen fest, der zum Auslesen von Vornamen aus einer SAML-Assertion verwendet werden soll. |
Zeichenfolge |
Max |
com.aris.umc.saml.attribute.lname |
Nachname Legt den Attributnamen fest, der zum Auslesen von Nachnamen aus einer SAML-Assertion verwendet werden soll. |
Zeichenfolge |
Doe |
com.aris.umc.saml.attribute.email |
E-Mail-Adresse Legt den Attributnamen fest, der zum Auslesen von E-Mail-Adressen aus einer SAML-Assertion verwendet werden soll. |
Zeichenfolge |
jd@company.com |
com.aris.umc.saml.attribute.phone |
Telefonnummer Definiert den Attributnamen, der zum Auslesen von Telefonnummern aus einer SAML-Assertion verwendet werden soll. |
Ganzzahl |
01234567 |
com.aris.umc.saml.attribute.memberof |
Mitglied von Attribut, das auf die Gruppen eines Benutzers referenziert. |
Zeichenfolge |
Hauptgruppe |
com.aris.umc.saml.attribute.userdefined |
Benutzerdefiniert Kommagetrennte Liste von Attributen, die als benutzerdefinierte Attribute des Benutzers importiert werden sollen. |
|
|
Erweiterte Einstellungen
Schlüssel |
Bezeichnung |
Gültige Eingabe |
Beispiel |
---|---|---|---|
com.aris.umc.saml.login.mode.dn.active |
Anmeldung mit DN Legt fest, ob die Anmeldung mit vollqualifizierte Namen statt Benutzernamen versucht werden soll. |
true, false |
|
com.aris.umc.saml.login.mode.keyword.active |
DN zerlegen Legt fest, ob der vollqualifizierte Name zerlegt werden soll oder nicht. |
true, false |
|
com.aris.umc.saml.login.mode.keyword.name |
Schlüsselwort Legt fest, welcher Teil des vollqualifizierten Namens für die Anmeldung benutzt werden soll. |
true, false |
|
com.aris.umc.saml.auth.context.class.refs |
Klassen des Authentifizierungskontexts Legt die anzufragenden Klassen des Authentifizierungskontexts, also die Stärke der Authentifizierung fest. Beispielsweise legen Sie fest, dass Benutzer Kerberos verwenden müssen, wenn Sie Microsoft® Windows als eine der Klassen des Authentifizierungskontexts und den Vergleich des Authentifizierungskontexts als exakt definieren. |
Zeichenfolge |
|
com.aris.umc.saml.auth.context.comparison |
Vergleich des Authentifizierungskontexts Definiert den anzufragenden Vergleich des Authentifizierungskontexts, d. h. Sie legen fest, ob andere Authentifizierungsverfahren zulässig sind oder nicht. Beispielsweise legen Sie fest, dass Benutzer Kerberos verwenden müssen, wenn Sie Microsoft® Windows als eine der Klassen des Authentifizierungskontexts und den Vergleich des Authentifizierungskontexts als exakt definieren. |
Zeichenfolge |
|
com.aris.umc.saml.auth.nameid.format |
NameID-Format Definiert, in welchem Format die Benutzer-ID an ARIS Administration übertragen wird. |
Zeichenfolge |
|
com.aris.umc.saml.login.users.create |
Benutzer automatisch anlegen Definiert, ob der in der SAML-Assertion angegebene Benutzer automatisch angelegt werden soll, wenn der Benutzer nicht bereits vorhanden ist. Der Standardwert ist false. Die folgenden Einschränkungen gelten für automatisch angelegte Benutzer:
|
true, false |
false |
com.aris.umc.saml.assertion.timeoffset |
Zeitabweichung (in Sekunden) Legt den Zeitversatz zwischen Identitätsanbieter und Dienstanbieter in Sekunden fest. Assertions werden akzeptiert, wenn sie im erlaubten Zeitrahmen empfangen werden. |
|
60 |
com.aris.umc.saml.service.provider.urls |
Zulässige Dienstanbieter-URLs Kommagetrennte Liste der Dienstanbieter-URLs, die zulässig sind, damit die Benutzeradministration die Verwendung von SSO (Single-Sign-On) anfordern kann. |
|
|
com.aris.umc.saml.assertion.ttl |
Gültigkeitsdauer Assertion (in Sekunden) Legt die maximale Lebenszeit einer SAML-Assertion in Sekunden fest. |
|
10 |
com.aris.umc.saml.service.provider.assertion.consumer.url.overwrite |
Assertionsverbraucherdienst-URL Legt fest, dass die in SAML-Authentifizierungsanfragen verwendete Assertionsverbraucherdienst-URL überschrieben werden kann. Die URL muss im Format http(s)://hostname/umc/rest/saml/initsso angegeben sein. Wenn nichts festgelegt wird, dann wird die URL von der HTTP-Anfrage abgeleitet. |
|
|
com.aris.umc.saml.tenant |
Standard-Mandant Legt den Standard-Mandant fest, der für die SAML-basierte Anmeldung verwendet werden soll. Mandantenübergreifende Eigenschaft, die nur mithilfe von ARIS Cloud Controller geändert werden kann. Weitere Informationen hierzu finden Sie im Handbuch ARIS Cloud Controller (ACC) Command-line Tool. |
Zeichenfolge |
default |