Welche SAML-Eigenschaften sind verfügbar?

Sie können SAML an Ihre Bedürfnisse anpassen.

Eigenschaften, die als mandantenübergreifende Eigenschaften hervorgehoben sind, können nur mithilfe des Kommandozeilen-Tools ARIS Cloud Controller geändert werden. Zum Ändern der Einstellungen geben Sie Folgendes ein:

reconfigure umcadmin_<Größe Ihrer Installation, s, m oder l> JAVA-D<Eigenschaftsname>="<value>"

Beispiel

reconfigure umcadmin_m JAVA-Dcom.aris.umc.loadbalancer.url="https://myserver.com"

Allgemein

Schlüssel

Bezeichnung

Gültige Eingabe

Beispiel

com.aris.umc.saml.active

SAML verwenden

Legt fest, ob eine SAML-basierte Anmeldung erlaubt ist.

true, false

false

com.aris.umc.saml.binding

Binding

Definiert das verwendete Binding für das Senden von Authentifizierungsanforderungen an den Identitätsanbieter. Definiert, wie die Umleitung der Authentifizierung erfolgt. Die Optionen sind Redirect oder POST.

 

POST

com.aris.umc.saml.identity.provider.id

Identitätsanbieter-ID

Legt die ID des Identitätsanbieters fest.

Zeichenfolge

 

com.aris.umc.saml.service.provider.id

ID Service-Anbieter

Legt die ID des Service-Anbieters fest.

Zeichenfolge

 

com.aris.umc.saml.identity.provider.sso.url

Single Sign-On-URL

Legt den Endpunkt des Identitätsanbieters fest, der für Single Sign-On verwendet wird.

 

 

com.aris.umc.saml.identity.provider.logout.url

Single Logout-URL

Legt den Endpunkt des Identitätsanbieters fest, der für Single Logout verwendet wird.

 

 

Signatur

Schlüssel

Bezeichnung

Gültige Eingabe

Beispiel

com.aris.umc.saml.signature.assertion.active

Signieren der Assertions erzwingen

Setzt durch, dass SAML-Assertions signiert sein müssen. Wenn diese Option aktiviert ist, müssen alle Assertions, die die Anwendung empfängt, signiert sein. Assertions, die von der Anwendung gesendet werden, sind signiert.

true, false

false

com.aris.umc.saml.signature.request.active

Signieren der Anfragen erzwingen

Setzt durch, dass die SAML-Authentifizierungsanfragen signiert sein müssen. Wenn diese Option aktiviert ist, müssen alle Anfragen, die die Anwendung empfängt, signiert sein. Anfragen, die von der Anwendung gesendet werden, sind signiert.

true, false

false

com.aris.umc.saml.signature.response.active

Signieren der Antworten erzwingen

Setzt durch, dass die SAML-Antwort signiert sein muss. Wenn diese Option aktiviert ist, müssen alle Antworten, die die Anwendung empfängt, signiert sein. Antworten, die von der Anwendung gesendet werden, sind signiert.

true, false

false

com.aris.umc.saml.signature.metadata.active

Signieren der Metadaten erzwingen

Setzt durch, dass die SAML-Metadaten signiert sein müssen. Wenn diese Option aktiviert ist, wird die von der Anwendung bereitgestellte Metadaten-Datei des Service-Anbieters signiert.

true, false

false

com.aris.umc.saml.signature.algorithm

Signatur-Algorithmus

Legt den Algorithmus für die Signatur fest. Der Algorithmus kann aus der Liste gewählt werden.

Zeichenfolge

 

Keystore

Schlüssel

Bezeichnung

Gültige Eingabe

Beispiel

com.aris.umc.saml.keystore.location

Keystore

Legt den Speicherort der Keystore-Datei fest, die zum Validieren von SAML-Assertions verwendet wird. Der Keystore muss vorher hochgeladen worden sein.

 

 

com.aris.umc.saml.keystore.alias

Alias

Legt den Alias-Namen fest, der verwendet wird, um auf den Keystore zuzugreifen.

Zeichenfolge

 

com.aris.umc.saml.keystore.password

Kennwort

Legt das Kennwort fest, das verwendet wird, um auf den Keystore zuzugreifen.

Zeichenfolge

 

com.aris.umc.saml.keystore.type

Typ

Legt den Typ des Keystore fest, der verwendet werden soll. Der Keystore-Typ kann aus einer Liste gewählt werden.

Zeichenfolge

JKB

Truststore

Schlüssel

Bezeichnung

Gültige Eingabe

Beispiel

com.aris.umc.saml.truststore.location

Truststore

Legt den Speicherort der Truststore-Datei fest, die zum Validieren von SAML-Assertions verwendet wird. Der Truststore muss zuvor hochgeladen worden sein.

 

 

com.aris.umc.saml.truststore.alias

Alias

Legt des Alias fest, der zum Zugreifen auf den Trust-Store verwendet werden soll.

Zeichenfolge

 

com.aris.umc.saml.truststore.password

Kennwort

Legt das Kennwort fest, das zum Zugreifen auf den Trust-Store verwendet werden soll.

Zeichenfolge

 

com.aris.umc.saml.truststore.type

Typ

Legt den Typ des Truststore fest.

Zeichenfolge

JKB

Benutzerattribute

Schlüssel

Bezeichnung

Gültige Eingabe

Beispiel

com.aris.umc.saml.attribute.fname

Vorname

Legt den Attributnamen fest, der zum Auslesen von Vornamen aus einer SAML-Assertion verwendet werden soll.

