附录 A. 参考资料

prefix

要添加到每个角色的前缀。

suffix

要添加到各个角色的后缀。

http-server-mechanism-factories

要聚合的 HTTP 服务器工厂列表。

principal-decoders

要聚合的主体解码器列表。

principal-transformers

要聚合的主体转换器列表。

供应商

要聚合的引用 Provider[] 资源的列表。

authentication-realm

引用用于身份验证步骤的安全域。这用于获取或验证凭证。

authorization-realm

引用用于加载授权步骤的身份的安全域。

authorization-realms

引用安全域，以聚合用于加载授权步骤的身份。

有关使用多个授权域的详情，请参考 如何配置身份管理指南中的使用多个身份管理存储配置身份验证和授权 。

role-mappers

要聚合的角色映射器列表。

sasl-server-factories

要聚合的 SASL 服务器工厂列表。

匿名

如果允许 真正的 匿名身份验证。默认值为 false。

authentication-name

要使用的身份验证名称。

authorization-name

要使用的授权名称。

credential-reference

用于身份验证的凭据。这可以是明文，也可以是对存储在凭据存储中的 凭据的引用。

扩展

扩展的现有身份验证配置。

主机

要使用的主机。

kerberos-security-factory

参考用于获取 GSS kerberos 凭证的 Kerberos 安全工厂。

机制属性

SASL 身份验证机制的配置属性。

port

要使用的端口。

协议

要使用的协议.

realm

要使用的域。

sasl-mechanism-selector

SASL 机制选择器字符串。有关使用信息，请参阅 sasl-mechanism-selector Grammar。

security-domain

引用安全域以获取转发身份。

扩展

要扩展的现有身份验证上下文。

match-rules

针对此身份验证上下文与 匹配的规则。

match-abstract-type

要匹配的抽象类型。

match-abstract-type-authority

要匹配的抽象类型权威。

match-host

要匹配的主机。

match-local-security-domain

要匹配的本地安全域。

match-no-user

如果为 true，则 规则将匹配任何用户。

match-path

要匹配的补丁。

match-port

要匹配的端口。

match-protocol

要匹配的协议。

match-urn

要匹配的 URN。

match-user

要匹配的用户。

身份验证配置

引用用于成功匹配的身份验证配置。

ssl-context

引用用于成功匹配的 ssl-context.

maximum-age

项目可在缓存中保留的时间（毫秒）。值 -1 可 无限期保留项目。默认值为 -1。

maximum-entries

要在缓存中保留的最大条目数。默认值为 16。

realm

对可缓存的安全域的引用，如 jdbc-realm、ldap-realm、system-realm 或自定义安全域。

Alias

密钥存储中证书颁发机构帐户密钥的别名。如果密钥存储中尚不存在别名，则会自动生成证书颁发机构帐户密钥，并将其存储为别名下的 PrivateKeyEntry。

certificate-authority

要使用的证书颁发机构的名称。默认值为 LetsEncrypt。

contact-urls

证书认证机构可以就与此帐户相关的问题联系的 URL 列表。

credential-reference

访问证书颁发机构帐户密钥时使用的凭证。

key-store

包含证书颁发机构帐户密钥的密钥存储。

principal-transformers

到链的主要转换器列表.

cipher-suite-filter

要应用的过滤器来指定启用的密码套件。此过滤器取以冒号、逗号或空格分隔的项目列表。每个项目可以是 OpenSSL 样式的密码套件名称、标准 SSL/TLS 密码套件名称，也可以是关键字，如 TLSv1.2 或 DES。完整的关键字列表以及创建过滤器的详情，请参考 CipherSuiteSelector 类的 Javadoc 中。默认值为 DEFAULT，它对应于所有没有 NULL 加密的已知密码套件，并排除任何没有身份验证的密码套件。

key-manager

引用 SSLContext 中使用的 key-manager。

协议

启用的协议。允许的选项： SSLv2、SSLv3、TLSv1、TLSv1.1、TLSv1.2、TLSv1.3.默认为启用 TLSv1、TLSv1.1、TLSv1.2 和 TLSv1.3。

provider-name

要使用的供应商的名称。如果未指定，则来自提供程序的所有提供程序都将传递到 SSLContext。

供应商

要获取用于加载 SSLContext 的 Provider[] 的提供程序名称。

session-timeout

SSL 会话的超时时间。

trust-manager

引用 SSLContext 中使用的 trust-manager。

Joiner

用于加入 principal-decoders 属性中值的字符串。

principal-decoders

要连接的主要解码器列表。

过滤器

要应用的过滤器列表，以便根据名称启用或禁用机制。

http-server-mechanism-factory

引用要包装的 http 服务器工厂。

属性

要传递给 HTTP 服务器工厂调用的自定义属性。

pattern-filter

基于正则表达式模式进行过滤.

