87 lines
No EOL
11 KiB
JSON
87 lines
No EOL
11 KiB
JSON
{
|
||
"clientType": "'OpenID connect'允许客户端基于授权服务器执行的认证来验证最终用户的身份。'SAML'启用基于Web的身份验证和授权方案,包括跨域单点登录(SSO),并使用包含断言的安全令牌传递信息。",
|
||
"serviceAccount": "允许您向Keycloak验证此客户端并检索专用于此客户端的访问令牌。在OAuth2规范方面,这将支持此客户端的“客户端凭据授予”。",
|
||
"authorization": "启用/禁用客户端的细粒度授权支持",
|
||
"directAccess": "这启用对直接访问授权的支持,这意味着客户端可以访问用户的用户名/密码,并直接与Keycloak服务器交换访问令牌。在OAuth2规范方面,这允许支持此客户端的“资源所有者密码凭据授权”。",
|
||
"standardFlow": "这使标准的基于OpenID Connect重定向的身份验证与授权码。根据OpenID Connect或OAuth2规范,这将支持此客户端的“授权代码流”。",
|
||
"implicitFlow": "这启用对无授权代码的基于OpenID Connect重定向的身份验证的支持。根据OpenID Connect或OAuth2规范,这将支持此客户端的“隐式流”。",
|
||
"rootURL": "附加到相对URL的根URL",
|
||
"validRedirectURIs": "浏览器可以在成功登录或注销后重定向到的有效URI模式。允许使用简单通配符,即“http://example.com/*”。也可以指定相对路径,即/ my / relative / path / *。相对路径是相对于客户端根URL的,如果没有指定,则使用auth服务器根URL。对于SAML,如果您依赖嵌入登录请求的使用者服务URL,则必须设置有效的URI模式。",
|
||
"nameIdFormat": "要用于主题的名称ID格式。",
|
||
"forceNameIdFormat": "忽略请求的NameID主题格式并使用管理控制台配置的。",
|
||
"forcePostBinding": "始终对POST响应使用POST绑定。",
|
||
"includeAuthnStatement": "是否应该在登录响应中包含指定方法和时间戳的语句?",
|
||
"optimizeLookup": "在由Keycloak适配器保护的SP的REDIRECT绑定中签名SAML文档时,如果签名密钥的ID包含在<Extensions>元素中的SAML协议消息中?这将优化签名的验证,因为验证方使用单个密钥,而不是尝试每个已知密钥进行验证。",
|
||
"signDocuments": "SAML文档是否应该由领域签名?",
|
||
"signAssertions": "SAML文档中的断言是否应该签名?如果文档已签署,则不需要此设置。",
|
||
"signatureAlgorithm": "用于签署文档的签名算法。",
|
||
"canonicalization": "XML签名的规范化方法。",
|
||
"webOrigins": "允许的CORS起点。要允许有效重定向URI的所有来源,请添加“+”。允许所有起点添加'*'。",
|
||
"homeURL": "当auth服务器需要重定向或链接回客户端时使用的默认URL。",
|
||
"adminURL": "客户端管理界面的URL。如果客户端支持适配器REST API,请设置此选项。此REST API允许auth服务器推送吊销策略和其他管理任务。通常将此设置为客户端的基本URL。",
|
||
"client": "选择进行此授权请求的客户端。如果未提供,授权请求将根据您所在的客户端完成。",
|
||
"clientId": "指定在URI和令牌中引用的ID。例如“my-client”。对于SAML,这也是authn请求的预期发放者值",
|
||
"selectUser": "选择一个用户,其身份将被用于查询服务器的权限。",
|
||
"roles": "选择要与所选用户关联的角色。",
|
||
"contextualAttributes": "由正在运行的环境或执行上下文提供的任何属性。",
|
||
"applyToResourceType": "指定是否将此权限应用于具有给定类型的所有资源。 在这种情况下,将对给定资源类型的所有实例评估此权限。",
|
||
"resources": "指定此权限必须应用于特定资源实例。",
|
||
