Académique Documents
Professionnel Documents
Culture Documents
1 Opciones comunes
Las siguientes opciones son comunes entre el protocolo SAML 2.0 y el protocolo Shibboleth 1.3:
attributes
Esta debería indicar qué atributos debe recibir un SP. Es utilizado, por ejemplo, por el módulo
consent:Consent para indicar al usuario qué atributos recibirá el SP, y el módulo
core:AttributeLimit para limitar qué atributos se envían al SP.
authproc
Se usa para manipular atributos y limitar el acceso para cada SP. Ver el manual del filtro de
procesamiento de autenticación.
base64attributes
Si los atributos enviados a este SP deben estar codificados en base64. El valor predeterminado
es FALSE.
description
Una descripción de este SP. Será utilizado por varios módulos cuando necesiten mostrar una
descripción del SP al usuario.
Esta opción se puede traducir a varios idiomas de la misma manera que la opción name.
name
El nombre de este SP. Será utilizado por varios módulos cuando necesiten mostrar un nombre
del SP al usuario.
Si esta opción no está configurada, se usará el nombre de la organización en su lugar (si está
disponible).
Esta opción se puede traducir a varios idiomas especificando el valor como un array de código
de idioma a nombre traducido:
Esta opción se puede traducir a varios idiomas especificando el valor como un array de código
de idioma a nombre traducido:
OrganizationDisplayName
El nombre de la organización responsable de este IdP. Este nombre debe ser adecuado para
mostrar a los usuarios finales. Si no se especifica esta opción, se utilizará
OrganizationName en su lugar.
Esta opción se puede traducir a varios idiomas especificando el valor como un array de código
de idioma a nombre traducido.
OrganizationURL
Una URL a la que el usuario final puede acceder para obtener más información sobre la
organización.
Esta opción se puede traducir a varios idiomas especificando el valor como un array de código
de idioma a URL traducida.
privacypolicy
Esta es una URL absoluta para que un usuario pueda encontrar una política de privacidad para
este SP. Si se establece, esto se mostrará en la página de consentimiento. %SPENTITYID%
en la URL se reemplazará con la identificación de la entidad de este proveedor de servicios.
Tenga en cuenta que esta opción también existe en los metadatos IdP-hosted. Esta entrada en
los metadatos SP-remote anula la opción en los metadatos IdP-hosted.
userid.attribute
El nombre de atributo de un atributo que identifica de manera única al usuario. Este atributo
se usa si SimpleSAMLphp necesita generar un identificador único persistente para el usuario.
Esta opción se puede establecer tanto en los metadatos IdP-hosted como en los SP-remote. El
valor en los metadatos SP-remote tiene la prioridad más alta. El valor predeterminado es
eduPersonPrincipalName.
Tenga en cuenta que esta opción también existe en los metadatos IdP-hosted. Esta entrada en
los metadatos SP-remote anula la opción en los metadatos IdP-hosted.
2 Opciones SAML 2.0
Las siguientes opciones SAML 2.0 están disponibles:
AssertionConsumerService
El URL del punto final AssertionConsumerService para este SP. Esta opción es obligatoria;
sin ella, no podrá enviar respuestas al SP.
attributes.NameFormat
What value will be set in the Format field of attribute statements. This parameter can be
configured multiple places, and the actual value used is fetched from metadata by the
following priority:
1. SP Remote Metadata
urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified
Note that this option also exists in the IdP-hosted metadata. This entry in the SP-remote
metadata overrides the option in the IdP-hosted metadata.
encryption.blacklisted-algorithms
Blacklisted encryption algorithms. This is an array containing the algorithm identifiers.
Note that this option also exists in the IdP-hosted metadata. This entry in the SP-remote
metadata overrides the option in the IdP-hosted metadata.
The RSA encryption algorithm with PKCS#1 v1.5 padding is blacklisted by default for
security reasons. Any assertions encrypted with this algorithm will therefore fail to decrypt.
You can override this limitation by defining an empty array in this option (or blacklisting any
other algorithms not including that one). However, it is strongly discouraged to do so. For
your own safety, please include the string 'http://www.w3.org/2001/04/xmlenc#rsa-1_5' if you
make use of this option.
ForceAuthn
Set this TRUE to force the user to reauthenticate when the IdP receives authentication requests
from this SP. The default is FALSE.
NameIDFormat
The NameIDFormat this SP should receive. The three most commonly used values are:
1. urn:oasis:names:tc:SAML:2.0:nameid-format:transient
2. urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
3. urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
The transient format will generate a new unique ID every time the SP logs in.
