Criptografia e assinatura do esquema de autenticação via SAML 2.0
Conteúdo
casso1283
HID_saml2-auth-encryption-signing
Conteúdo
Na caixa de diálogo Criptografia e assinatura, é possível configurar os requisitos de criptografia do provedor de serviços quando ele recebe um assertion. Essa página também permite que você especifique as configurações de assinatura para solicitações de autenticação e solicitações e respostas de logoff único. Por fim, você pode especificar a proteção do canal de apoio para o logon único do artefato HTTP e o processamento de consulta de atributo.
Esquema de autenticação SAML 2.0 -- Criptografia
- CriptografiaIndica os requisitos que o provedor de serviços possui para aceitar um assertion. Os campos são:
- Exigir ID de nome criptografadaIndica que a ID de nome no assertion deve estar criptografada. Se a ID de nome não estiver criptografada, o assertion será rejeitado.
- Exigir assertion criptografadoIndica que todo o assertion deve ser criptografado. Se o assertion não estiver criptografado, ela será rejeitado.
Esquema de autenticação SAML 2.0 -- Chave privada de descriptografia
- Chave privada de descriptografiaEspecifica a chave privada que descriptografa os dados do assertion.
- AliasEspecifica o alias da chave privada que o provedor de serviços usa para descriptografar os dados do assertion criptografado. A chave privada deve estar no repositório de dados de certificados.
Esquema de autenticação SAML 2.0 -- Informações de assinatura digital
Informações de assinatura digital
Contém campos e controles que permitem especificar informações da assinatura digital. As informações da assinatura digital são necessárias para os seguintes recursos:
- Perfil HTTP POST para logon único
- Solicitações/respostas de logoff único
- Solicitações de autenticação assinada
- Consultas de atributo
Os campos na seção são:
- Desativar processamento de assinaturaDesativa todo o processamento de assinaturas, ou seja, a assinatura e a verificação de assinaturas, do provedor de serviços.O processamento de assinatura é necessário em um ambiente de produção. Selecione a opção Desativar processamento de assinatura apenas para fins de depuração.
- Opções de assinaturaExibe uma caixa de diálogo com as configurações de assinatura digital, especificamente, o alias de assinatura e o algoritmo de assinatura.
- DN do emissorEspecifica o nome distinto do emissor do certificado que é usado para a verificação de assinatura de mensagens provenientes do provedor de identidades. Esse valor é usado com o número de série para localizar o certificado no repositório de dados de certificados.Esse campo será ativado somente se o HTTP Post para logon único ou o Redirecionamento HTTP para logoff único for configurado. Se o processamento de assinaturas for desativado, esse campo ficará inativo.
- Número de sérieEspecifica o número de série (uma sequência de caracteres hexadecimal) do certificado que é usado para a verificação de assinatura de mensagens provenientes do provedor de identidades. Esse valor é usado com o DN do emissor para localizar o certificado no repositório de dados de certificados.Observação:esse campo é ativado somente se o HTTP POST para logon único ou o Redirecionamento HTTP para logoff único estiver configurado. Se o processamento de assinaturas for desativado, esse campo ficará inativo.
Esquema de autenticação SAML 2.0 -- Processamento de assinatura
A seção Processamento de assinatura especifica o alias de assinatura e o algoritmo de hash para a assinatura digital. A seção contém as seguintes configurações:
- Alias de assinaturaEspecifica o alias que está associado a uma chave privada específica no repositório de dados de certificado. O alias indica a chave privada que o provedor de serviços usa para assinar mensagens de AuthnRequest, solicitações e respostas de logoff único e consultas de atributos que ele envia ao IdP.Antes de preencher o campo Alias de assinatura, execute uma ou mais das tarefas a seguir:
- Para assinar AuthnRequests, marque a caixa de seleção SignAuthnRequests na guia SSO e, em seguida, preencha os campos Alias de assinatura e Algoritmo de assinatura.
- Para assinar mensagens de SLO, marque a caixa de seleção Redirecionamento HTTP na guia SLO e, em seguida, preencha os campos Alias de assinatura e Algoritmo de assinatura.