启用

如果为 true，则如果机制匹配，则会启用过滤器。默认值为 true。

过滤器

要按顺序评估的过滤器列表，并使用 或.

属性

要传递给 SASL 服务器工厂调用的自定义属性。

协议

创建机制时，协议传递到工厂。

sasl-server-factory

参考要包装的 SASL 服务器工厂.

server-name

创建机制时传递到工厂的服务器名称。

predefined-filter

用于过滤机制名称的预定义过滤器。允许的值有 HASH_MD5、HASH_SHA、HASH_SHA_256、HASH_SHA_384、HASH_SHA_512、GS2、SCRAM、DIGEST、 IEC_ISO_9798、EAP、MUTUAL、BINDING 和 RECOMMENDED.

pattern-filter

基于正则表达式的机制名称的过滤器。

启用

如果为 true，则如果工厂匹配，则会启用过滤器。默认值为 true。

permission-sets

匹配项时要分配的权限集。权限集可用于为身份分配权限。

permission-set 可以接受以下属性：

constant

主体解码器将始终返回的恒定值。

constant

这个主要转换器始终会返回的恒定值。

realm-name

对将返回的域的引用。

角色

将返回的角色列表。

create

指定凭证存储是否应在不存在时创建存储。

credential-reference

对用于创建保护参数的凭据的引用。这可以是明文，也可以是对存储在凭据存储中的 凭据的引用。

实施属性

凭据的映射存储特定于实施的属性。

位置

凭据存储存储的文件名。

可修改

凭据存储是否可修改。

other-providers

要获取提供程序的名称，以搜索可在凭据存储中创建所需 JCA 对象的提供程序对象。这只适用于基于密钥存储的凭据存储。如果未指定，则改为使用全局供应商列表。

provider-name

用于实例化 CredentialStoreSpi 的提供程序名称。如果没有指定提供程序，则使用找到的第一个可创建指定类型的实例的供应商。

供应商

要获取供应商的名称，以搜索可创建所需凭据存储类型。如果未指定，则改为使用全局供应商列表。

relative-to

此凭证存储路径相对于的基本路径。

type

凭据存储的类型，如 KeyStoreCredentialStore。

entry-type

存储在凭据存储中的凭证条目类型。

secret-value

secret 值，如 password。

cryptoAlg

用于加密外部存储上的条目的密码算法名称。此属性仅在启用了 external 时有效。默认值为 AES。

external

数据存储到外部存储并由 keyAlias 加密。默认值为 false。

externalPath

指定到外部存储的路径。此属性仅在启用了 external 时有效。

keyAlias

凭据存储中的机密密钥别名，用于存储用于加密或解密数据到外部存储。

keyStoreType

密钥存储类型，如 PKCS11。Defaults to KeyStore.getDefaultType().

配置

自定义安全工厂的可选键和值配置。

class-name

实施自定义安全工厂的类名称。

module

用于加载自定义安全工厂的模块。

配置

自定义域的可选键和值配置。

class-name

自定义域实施的类名称。

module

用于加载自定义域的模块。

配置

权限映射器的可选键和值配置。

class-name

权限映射器的完全限定类名称.

module

用于加载权限映射器的模块名称。

配置

主体解码器的可选键和值配置。

class-name

主体解码器的完全限定类名称。

module

用于加载主体解码器的模块名称。

配置

主体转换器的可选键和值配置。

class-name

主体转换器的完全限定类名称。

module

用于加载主体转换器的模块名称。

配置

自定义域的可选键和值配置。

class-name

自定义域的完全限定类名称。

module

用于加载自定义域的模块名称。

配置

realm 映射器的可选键和值配置。

class-name

realm 映射器的完全限定类名称.

module

用于加载域映射器的模块名称。

配置

角色解码器的可选键和值配置。

class-name

角色解码器的完全限定类名称。

module

用于加载角色解码器的模块名称。

配置

角色映射器的可选键和值配置。

class-name

角色映射器的完全限定类名称.