To properly support the persistent and emailAddress formats, you should configure
NameID generation filters on your IdP.
nameid.encryption
Whether NameIDs sent to this SP should be encrypted. The default value is FALSE.
Note that this option also exists in the IdP-hosted metadata. This entry in the SP-remote
metadata overrides the option in the IdP-hosted metadata.
SingleLogoutService
The URL of the SingleLogoutService endpoint for this SP. This option is required if you want
to implement single logout for this SP. If the option isn't specified, this SP will not be logged
out automatically when a single logout operation is initialized.
SingleLogoutServiceResponse
The URL logout responses to this SP should be sent. If this option is unspecified, the
SingleLogoutService endpoint will be used as the recipient of logout responses.
SPNameQualifier
SP NameQualifier for this SP. If not set, the IdP will set the SPNameQualifier to be the SP
entity ID.
certData
The base64 encoded certificate for this SP. This is an alternative to storing the certificate in a
file on disk and specifying the filename in the certificate-option.
certificate
Name of certificate file for this SP. The certificate is used to verify the signature of messages
received from the SP (if redirect.validateis set to TRUE), and to encrypting assertions
(if assertion.encryption is set to TRUE and sharedkey is unset.)
saml20.sign.response
Whether <samlp:Response> messages should be signed. Defaults to TRUE.
Note that this option also exists in the IdP-hosted metadata. The value in the SP-remote
metadata overrides the value in the IdP-hosted metadata.
saml20.sign.assertion
Whether <saml:Assertion> elements should be signed. Defaults to TRUE.
Note that this option also exists in the IdP-hosted metadata. The value in the SP-remote
metadata overrides the value in the IdP-hosted metadata.
signature.algorithm
The algorithm to use when signing any message sent to this specific service provider. Defaults
to RSA-SHA1.
Note that this option also exists in the IdP-hosted metadata. The value in the SP-remote
metadata overrides the value in the IdP-hosted metadata.
Possible values:
Typical values can be mail for when using the email format, and
eduPersonTargetedID when using the persistent format.
simplesaml.attributes
Whether the SP should receive any attributes from the IdP. The default value is TRUE.
attributeencodings
What encoding should be used for the different attributes. This is an array which maps
attribute names to attribute encodings. There are three different encodings:
string: Will include the attribute as a normal string. This is the default.
base64: Store the attribute as a base64 encoded string. This is the default when the
base64attributes-option is set to TRUE.
raw: Store the attribute without any modifications. This makes it possible to include
raw XML in the response.
sign.logout
Whether to sign logout messages sent to this SP.
Note that this option also exists in the IdP-hosted metadata. The value in the SP-remote
metadata overrides the value in the IdP-hosted metadata.
validate.authnrequest
Whether we require signatures on authentication requests sent from this SP.
Note that this option also exists in the IdP-hosted metadata. The value in the SP-remote
metadata overrides the value in the IdP-hosted metadata.
validate.logout
Whether we require signatures on logout messages sent from this SP.
Note that this option also exists in the IdP-hosted metadata. The value in the SP-remote
metadata overrides the value in the IdP-hosted metadata.
There are two modes of encryption supported by SimpleSAMLphp. One is symmetric encryption,
in which case both the SP and the IdP needs to share a key. The other mode is the use of public key
encryption. In that mode, the public key of the SP is extracted from the certificate of the SP.
assertion.encryption
Whether assertions sent to this SP should be encrypted. The default value is FALSE.
Note that this option also exists in the IdP-hosted metadata. This entry in the SP-remote
metadata overrides the option in the IdP-hosted metadata.
sharedkey
Symmetric key which should be used for encryption. This should be a 128-bit key. If this
option is not specified, public key encryption will be used instead.
NameQualifier
What the value of the NameQualifier-attribute of the <NameIdentifier>-element
should be. The default value is the entity ID of the SP.
audience
The value which should be given in the <Audience>-element in the
<AudienceRestrictionCondition>-element in the response. The default value is the
entity ID of the SP.
scopedattributes
Array with names of attributes which should be scoped. Scoped attributes will receive a
Scope-attribute on the AttributeValue-element. The value of the Scope-attribute will
be taken from the attribute value:
<AttributeValue>someuser@example.org</AttributeValue>
<AttributeValue Scope="example.org">someuser</AttributeValue>
By default, no attributes are scoped. This option overrides the option with the same name in
the shib13-idp-hosted.php metadata file.