"scopesSelect": "指定此权限必须应用于一个或多个作用域。",
|
||
"clientName": "指定客户端的显示名称。例如“我的客户端”。支持本地化值的键。例如\\uff1a$ {my_client}",
|
||
"description": "指定客户端的描述。例如“我的客户端的时间表”。支持本地化值的键。例如\\uff1a$ {my_client_description}",
|
||
"loginTheme": "为登录、授权、注册、忘记密码界面选择页面主题",
|
||
"encryptAssertions": "是否应使用AES通过客户端的公钥对SAML断言进行加密?",
|
||
"clientSignature": "客户端是否签署了saml请求和响应?他们应该验证吗?",
|
||
"expiration": "指定令牌有效的时间",
|
||
"count": "指定可以使用令牌创建多少个客户端",
|
||
"client-authenticator-type": "客户端身份验证器用于认证此客户端对Keycloak服务器",
|
||
"registration-access-token": "注册访问令牌为客户端提供对客户端注册服务的访问。",
|
||
"nodeReRegistrationTimeout": "指定注册的客户端群集节点重新注册的最大时间的间隔。如果集群节点在此时间内不会向Keycloak发送重新注册请求,则它将从Keycloak注销",
|
||
"userInfoSignedResponseAlgorithm": "用于签名的用户信息端点响应的JWA算法。如果设置为“unsigned”,则用户信息响应将不会被签名,并将以application / json格式返回。",
|
||
"requestObjectSignatureAlgorithm": "JWA算法,客户端在发送由'request'或'request_uri'参数指定的OIDC请求对象时需要使用。如果设置为“any”,则Request对象可以由任何算法(包括“none”)签名。",
|
||
"idpInitiatedSsoUrlName": "当您想要进行IDP发起的SSO时,引用客户端的URL片段名称。留下此空将禁用IDP启动的SSO。您将从浏览器引用的URL为:{server-root} / realms / {realm} / protocol / saml / clients / {client-url-name}",
|
||
"idpInitiatedSsoRelayState": "当您想要执行IDP发起的SSO时,要使用SAML请求发送的中继状态。",
|
||
"masterSamlProcessingUrl": "如果配置,此URL将用于每次绑定到SP的断言使用者和单一注销服务。这可以对细粒度SAML端点配置中的每个绑定和服务单独进行覆盖。",
|
||
"accessTokenLifespan": "access token最长有效时间,这个值推荐要比SSO超时要短一些。",
|
||
"assertionConsumerServicePostBindingURL": "SAML POST绑定客户端断言使用者服务的URL(登录响应)。如果您没有此绑定的URL,则可以将此字段留空。",
|
||
"assertionConsumerServiceRedirectBindingURL": "SAML重定向客户端断言使用者服务的绑定URL(登录响应)。如果您没有此绑定的URL,则可以将此字段留空。",
|
||
"logoutServicePostBindingURL": "SAML POST绑定客户端单一注销服务的URL。如果使用不同的绑定,则可以将此留空",
|
||
"logoutServiceRedirectBindingURL": "SAML重定向客户端单一注销服务的绑定URL。如果使用不同的绑定,则可以将此留空。",
|
||
"frontchannelLogout": "当为true时,注销需要浏览器重定向到客户端。当为false时,服务器对注销执行后台调用。",
|
||
"browserFlow": "选择要用于浏览器身份验证的流。",
|
||
"directGrant": "选择要用于直接授予身份验证的流。",
|
||
"certificate": "客户端发出的验证JWT的客户端证书,由客户端私钥从您的密钥库签名。",
|
||
"jwksUrl": "存储JWK格式的客户端密钥的URL。有关更多详细信息,请参阅JWK规范。如果您使用带有“jwt”凭据的keycloak客户端适配器,那么您可以使用带有'/ k_jwks'后缀的应用程序的URL。例如“http://www.myhost.com/myapp/k_jwks”。",