module

用于加载角色映射器的模块名称。

authentication-context

获取用于连接 LDAP 服务器的登录凭据的身份验证上下文。如果 身份验证级别不是， 则可以省略 ， 这等同于匿名身份验证。

身份验证级别

要使用的身份验证级别，即安全级别或身份验证机制。对应于 SECURITY_AUTHENTICATION 或 java.naming.security.authentication 环境属性。允许的值是 none、简单和 sasl_mech 格式。sasl_mech 格式是一个以空格分隔的 SASL 机制名称列表。

connection-timeout

以毫秒为单位连接到 LDAP 服务器的超时时间。

credential-reference

用于身份验证并连接到 LDAP 服务器的凭据引用。如果 身份验证级别不， 这可以省略 ， 这等同于匿名身份验证。

enable-connection-pooling

如果启用了 true 连接池。默认值为 false。

module

用作类加载基础的模块名称。

principal

身份验证并连接到 LDAP 服务器的主体。如果 身份验证级别 没有 等同于匿名身份验证，则可以省略此参数。

属性

DirContext 的额外连接属性。

read-timeout

以毫秒为单位的 LDAP 操作读取超时。

referral-mode

用于确定是否应遵循引用的模式。允许的值有 FOLLOW、IGNORE 和 THROW。默认值为 IGNORE。

ssl-context

用于保护与 LDAP 服务器连接的 SSL 上下文名称。

url

连接 URL。

encoded

是否应该在文件名中对身份名称进行编码(Base32)。

level

要应用的目录哈希数。默认值为 2。

路径

包含域的文件的路径。

relative-to

与 路径 一起使用的预定义相对路径。例如 jboss.server.config.dir ：

alias-filter

应用到从 密钥存储返回的别名的过滤器。它可以是一个用逗号分开的别名列表返回，也可以是以下格式之一：

key-store

引用要过滤 的密钥存储.

http-server-mechanism-factory

与此资源关联的 HttpServerAuthenticationMechanismFactory。

机制配置

特定于机制的配置列表。

security-domain

与此资源关联的安全域。

credential-security-factory

用于根据机制要求获取凭证的安全工厂。

final-principal-transformer

适用于此机制领域的最终主体转换器。

host-name

此配置适用于的主机名。

mechanism-name

只有在使用了指定名称的机制时，才会应用此配置。如果省略此属性，它将与任何机制名称匹配。

mechanism-realm-configurations

域名称的定义列表，如机制所理解。

pre-realm-principal-transformer

在选择域前要应用的主体转换器。

post-realm-principal-transformer

选择 realm 后应用的主体转换器。

协议

此配置适用于以下协议：

realm-mapper

机制要使用的 realm 映射器。

final-principal-transformer

适用于此机制领域的最终主体转换器。

post-realm-principal-transformer

选择 realm 后应用的主体转换器。

pre-realm-principal-transformer

在选择域前要应用的主体转换器。

realm-mapper

机制要使用的 realm 映射器。

realm-name

机制要提供的域的名称。

attribute-name

与此身份关联的属性名称。

attribute-values

与 identity 属性关联的值列表。

身份

安全域中提供的身份。

name

允许在管理模型中引用资源的名称。

layer

使用 AuthConfigFactory 注册此配置。可以省略 以允许通配符匹配。

application-context

使用 AuthConfigFactory 注册此配置。可以省略 以允许通配符匹配。

description

用于向 AuthConfigFactory 提供描述。

class-name

ServerAuthModule 的完全限定类名称。

module

要从中加载 ServerAuthModule 的模块：

标记

用于指示此模块如何与其他模块相关的运行控制标志。

选项

在初始化时将传递到 ServerAuthModule 的配置选项。

principal-query

用于根据特定密钥类型验证用户身份的身份验证查询列表。

attribute-mapping

为此资源定义的属性映射列表。

bcrypt-mapper

将从 SQL 查询返回的列映射到 Bcrypt 密钥类型的键映射器。

clear-password-mapper

将从 SQL 查询返回的列映射到明文密钥类型的键映射器。它具有一个 password-index 子元素，它是来自代表用户密码的身份验证查询的索引。

data-source

用于连接数据库的数据源的名称。

salted-simple-digest-mapper

将从 SQL 查询返回的列映射到 Salted Simple Digest 键类型的键映射器。

scram-mapper

将从 SQL 查询返回的列映射到 SCRAM 密钥类型的键映射器。

simple-digest-mapper

将从 SQL 查询返回的列映射到 简单 Digest 键类型的键映射器。

sql

用于获取键作为特定用户的表列的 SQL 语句，并将它们与类型相应地映射。

index

列索引来自代表映射属性的查询。

为

从 SQL 查询返回的列中映射的 identity 属性的名称。

iteration-count-index

列索引来自代表密码迭代计数（如果支持）的身份验证查询。

password-index

列从代表用户密码的身份验证查询索引。

salt-index

列索引来自代表密码 salt（如果受支持）的验证查询。

algorithm

特定密码密钥映射程序的算法.允许的值有 password-salt-digest-md5、password-salt-digest-sha-1、password-salt-digest-sha-256、password-salt-digest-sha-384、password-salt-digest-sha-512、 salt-password-digest-md5,salt-password-digest-sha-1, salt-password-digest-sha-256,salt-password-digest-sha-384 和 salt-password-digest-sha-512.默认为 password-salt-digest-md5。

