Caixa de diálogo Assinatura e criptografia (IdP do SAML 2.0)
Conteúdo
casso127figsbrbr
HID_asserting-partner-sig-encrypt
Conteúdo
A etapa Assinatura e criptografia permite configurar opções para assinar e criptografar assertions do SAML.
Assinatura (IdP do SAML 2.0)
A seção Assinatura permite configurar opções para assinar assertions, respostas de assertions, solicitações de logoff único e respostas de logoff único. Essa seção exibe as seguintes configurações:
- Desativar processamento de assinaturaSe essa opção for definida, todo o processamento de assinaturas (assinatura e verificação de assinaturas) será desativado para a parceria.Observação:o processamento de assinaturas é ativado em um ambiente de produção. Use a opção Desativar processamento de assinatura apenas para a depuração.
- Alias de chave privada de assinaturaEspecifica o alias associado a uma chave privada no repositório de dados de certificados usado para assinar assertions e respostas de SLO. Selecione um alias na lista suspensa. Se não houver nenhuma chave no repositório de dados de certificados, clique em Importar para importar uma chave. Como alternativa, clique em Gerar para gerar uma solicitação de chave/certificado que você pode enviar para uma autoridade de certificação.Valor:seleção da lista suspensa.
- Algoritmo de assinaturaDesigna o algoritmo de hash para a assinatura digital de assertions, respostas e mensagens SOAP de SLO. Selecione o algoritmo mais adequado ao seu aplicativo.RSAwithSHA256 é mais seguro que RSAwithSHA1 devido ao maior número de bits usado no valor de hash criptográfico resultante.O algoritmo que você selecionar será usado para todas as funções de assinatura.Padrão:RSAwithSHA1Opções:RSAwithSHA1, RSAwithSHA256
- Alias do certificado de verificaçãoIdentifica o alias associado ao certificado (chave pública) usado para verificar solicitações de autenticação ou respostas de SLO assinadas. Selecione um alias na lista suspensa. Se não houver nenhum certificado no repositório de dados de certificados, clique em Importar para importar um certificado. Como alternativa, clique em Gerar para gerar uma solicitação de certificado que você pode enviar para uma autoridade de certificação.Valor:seleção da lista suspensa.
- Alias do certificado de verificação secundário(Opcional) Especifica um segundo alias de certificado para um certificado no repositório de dados de certificados. Se a verificação de uma solicitação de autenticação assinada não usar o alias do certificado de verificação, o IdP usará esse alias de verificação secundário. Especificar um alias secundário é útil quando um SP substitui seu certificado de assinatura. Uma substituição pode ocorrer por qualquer motivo, como quando um certificado expira, uma chave privada é comprometida ou o tamanho da chave privada é alterado. Se o certificado ainda não estiver no repositório de dados de certificados, clique emImportarpara importá-lo.Valor:seleção da lista suspensa.Quando certificados secundários são configurados ou atualizados para uma parceria ativa, o tempo de execução detecta as alterações automaticamente. Não é necessário limpar o cache da interface de usuário para que as alterações entrem em vigor.
- Opções de assinatura do artefatoIndica se o assertion ou a resposta, ou ambos, são assinados para o logon único do artefato.Padrão:Assinar nenhumOpções:Assinar assertion, Assinar resposta, Assinar ambos, Assinar nenhum
- Opções de pós-assinaturaIndica se o assertion ou a resposta, ou ambos, são assinados para o logon único de postagem.Padrão:Assinar assertionOpções:Assinar assertion, Assinar resposta, Assinar ambos
- Opções de assinatura de SOAP do SLOIndica se a solicitação ou a resposta de SOAP, ou ambas, são assinadas para o SLO usando a associação SOAP.Padrão:Assinar nenhumOpções:Assinar solicitação de logoff, Assinar resposta de logoff, Assinar ambos, Assinar nenhum
- Exigir solicitações de autenticação assinadasIndica que as mensagens de solicitação de autenticação enviadas pelo provedor de serviço devem estar assinadas ou a autoridade de confirmação não aceita a solicitação.
- Exigir ArtifactResolve assinadoIndica que o provedor de serviços deve assinar a mensagem de resolução de artefato antes de enviá-la ao provedor de identidades. A mensagem de resolução de artefato é a solicitação do SP para recuperar a mensagem de SAML original. Se você selecionar essa opção, o provedor de serviços deverá assinar a mensagem de resolução de artefato ou o provedor de identidades rejeitará a solicitação.Se o provedor de identidades exigir mensagens de resolução de artefato assinadas, o provedor de serviços poderá assinar a mensagem de resolução de artefato.Observação:o processamento de assinatura digital é ativado para processar a mensagem de resolução de artefato assinada.
- Assinar ArtifactResponseIndica que o provedor de identidades deve assinar a resposta do artefato antes de retorná-la ao provedor de serviços. A resposta do artefato contém a resposta de SAML original com o assertion.Se for necessário que o provedor de identidades assine a resposta do artefato, o provedor de serviços é configurado para aceitar uma resposta assinada.Observação:o processamento de assinatura digital é ativado para assinar a resposta do artefato.
Criptografia (SP do SAML 2.0)
A seção Criptografia permite designar a criptografia para um assertion do SAML. Essa seção exibe as seguintes configurações:
- Opções de criptografiaPermite selecionar se a ID do nome e todo o assertion devem ser criptografados.Opções:Criptografar a ID do nome, Criptografar o assertionObservação:se você selecionar Criptografar o assertion, é recomendável definir a assinatura de POST e/ou do artefato comoAssinar respostaouAssinar ambos.
- SLO sobre opções SOAPIndica se a ID de nome na mensagem SOAP deve ser criptografada ou se deve ser exigido que qualquer mensagem SOAP recebida contenha uma ID de nome criptografada.Opções:Criptografar NameID na mensagem SOAP, Exigir ID de nome criptografada na mensagem SOAP.
- Alias de certificado de criptografiaIdentifica um alias para o certificado usado para criptografar os dados de assertion. A chave privada correspondente no provedor de serviço descriptografa os dados. Selecione um alias no menu suspenso. Se não houver nenhum certificado no repositório de dados de certificados, clique em Importar para importar um certificado. Como alternativa, clique em Gerar para gerar uma solicitação de certificado que pode ser enviada para uma autoridade de certificação.
- Bloquear algoritmoIdentifica o método de codificação de bloco para criptografar dados. O algoritmo de bloqueio codifica blocos fixos de entrada.Padrão:3DESOpções:3DES, AES-128, AES-256
- Algoritmo de chaveEspecifica o algoritmo de chave para criptografia.Padrão:RSA-V15Opções:RSA-V15, RSA-OAEPObservação:o tamanho mínimo da chave necessária para usar o algoritmo de criptografia rsa-oaep é de 1024 bits.
- Alias da chave privada de descriptografiaEspecifica a chave para descriptografar qualquer dado criptografado na mensagem de AuthnRequest do provedor de serviço. Se não houver nenhuma chave no repositório de dados de certificados, clique em Importar para importar uma chave. Como alternativa, clique em Gerar para gerar uma solicitação que pode ser enviada a uma autoridade de certificação.Padrão:RSA-V15Opções:RSA-V15, RSA-OAEP