- Para assinar consultas de atributo, selecione Assinar consulta de atributo na guia Atributos e, em seguida, preencha os campos Alias de assinatura e Algoritmo de assinatura.
Adicione a chave privada ao banco de dados de chaves antes de especificar seu alias associado nesse campo.Valor:uma sequência de caracteres alfanuméricos que identifica um alias existente no repositório de dados de certificados. - Algoritmo de assinaturaEspecifica o algoritmo de hash para a assinatura digital. Selecione o algoritmo mais adequado ao seu aplicativo. RSAwithSHA256 é mais seguro que SHA1 devido ao maior número de bits usado no valor de hash criptográfico.OSiteMinderusa o algoritmo que você selecionar para todas as funções de assinatura.Opções: RSAwithSHA1, RSAwithSHA256Padrão:RSAwithSHA1
Esquema de autenticação SAML 2.0 -- Canal de apoio
A seção Canal de apoio define a configuração do canal de apoio seguro. O canal de backup possui duas funções:
- Logon único entre um provedor de serviços e um provedor de identidades.
- Consultas e respostas de atributo entre um solicitante SAML e uma autoridade de atributo.
Os campos obrigatórios a seguir têm a mesma função para ambas as finalidades, conforme a seguir:
- AutenticaçãoEspecifica o método de autenticação usado pelo canal de apoio. O esquema de autenticação determina o tipo de credenciais que o provedor de serviços deve apresentar ao provedor de identidades para recuperar o assertion.As opções são:
- Certificado de clienteIndica se o serviço de resolução de artefato ou o serviço de atributo faz parte de um realm. Um esquema de autenticação de certificado de cliente X.509 protege esse realm. Se você selecionar essa opção, configure o acesso ao serviço de resolução de artefato usando um certificado de cliente.No campo Nome do SP, insira o valor da ID do SP nas configurações gerais. O nome e a senha do SP são as credenciais que o provedor de serviços deve apresentar para recuperar o assertion. Essas credenciais são usadas para procurar o certificado no repositório de chaves.O administrador no provedor de identidades deve proteger o serviço de resolução de artefato com um esquema de autenticação de certificado de cliente.É possível usar certificados que não tenham sido criptografados com FIPS 140 para proteger o canal de apoio, mesmo que o servidor de políticas esteja funcionando no modo apenas FIPS. No entanto, para instalações apenas FIPS use certificados criptografados somente com o uso de algoritmos compatíveis com FIPS 140.
- BásicoIndica se o logon único ou o serviço de atributo faz parte de um realm. Um esquema de autenticação básico ou de credenciais básicas sobre SSL protege esse realm.(Padrão) Se você selecionar essa opção, nenhuma configuração adicional será necessária além do preenchimento dos campos obrigatórios remanescentes. No campo Nome do SP, insira o valor da ID do SP nas configurações gerais. O nome e a senha do SP são as credenciais que o provedor de serviços deve apresentar para recuperar o assertion.Para usar Básico sobre SSL, o certificado de autoridade de certificação usado para permitir a conexão SSL deve estar no repositório de dados de certificados. Se não estiver, importe o certificado para o repositório de dados de certificados.
- Sem autenticaçãoIndica que o logon único ou o serviço de atributo não está protegido. Se você selecionar essa opção, nenhuma autenticação será necessária.
- SenhaEspecifica a senha que o provedor de identidades ou a autoridade de atributo usa para acessar o provedor de serviços ou o solicitante SAML por meio do canal de apoio. Digite uma sequência de caracteres válida com 3 a 255 caracteres.
- Nome do SPIdentifica o objeto de provedor de serviços. Esse nome deve corresponder ao nome de um provedor de serviços ou um solicitante SAML especificado no provedor de identidades ou na autoridade de atributo.Se você estiver usando a autenticação básica como o esquema de autenticação para o canal de apoio, o valor desse campo será o nome do provedor de serviços. Se você estiver usando a autenticação de certificado de cliente, o Nome do SP deverá ser o alias do certificado de cliente no repositório de dados de certificados.
- Confirmar senhaConfirma a entrada no campo Senha.