password-index

列从代表用户密码的身份验证查询索引。

salt-index

列索引来自代表密码 salt（如果受支持）的验证查询。

algorithm

特定密码密钥映射程序的算法.允许的值有 simple-digest-md2,simple-digest-md5,simple-digest-sha-1, simple-digest-sha-256,simple-digest-sha-384 和 simple-digest-sha-512。默认值为 simple-digest-md5。

password-index

列从代表用户密码的身份验证查询索引。

algorithm

特定密码密钥映射程序的算法.允许的值有 scr am-sha-1 和 scram-sha-256。默认值为 scr am-sha-256。

iteration-count-index

列索引来自代表密码迭代计数（如果支持）的身份验证查询。

password-index

列从代表用户密码的身份验证查询索引。

salt-index

列索引来自代表密码 salt（如果受支持）的验证查询。

debug

如果为 true，获取凭证的 JAAS 步骤将启用调试日志记录。默认值为 false。

mechanism-names

凭据应当可用的机制名称。名称将转换为 OID，并与来自 mechanism -oids 属性的 OID 一起使用。

mechanism-oids

凭据的 OID 机制列表应可用于：

minimum-remaining-lifetime

缓存的凭据在重新创建前可以有的时间（以秒为单位）。

obtain-kerberos-ticket

如果还获取 KerberosTicket 并与凭据关联：这在将凭据委派给服务器时必须为 true。

选项

Krb5LoginModule 附加选项.

路径

要加载以获取凭据的 keytab 的路径。

principal

由 keytab 代表的主体。

relative-to

keytab 的相对路径。

request-lifetime

新创建的凭据应当请求的生命周期。

必需

在服务启动时，是否需要存在含有足够主体的 keytab 文件。

server

如果为 true，则此工厂用于 Kerberos 身份验证的服务器端部分。如果为 false，它将用于客户端。默认值为 true

wrap-gss-credential

是否应打包生成的 GSS 凭据，以防止不当处理。

algorithm

用于创建底层 KeyManagerFactory 的算法名称。这由 JDK 提供。例如，使用 SunJSSE 的 JDK 提供 PKIX 和 SunX509 算法。有关 SunJSSE 的更多详细信息，请参阅 Java 安全套接字扩展(JSSE)参考指南。

