Récupère les configurations de la fédération.
Habilitations requises : readFederations (Lire les fédérations) ou manageFederations (Gérer les fédérations) ou manageAppAccessAdmin (Gérer le cycle de vie des applications) ou manageIdentitySources (Gérer les sources d'identité) ou readIdentitySources (Lire les sources d'identité).
Note : Vous n'avez besoin que d'une seule habilitation, mais vous pouvez en avoir plus d'une.
Les propriétés de configuration qui sont utilisées pour les fédérations de fournisseurs de services are:
clockSkew
The tolérance en secondes lorsque l'assertion SAML reçue NotBefore et NotOnOrAfter est validated.
includeAllAttributes
Includes tous les attributs disponibles dans l'assertion SAML, même s'il est mappé à un attribut standard IBM Security Verify.
La propriété includeAllAttributes est par défaut false.
skipTargetUrlValidation
Specify s'il faut ignorer targetURL validation.
allowedTargetUrls
Specify les URL cibles autorisées.
Les propriétés de configuration qui sont utilisées pour les fédérations de fournisseurs d'identité are:
assertionValidAfter
The tolérance en secondes qui sont ajoutées à NotOnOrAfter lorsque l'assertion SAML est issued.
assertionValidBefore
The tolérance en secondes qui sont ajoutées à NotBefore lorsque l'assertion SAML est émise.
Propriétés de configuration utilisées à la fois pour le fournisseur de services et les fédérations de fournisseurs d'identité are:
messageValidTime
The tolérance en secondes lorsque le message SAML reçu IssueInstant est validated.
crlEnabled
Checks la liste de révocation des certificats. La vérification est effectuée pour toutes les fonctions qui utilisent un
certificat externe. Si votre configuration ne nécessite
pas la vérification CRL, vous pouvez la désactiver. Par exemple, si vous utilisez une autorité de certification interne
(CA), vous pouvez désactiver la vérification CRL. La propriété crlEnabled indique par défaut false.
keySelectionCriteria
Specify la clé ou le certificat à utiliser pour signer, valider, chiffrer ou déchiffrer divers messages. S'il existe plusieurs clés ou certificats ayant le même nom distinctif de sujet que la clé ou le
certificat avec l'alias spécifié, ce paramètre détermine celui à utiliser. Utilisez l'une des sélections suivantes methods:
only.alias
Select la clé ou le certificat avec l'alias spécifié. Cette méthode est la signature default.
longest.lifetime
For, une clé valide avec la durée de vie la plus longue est utilisée. Pour la validation, les clés qui partagent la même adresse SubjectDN sont triées en fonction de leur disponibilité à vie. En commençant par la clé dont la durée de vie est la plus longue, les clés sont essayées séquentiellement jusqu'à ce que la validation soit successful.
shortest.lifetime
For signature, une clé valide dont la durée de vie est la plus courte est utilisée. Pour la validation, les clés qui partagent la même adresse SubjectDN sont triées en fonction de leur disponibilité à vie. En commençant par la clé dont la durée de vie est la plus courte, les clés sont essayées séquentiellement jusqu'à ce que la validation soit successful.
defaultNameIDFormat
Specify le format nameID à utiliser lorsqu'aucun format nameID n'est spécifié dans le paramètre ou le message de la requête SSO. Utilisez l'un des formats suivants nameID pour le fournisseur d'identité federation:
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
urn:oasis:names:tc:SAML:2.0:nameid-format:transient
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
Use l'un des formats suivants nameID pour le fournisseur de services federation:
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
Note: Les champs crlEnabled et keySelectionCriteria n'apparaissent pas dans la réponse GET tant qu'ils n'ont pas été mis à jour.
La réponse se présente comme suit :
[
{
"name": "saml20ip",
"messageValidTime": 300,
"assertionValidBefore": 300,
"assertionValidAfter": 300,
"crlEnabled": true,
"keySelectionCriteria": "only.alias",
"defaultNameIDFormat": "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress",
"role": "ip"
},
{
"name": "saml20sp",
"messageValidTime": 300,
"clockSkew": 0,
"includeAllAttributes": false,
"crlEnabled": true,
"keySelectionCriteria": "only.alias",
"defaultNameIDFormat": "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress",
"role": "sp"
}
]
get https://{tenanturl}/v1.0/saml/federations