|
||
"archiveFormat": "Java密钥库或PKCS12归档格式。",
|
||
"keyAlias": "存档您的私钥和证书的别名。",
|
||
"keyPassword": "访问存档中私钥的密码",
|
||
"storePassword": "访问归档本身的密码",
|
||
"consentRequired": "如果已启用的用户必须同意客户端访问。",
|
||
"import": "导入包含此资源服务器的授权设置的JSON文件。",
|
||
"policyEnforcementMode": "策略强制模式指示在评估授权请求时如何强制执行策略。 “Enforcing”表示即使没有与给定资源相关联的策略,也会默认拒绝请求。 “Permissive”表示即使没有与给定资源相关联的策略也允许请求。 “禁用”完全禁用策略的评估,并允许访问任何资源。",
|
||
"allowRemoteResourceManagement": "资源服务器是否应该远程管理资源?如果为false,则只能从此管理控制台管理资源。",
|
||
"resourceName": "此资源的唯一名称。 该名称可用于唯一标识资源,在查询特定资源时很有用。",
|
||
"type": "此资源的类型。 它可以用于对具有相同类型的不同资源实例进行分组。",
|
||
"uris": "也可以用于唯一标识此资源的URI。",
|
||
"scopes": "与此资源关联的范围。",
|
||
"fullScopeAllowed": "允许您禁用所有限制。",
|
||
"resetActions": "发送用户重置操作电子邮件时要执行的操作的集合。 “验证电子邮件”向用户发送电子邮件以验证其电子邮件地址。 “更新个人资料”要求用户输入新的个人信息。 “更新密码”要求用户输入新密码。 '配置OTP'需要设置移动密码生成器。",
|
||
"scopeName": "此作用域的唯一名称。该名称可用于唯一标识范围,在查询特定范围时很有用。",
|
||
"policy-name": "此策略的名称。",
|
||
"policy-description": "此策略的描述。",
|
||
"policyDecisionStagey": "决策策略规定如何评估与给定权限相关联的策略以及如何获得最终决策。 “肯定”意味着至少一个政策必须评估为积极的决定,以使最终决定也是积极的。 “一致”是指所有政策必须评估为一个积极的决定,以使最终决定也是积极的。 “共识”意味着积极决策的数量必须大于负面决策的数量。如果正数和负数相同,最终决定将为负数。",
|
||
"applyPolicy": "指定必须应用于此策略或权限定义的范围的所有策略。",
|
||
"policyGroups": "指定此策略允许哪些用户。",
|
||
"policyRoles": "指定此策略允许的客户端角色。",
|
||
"startTime": "定义不得授予策略的时间。仅当当前日期/时间晚于或等于此值时才被授予。",
|
||
"expireTime": "定义不能授予策略的时间。仅当当前日期/时间在此值之前或之前时才被授予。",
|
||
"month": "定义必须授予策略的月份。您还可以通过填充第二个字段来提供范围。在这种情况下,仅当当前月份介于或等于您提供的两个值之间时才会授予权限。",
|
||
"dayMonth": "定义必须授予策略的月份日期。您还可以通过填充第二个字段来提供范围。在这种情况下,只有当月的当天介于或等于您提供的两个值之后,才会授予权限。",
|
||
"hour": "定义策略必须被授予的小时。您还可以通过填充第二个字段来提供范围。在这种情况下,只有当前小时介于或等于您提供的两个值之间时才会授予权限。",
|
||
"minute": "定义策略必须被授予的分钟。您还可以通过填充第二个字段来提供范围。在这种情况下,仅当当前分钟介于或等于您提供的两个值之间时才会授予权限。",
|
||
"policyCode": "提供此策略条件的JavaScript代码。",
|
||
"logic": "逻辑决定如何进行策略决策。如果为“积极”,则在评估本政策期间获得的效果(许可或拒绝)将用于执行决策。如果为“否定”,则所得的效果将被否定,换句话说,许可证变为拒绝,反之亦然。",
|
||
"permissionName": "此权限的名称。",
|
||
"permissionDescription": "此权限的描述。",
|
||
"permissionType": "指定此权限必须应用于给定类型的所有资源实例。"
|
||
} |