alias-filter

应用到密钥存储返回的别名的过滤器。这可以是用逗号分开返回的别名列表，也可以是以下格式之一：

credential-reference

对解密密钥存储项的凭据引用。这可以通过明文指定，也可以指定为对存储在凭据存储中的 凭据的引用。这不是密钥存储的密码。

key-store

引用用于初始化底层 KeyManagerFactory 的密钥 存储。

provider-name

用于创建底层 KeyManagerFactory 的供应商名称。

供应商

引用在创建底层 KeyManagerFactory 时获取要使用的 Provider[]。

alias-filter

要应用到密钥存储返回的别名的过滤器，可以是逗号分隔的别名列表或以下格式之一：

credential-reference

用于访问密钥存储的密码。这可以通过明文指定，也可以指定为对存储在凭据存储中的 凭据的引用。

路径

密钥存储文件的路径。

provider-name

用于加载密钥存储的提供程序名称。设置此属性将禁用搜索第一个可以创建指定类型的密钥存储的供应商。

供应商

对提供程序的引用，应当用于获取要搜索的提供程序实例的列表。如果没有指定，则将改为使用全局供应商列表。

relative-to

存储相对路径.这可以是完整路径或预定义的路径，如 jboss.server.config.dir。

必需

如果为 true，则需要在密钥存储服务启动时存在引用的密钥存储文件。默认值为 false。

type

密钥存储的类型，如 JKS。

可在 JDK 8 的 Java 加密架构标准算法名称文档中找到密钥存储类型的完整列表。

key-store

引用用于支持此安全域的密钥存储。

alias-attribute

存储项目别名的 LDAP 属性的名称。

certificate-attribute

存储证书的 LDAP 属性的名称。

certificate-chain-attribute

存储证书链的 LDAP 属性的名称。

certificate-chain-encoding

证书链的编码。

certificate-type

证书的类型。

dir-context

用于与 LDAP 服务器通信的 dir-context 名称。

filter-alias

按别名获取密钥存储中的项的 LDAP 过滤器。

filter-certificate

按证书获取密钥存储中的项的 LDAP 过滤器。

filter-iterate

用于迭代密钥存储的所有项目的 LDAP 过滤器。

key-attribute

保存密钥的 LDAP 属性的名称。

key-type

以序列化方式在 LDAP 属性中存储的密钥存储类型。例如，JKS.可在 JDK 8 的 Java 加密架构标准算法名称文档中找到密钥存储类型的完整列表。

new-item-template

创建项目的配置.这将定义新创建的密钥存储项的 LDAP 条目的外观。

search-path

用于搜索密钥存储项的 LDAP 中的路径。

search-recursive

如果 LDAP 搜索应该递归.

search-time-limit

从 LDAP 获取密钥存储项目的时间限值，单位为毫秒。默认值为 10000。

new-item-attributes

为新创建的项设置的 LDAP 属性。这会取 名称和 值对的项目列表作为 值。

new-item-path

LDAP 中存储新创建的密钥存储项的路径。

new-item-rdn

新创建的项目的 LDAP RDN 名称。

allow-blank-password

此域是否支持空白密码直接验证。否则将拒绝尝试空密码。

dir-context

用于连接 LDAP 服务器的 dir-context 的名称。

direct-verification

如果为 true，则 支持通过直接连接 LDAP 作为帐户进行身份验证来验证凭据；否则，密码将从 LDAP 服务器检索并在 JBoss EAP 中验证。如果启用，JBoss EAP 服务器必须能够从客户端获取普通用户密码，这需要将 PLAIN SASL 或 BASIC HTTP 机制用于身份验证。默认值为 false。

identity-mapping

定义主体如何映射到底层 LDAP 服务器中对应的条目的配置选项。

rdn-identifier

用于从 LDAP 条目获取主体名称的 RDN 部分。这也会在创建新身份时使用。

use-recursive-search

如果 true 身份搜索查询是递归的。默认值为 false。

search-base-dn

用于搜索身份的基本 DN。

attribute-mapping

为此资源定义的属性映射列表。

filter-name

按名称获取身份的 LDAP 过滤器。

anterator-filter

用于迭代域身份的 LDAP 过滤器。

new-identity-parent-dn

新创建的身份的父级的 DN。域的可修饰性需要。

new-identity-attributes

新创建的身份的属性列表是该域的可修改性所必需的。这是 名称和 值对 对象的列表。

user-password-mapper

凭据的凭据映射，类似于 userPassword。

otp-credential-mapper

OTP 凭证的凭证映射。

x509-credential-mapper

允许将 LDAP 用作 X509 凭据的存储的配置。如果未定义任何 -from 子属性，则忽略此配置。如果定义了多个 -from 子属性，则用户证书必须与所有定义的标准匹配。