Zeichenfolge

Max

com.aris.umc.saml.attribute.lname

Nachname

Legt den Attributnamen fest, der zum Auslesen von Nachnamen aus einer SAML-Assertion verwendet werden soll.

Zeichenfolge

Doe

com.aris.umc.saml.attribute.email

E-Mail-Adresse

Legt den Attributnamen fest, der zum Auslesen von E-Mail-Adressen aus einer SAML-Assertion verwendet werden soll.

Zeichenfolge

jd@company.com

com.aris.umc.saml.attribute.phone

Telefonnummer

Definiert den Attributnamen, der zum Auslesen von Telefonnummern aus einer SAML-Assertion verwendet werden soll.

Ganzzahl

01234567

com.aris.umc.saml.attribute.memberof

Mitglied von

Attribut, das auf die Gruppen eines Benutzers referenziert.

Zeichenfolge

Hauptgruppe

com.aris.umc.saml.attribute.userdefined

Benutzerdefiniert

Kommagetrennte Liste von Attributen, die als benutzerdefinierte Attribute des Benutzers importiert werden sollen.

 

 

Erweiterte Einstellungen

Schlüssel

Bezeichnung

Gültige Eingabe

Beispiel

com.aris.umc.saml.login.mode.dn.active

Anmeldung mit DN

Legt fest, ob die Anmeldung mit vollqualifizierte Namen statt Benutzernamen versucht werden soll.

true, false

 

com.aris.umc.saml.login.mode.keyword.active

DN zerlegen

Legt fest, ob der vollqualifizierte Name zerlegt werden soll oder nicht.

true, false

 

com.aris.umc.saml.login.mode.keyword.name

Schlüsselwort

Legt fest, welcher Teil des vollqualifizierten Namens für die Anmeldung benutzt werden soll.

true, false

 

com.aris.umc.saml.auth.context.class.refs

Klassen des Authentifizierungskontexts

Legt die anzufragenden Klassen des Authentifizierungskontexts, also die Stärke der Authentifizierung fest. Beispielsweise legen Sie fest, dass Benutzer Kerberos verwenden müssen, wenn Sie Microsoft® Windows als eine der Klassen des Authentifizierungskontexts und den Vergleich des Authentifizierungskontexts als exakt definieren.

Zeichenfolge

 

com.aris.umc.saml.auth.context.comparison

Vergleich des Authentifizierungskontexts

Definiert den anzufragenden Vergleich des Authentifizierungskontexts, d. h. Sie legen fest, ob andere Authentifizierungsverfahren zulässig sind oder nicht. Beispielsweise legen Sie fest, dass Benutzer Kerberos verwenden müssen, wenn Sie Microsoft® Windows als eine der Klassen des Authentifizierungskontexts und den Vergleich des Authentifizierungskontexts als exakt definieren.

Zeichenfolge

 

com.aris.umc.saml.auth.nameid.format

NameID-Format

Definiert, in welchem Format die Benutzer-ID an ARIS Administration übertragen wird.

Zeichenfolge

 

com.aris.umc.saml.login.users.create

Benutzer automatisch anlegen

Definiert, ob der in der SAML-Assertion angegebene Benutzer automatisch angelegt werden soll, wenn der Benutzer nicht bereits vorhanden ist. Der Standardwert ist false. Die folgenden Einschränkungen gelten für automatisch angelegte Benutzer:

  • Für das Attribut Anmeldung wird der in der Assertion angegebene Name festgelegt.
  • Für das Attribut Distinguished Name wird der in der Assertion angegebene Name festgelegt (wenn der Name in einem geeigneten Format vorliegt).
  • Eine manuelle Anmeldung ist nicht möglich, wenn die Attribute Kennwort und E-Mail nicht gepflegt werden.

true, false

false

com.aris.umc.saml.assertion.timeoffset

Zeitabweichung (in Sekunden)

Legt den Zeitversatz zwischen Identitätsanbieter und Dienstanbieter in Sekunden fest. Assertions werden akzeptiert, wenn sie im erlaubten Zeitrahmen empfangen werden.

 

60

com.aris.umc.saml.service.provider.urls

Zulässige Dienstanbieter-URLs

Kommagetrennte Liste der Dienstanbieter-URLs, die zulässig sind, damit die Benutzeradministration die Verwendung von SSO (Single-Sign-On) anfordern kann.

 

 

com.aris.umc.saml.assertion.ttl

Gültigkeitsdauer Assertion (in Sekunden)

Legt die maximale Lebenszeit einer SAML-Assertion in Sekunden fest.

 

10

com.aris.umc.saml.service.provider.assertion.consumer.url.overwrite

Assertionsverbraucherdienst-URL

Legt fest, dass die in SAML-Authentifizierungsanfragen verwendete Assertionsverbraucherdienst-URL überschrieben werden kann. Die URL muss im Format http(s)://hostname/umc/rest/saml/initsso angegeben sein. Wenn nichts festgelegt wird, dann wird die URL von der HTTP-Anfrage abgeleitet.

 

 

com.aris.umc.saml.tenant

Standard-Mandant

Legt den Standard-Mandant fest, der für die SAML-basierte Anmeldung verwendet werden soll.

Mandantenübergreifende Eigenschaft, die nur mithilfe von ARIS Cloud Controller geändert werden kann. Weitere Informationen hierzu finden Sie im Handbuch ARIS Cloud Controller (ACC) Command-line Tool.

Zeichenfolge

default