9.6. SAML v2.0 身份提供程序

服务提供商实体 ID

远程身份提供程序用于识别来自此服务提供商的请求的 SAML 实体 ID。默认情况下，此设置设置为 realms 基础 URL < root>/auth/realms/{realm-name}。

单点登录服务 URL

启动身份验证过程的 SAML 端点。如果您的 SAML IDP 发布 IDP 实体描述符，则会在那里指定此字段的值。

单一 Logout 服务 URL

SAML 注销端点。如果您的 SAML IDP 发布 IDP 实体描述符，则会在那里指定此字段的值。

Backchannel Logout

如果您的 SAML IDP 支持后端频道注销，请将此开关切换为 ON。

NameID 策略格式

对应于名称标识符格式的 URI 引用。默认情况下，Red Hat Single Sign-On 将它设置为 urn:oasis:names:tc:SAML:2.0:nameid-format:persistent。

主体类型

指定 SAML 断言哪个部分将用于识别和跟踪外部用户身份。可以是 Subject NameID 或 SAML 属性（按名称或友好名称）。subject NameID 值不能与 'urn:oasis:names:tc:SAML:2.0:nameid-format:transient' NameID Policy Format 值一起设置。

主体属性

如果主体类型不是空的，该字段指定了用于标识属性的名称("Attribute [Name]")或友好名称("Attribute [Friendly Name]")。

allow create

允许外部身份提供程序创建新标识符来代表主体。

HTTP-POST 绑定响应

控制 SAML 绑定以响应外部 IDP 发送的任何 SAML 请求。当 OFF 时，Red Hat Single Sign-On 使用 Redirect Binding。

用于 AuthnRequest 的 HTTP-POST 绑定

在从外部 IDP 请求身份验证时控制 SAML 绑定。当 OFF 时，Red Hat Single Sign-On 使用 Redirect Binding。

想要 AuthnRequests Signed

当 ON 时，Red Hat Single Sign-On 使用域的密钥对签署发送到外部 SAML IDP 的请求。

签名算法

如果 Want AuthnRequests Signed 为 ON，要使用的签名算法。

SAML 签名密钥名称

使用 POST 绑定发送签名的 SAML 文档包含 KeyName 元素中的签名密钥识别（默认情况下，包含 Red Hat Single Sign-On 密钥 ID）。外部 SAML IDP 预期不同的密钥名称。此切换控制 KeyName 是否含有：* KEY_ID - Key ID。* CERT_SUBJECT - 来自与域密钥对应的证书的主题。Microsoft Active Directory Federation 服务预期 CERT_SUBJECT。* NONE - Red Hat Single Sign-On 在 SAML 信息中省略了密钥名称提示。

强制身份验证

用户必须在外部 IDP 中输入凭证，即使该用户已经登录。

验证签名

当 ON 时，域需要 SAML 请求和来自外部 IDP 的响应是数字签名。

验证 X509 证书

红帽单点登录使用公共证书来验证 SAML 请求的签名以及来自外部 IDP 的响应。

为服务提供商元数据签名

当 ON 时，Red Hat Single Sign-On 使用域的密钥对为 SAML 服务提供商元数据描述符 签名。

pass subject

控制 Red Hat Single Sign-On 将 login_hint 查询参数转发到 IDP。Red Hat Single Sign-On 将此字段的值添加到 AuthnRequest 的 Subject 中的 login_hint 参数，以便目标供应商可以预先填充其登录表单。