extract-rdn

用作属性值的 RDN 键，如果其原始形式的值采用 X.500 格式。

filter

用于获取特定属性值的过滤器。

filter-base-dn

应执行过滤器的上下文的名称。

来自

要映射到 identity 属性的 LDAP 属性的名称。如果未定义，则使用 条目的 DN。

reference

包含要从中获取值的条目 DN 的 LDAP 属性名称。

role-recursion

递归角色分配的最大深度.使用 0 指定不要递归。默认值为 0。

role-recursion-name

确定角色条目的 LDAP 属性，该属性将在搜索角色时在 filter-name 中替代"{0}"。

search-recursive

如果 true 属性 LDAP 搜索查询是递归的。默认值为 true。

为

从特定 LDAP 属性映射的 identity 属性的名称。如果未提供，属性的名称与 中 从 中定义的名称相同。如果未定义 中的，则使用 valued n。

来自

要映射到 identity 属性的 LDAP 属性的名称。如果未定义，则使用 条目的 DN。

挪威

如果 true 密码可用于验证用户。默认值为 true。

可写

如果可以更改 true 密码.默认值为 false。

algorithm-from

OTP 算法的 LDAP 属性的名称。

hash-from

OTP 哈希函数的 LDAP 属性的名称。

seed-from

OTP 的 LDAP 属性名称 seed。

sequence-from

OTP 序列号 LDAP 属性的名称。

certificate-from

要映射到编码用户证书的 LDAP 属性的名称。如果未定义，将不会检查编码的证书。

digest-algorithm

摘要算法（即哈希函数），用于计算用户证书摘要。仅在 定义了摘要时才使用。

digest-from

要映射到用户证书摘要的 LDAP 属性的名称。如果未定义，则不检查证书摘要。

serial-number-from

要映射到用户证书序列号的 LDAP 属性的名称。如果未定义，将不会检查序列号。

subject-dn-from

要映射到用户证书的主题 DN 的 LDAP 属性的名称。如果未定义，则不检查主题 DN。

左侧

引用操作左侧要使用的权限映射器。

logical-operation

用于组合权限映射器的逻辑操作。允许的值有 and、或 xor 和 unless。

正确

引用操作右侧要使用的权限映射器。

左侧

对操作左侧要使用的角色映射器的引用。

logical-operation

要在角色映射器映射上执行的逻辑操作。允许的值有： and 、m inus 或 xor。

正确

对操作右侧要使用的角色映射器的引用。

delegate-realm-mapper

如果没有匹配项，则要委派至的 realm 映射器使用该模式。

pattern

正则表达式，必须至少包含一个捕获组，才能从名称中提取域。

realm-map

使用正则表达式提取到定义的域名的映射。

启用

如果为 true，则不启用供应商加载的机制，除非与其中一个过滤器匹配。默认值为 true。

过滤器

比较供应商机制时要应用的过滤器列表。当所有指定的值都与机制和提供程序对匹配时，过滤器匹配。

sasl-server-factory

参考此定义封装的 SASL 服务器工厂.

mechanism-name

此过滤器匹配的 SASL 机制的名称。

provider-name

此过滤器匹配的提供程序名称。

provider-version

在比较提供程序的版本时要使用的版本。

version-comparison

评估提供程序版本时要使用的等同性。允许的值 小于或 大于。默认值为 less-than。

responseer

覆盖从证书解析的 OCSP Responder URI。

responder-certificate

如果未定义 response er-keystore 或 trust-manager 密钥存储中的响应者 证书别名。

responder-keystore

响应者证书的替代密钥存储.必须定义 responseer-certificate。

prefer-crls

当同时配置了 OCSP 和 CRL 机制时，OCSP 机制首先被调用。当 preference-crls 设为 true 时，首先调用 CRL 机制。

groups-attribute

返回的 AuthorizationIdentity 中的属性名称，该名称应包含身份的组成员资格信息。

group-properties

属性文件包含用户及其组。

用户属性

属性文件包含用户及其密码。

digest-realm-name

如果属性文件中未发现密码，则用于摘要密码的默认域名。

路径

包含用户及其密码的文件路径。该文件应包含 realm name 声明。

plain-text

如果为 true，则 属性文件中以纯文本形式存储的密码。如果为 false，则使用 HEX（MD5(username \":\" realm \":\" password)形式。默认值为 false。

relative-to

路径相对于的预定义路径。

路径

包含用户及其组的文件路径。

relative-to

路径相对于的预定义路径。

供应商

用于定位工厂的供应商。如果没有指定，将使用全局注册的供应商列表。

参数

实例化将传递至构造器的参数，作为 提供程序。

class-names

要加载的供应商的完全限定类名称的列表。这些是在服务加载器发现供应商并且跳过任何重复项后加载的。

配置

要传递给提供程序的键和值配置，以初始化它。

module

要从中加载提供程序的模块名称。

路径

用于初始化提供程序的文件路径。

relative-to

配置文件的基本路径。

供应商

用于定位工厂的供应商。如果没有指定，将使用全局注册的供应商列表。

pattern

用于查找要替换的名称部分的正则表达式。

replace-all

如果为 true，则替换匹配模式的所有位置。如果为 false，则仅替换第一个出现。默认值为 false。

replace

用作替换的值。

匹配

如果为 true，则名称必须与给定模式匹配才能成功验证。如果为 false，则名称不得与给定模式匹配，才能成功验证。默认值为 true。

pattern

用于主要转换器的正则表达式。

机制配置

机制特定配置列表。

sasl-server-factory

与此资源关联的 SASL 服务器工厂。

security-domain

与此资源关联的安全域。

credential-security-factory

用于根据机制要求获取凭证的安全工厂。

final-principal-transformer

适用于此机制领域的最终主体转换器。

host-name

此配置适用于的主机名。

mechanism-name

只有在使用了指定名称的机制时，才会应用此配置。如果省略此属性，它将与任何机制名称匹配。

mechanism-realm-configurations

域名称的定义列表，如机制所理解。

协议

此配置适用于以下协议：

post-realm-principal-transformer

选择 realm 后应用的主体转换器。

pre-realm-principal-transformer

在选择域前要应用的主体转换器。

realm-mapper

机制要使用的 realm 映射器。

final-principal-transformer

适用于此机制领域的最终主体转换器。

post-realm-principal-transformer

选择 realm 后应用的主体转换器。

pre-realm-principal-transformer

在选择域前要应用的主体转换器。

realm-mapper

机制要使用的 realm 映射器。

realm-name

机制要提供的域的名称。

authentication-optional

如果安全域对客户端证书 正确 拒绝，则不会阻止连接。这样，当客户端证书被安全域拒绝时，这允许退回使用其他身份验证机制，如表单登录。这只有在设置了安全域时才起作用。默认值为 false。

cipher-suite-filter

要应用的过滤器来指定启用的密码套件。此过滤器取以冒号、逗号或空格分隔的项目列表。每个项目可以是 OpenSSL 样式的密码套件名称、标准 SSL/TLS 密码套件名称，也可以是关键字，如 TLSv1.2 或 DES。完整的关键字列表以及创建过滤器的详情，请参考 CipherSuiteSelector 类的 Javadoc 中。默认值为 DEFAULT，它对应于所有没有 NULL 加密的已知密码套件，并排除任何没有身份验证的密码套件。

final-principal-transformer

适用于此机制领域的最终主体转换器。

key-manager

引用 SSLContext 中使用的关键管理器。

maximum-session-cache-size

要缓存的 SSL/TLS 会话的最大数量。

need-client-auth

如果真 需要 SSL 握手上的客户端证书。没有可信客户端证书的连接将被拒绝。默认值为 false。

post-realm-principal-transformer

选择 realm 后应用的主体转换器。

pre-realm-principal-transformer

在选择域前要应用的主体转换器。

协议

启用的协议。允许的选项有 SSLv2、SSLv3、TLSv1、TLSv1.1、TLSv1.2、TLSv1.3。默认为启用 TLSv1、TLSv1.1、TLSv1.2 和 TLSv1.3。

provider-name

要使用的供应商的名称。如果未指定，则来自提供程序的所有提供程序都将传递到 SSLContext。

供应商

要获取用于加载 SSLContext 的 Provider[] 的提供程序名称。

realm-mapper

用于 SSL 身份验证的域映射器。

security-domain

在 SSL/TLS 会话创建期间用于身份验证的安全域。

session-timeout

SSL/TLS 会话的超时时间。

trust-manager

引用 SSLContext 中使用的 trust-manager。

use-cipher-suites-order

如果结果为 true，将使用服务器中定义的密码套件顺序。如果 误用 客户端提供的密码套件顺序，则将使用客户端提供的密码套件。默认值为 true。

want-client-auth

如果为 true，则会在 SSL 握手上请求客户端证书，但不强制要求。如果某个安全域被引用并支持 X509 证明，则会自动将其设置为 true。设置 require -client-auth 时会忽略此设置。默认值为 false。

wrap

如果为 true，将封装返回的 SSLEngine、SSLSock et 和 SSLServerSocket 实例，以防止进一步修改。默认值为 false。

module

用于获取类加载器以加载工厂的模块。如果没有指定加载器，则会改为使用类加载器来加载该资源。

module

用于获取类加载器以加载工厂的模块。如果没有指定加载器，则会改为使用类加载器来加载该资源。

mapping-mode

在多个匹配项时应使用的映射模式。允许的值包括 、 或 xor、un 和 first。默认值为 first。

权限映射

定义的权限映射列表。

permission-sets

匹配项时要分配的权限集。权限集可用于为身份分配权限。

permission-set 可以接受以下属性：

主体

在映射权限时要比较的主体列表，如果身份主体与列表中的任意项匹配，则表示匹配项。

角色

映射权限时要比较的角色列表（如果身份是列表中任意用户的成员），它是一个匹配项。

action

在构建时传递给权限的操作。

class-name

权限的完全限定类名称。

module

用于加载权限的模块。

target-name

构建过程中要传递给权限的目标名称。

delegate-realm-mapper

如果没有匹配项，则要委派至的 realm 映射器使用该模式。

pattern

正则表达式，必须至少包含一个捕获组，才能从名称中提取域。

attribute

要直接映射到角色的身份中的属性名称。

格式

审计事件记录的格式。

支持的值：

默认值：

host-name

要嵌入到发送到 syslog 服务器的所有事件的主机名。

port

syslog 服务器上的侦听端口。

reconnect-attempts

Elytron 在关闭连接前尝试向 syslog 服务器发送连续消息的次数上限。只有使用的传输协议是 UDP 时，此属性的值才有效。

支持的值：

默认值：

server-address

syslog 服务器的 IP 地址，或者 Java 的 InetAddress.getByName（） 方法可以解析的名称。

ssl-context

连接到 syslog 服务器时使用的 SSL 上下文。只有在 传输 设置为 SSL_TCP 时，才需要此属性。

syslog-format

用于描述审计事件的 RFC 格式。

支持的值：

默认值：

transport

用于连接 syslog 服务器的传输层协议。

支持的值：

默认值：

jwt

将与基于令牌的域结合使用的令牌验证器，该域根据 JWT/JWS 标准处理安全令牌。

oauth2-introspection

与基于令牌的域一起使用的令牌验证器，处理 OAuth2 访问令牌，并使用符合 RFC-7662 OAuth2 令牌规范的端点进行验证。

principal-claim

用于获取主体名称的声明名称。默认值为 username。

受众

代表此配置支持的受众的字符串列表。在验证 JWT 令牌期间，必须有一个 ud 声明，其中包含此处定义的一个值。

certificate

含有从 key-store 属性定义的密钥存储加载的公钥的证书名称。

client-ssl-context

用于远程 JSON Web 密钥(JWK) 的 SSL 上下文。这可让您使用 jku (JSON Key URL)标头参数中的 URL 来获取令牌验证的公钥。

host-name-verification-policy

此策略定义在使用远程 JSON Web 密钥时应如何验证主机名。您可以为属性设置以下值之一：

签发者

代表此配置支持的签发者的字符串列表。在验证 JWT 令牌期间，必须具有 的一个声明，其中包含此处定义的一个值。

key-store

应从中加载具有公钥的证书的密钥存储。此属性和 certificate 属性也可用作 public-key 的替代选择。

public-key

PEM 格式的公钥.在验证过程中，如果提供了公钥，签名将根据此属性提供的密钥值进行验证。

或者，您也可以定义 密钥 存储和 证书 来配置公钥。这个替代密钥用于验证令牌，无需声明 （ 密钥 ID）声明。

client-id

OAuth2 授权服务器上的客户端标识符。

client-secret

客户端的机密。

client-ssl-context

如果内省端点使用 HTTPS，则要使用的 SSL 上下文。

host-name-verification-policy

定义在使用 HTTPS 时应如何验证主机名的策略。您可以为属性设置以下值之一：

introspection-url

令牌内省端点的 URL。

algorithm

用于创建底层 TrustManagerFactory 的算法名称。这由 JDK 提供。例如，使用 SunJSSE 的 JDK 提供 PKIX 和 SunX509 算法。有关 SunJSSE 的更多详细信息，请参阅 Java 安全套接字扩展(JSSE)参考指南。

alias-filter

应用到密钥存储返回的别名的过滤器。这可以是用逗号分开返回的别名列表，也可以是以下格式之一：

certificate-revocation-list

启用可由信任管理器检查的证书撤销列表。certificate-revocation-list 的属性有：

如需更多信息，请参阅使用证书撤销列表。

key-store

引用用于初始化底层 TrustManagerFactory 的密钥 存储。

maximum-cert-path

认证路径中可能存在的非自签发中间证书的最大数量。默认值为 5。

此属性已从 JBoss EAP 7.3 中 trust-manager 内部的 certificate-revocation-list 移到 trust-manager。为了向后兼容，属性也出现在 certificate-revocation-list 中。将来在 trust -manager 中使用 maximum-cert- path。

only-leaf-cert

仅检查 leaf 证书的吊销状态。这是可选属性。默认值为 false。

provider-name

用于创建底层 TrustManagerFactory 的供应商名称。

供应商

引用在创建底层 TrustManagerFactory 时获取要使用的 Provider[]。

soft-fail

当设置为 true 时，可以接受具有未知撤销状态的证书。这是可选属性。默认值为 false。

attribute-name

要映射的 X.500 属性的名称。这也可以使用 the oid 属性来定义。

convert

当设置为 true 时，主体解码器将尝试将主体转换为 X500Principal（ 如果它还没有该类型）。如果转换失败，原始值将用作主体。

Joiner

加入字符串。默认值为句点(.)。

最大分段

要 map 的属性的最大出现次数。默认值为 2147483647。

oId

要映射的 X.500 属性的 OID。这也可以使用 attribute-name 属性来定义。

required-attributes

主体中必须存在的属性名称列表

required-oids

主体中必须存在的属性的 OID 列表。

reverse

如果为 true，则按相反顺序处理并返回属性值。默认值为 false。

开始分段

要映射的属性的起始位置。它使用基于零的索引，默认值为 0。

alt-name-type

主题备用名称类型.必须是以下主题备用名称类型之一：

这是必填属性。

segment