Opções de assinatura e criptografia do provedor de serviços SAML

Conteúdo
casso1283
HID_sp-encryption-signing
A página Criptografia e assinatura inclui configurações para a definição de assinatura digital e criptografia.
Conteúdo
Configurações de criptografia do SAML 2.0
Na seção Criptografia, é possível configurar a criptografia para um assertion do SAML. Se você ativar a criptografia, todos os dados no assertion serão criptografados, incluindo todas as instruções de atributos.
Para criptografar apenas instruções de atributos individuais, vá para as configurações de atributos, selecione ou crie um atributo e marque a caixa de seleção Criptografado do atributo individual.
As configurações de criptografia são:
  • Criptografar a ID do nome
    Especifica que a ID de nome no assertion está criptografada.
  • Algoritmo de bloqueio de criptografia
    Especifica o algoritmo de bloqueio para criptografia. Selecione um dos algoritmos a seguir:
    • tripledes (padrão)
    • aes-128
    • aes-256
  • Criptografar assertion
    Ativa a criptografia do assertion.
  • Algoritmo-chave de criptografia
    Especifica o algoritmo de chave para criptografia. Selecione um:
    • rsa-v15 (padrão)
    • rsa-oaep
      A memória mínima necessária para usar o algoritmo de criptografia rsa-oaep é de 1024 bits.
  • Certificado da chave pública de criptografia
    Essas configurações especificam o local do certificado público das configurações de assinatura do SAML 2.0 do provedor de serviços.
    Se a opção Criptografar a ID do nome ou Criptografar o assertion tiver sido definida, ou qualquer atributo de assertion necessitar de criptografia, preencha os dois campos.
Configurações de assinatura do SAML 2.0
A seção Assinatura permite especificar informações de processamento de assinatura digital para a resposta de assertion.
As configurações de informações de assinatura digital são:
  • Desativar processamento de assinatura
    Desativa todos os processamentos de assinaturas desse provedor de serviços (assinatura e verificação de assinatura).
    O processamento de assinatura é necessário em um ambiente de produção. Selecione a opção Desativar processamento de assinatura para a depuração.
  • DN do emissor
    Especifica o nome distinto do emissor do certificado, que é usado para verificar a assinatura de uma mensagem SAML proveniente de um provedor de serviços. Esse valor é usado com o número de série para localizar o certificado no repositório de dados de certificados.
    o campo DN do emissor é ativado apenas quando a opção HTTP Post ou de associação de redirecionamento HTTP é definida na página Perfil do SAML.
  • Exigir solicitações de autenticação assinadas
    Indica que as mensagens de solicitação de autenticação exigem uma assinatura para que o provedor de identidades aceite a solicitação. Se você marcar essa caixa de seleção, o provedor de identidades não poderá enviar respostas não solicitadas, protegendo uma relação de confiança entre o provedor de identidades e o provedor de serviços.
    se você ativar esse recurso, preencha as configurações de DN do emissor e de número de série para validar a assinatura da solicitação de autenticação.
  • Número de série
    Especifica o número de série (uma sequência de caracteres hexadecimal) do certificado que é usado para verificar a assinatura de uma mensagem SAML proveniente de um provedor de serviços. Esse valor é usado com o DN do emissor para localizar o certificado no repositório de dados de certificados.
    o campo Número de série é ativado apenas quando a opção HTTP Post ou de associação de redirecionamento HTTP é definida na página Perfil do SAML.
As opções de assinatura são:
  • Alias de assinatura
    Especifica o alias que está associado a uma chave privada específica no repositório de dados de certificado. O alias indica qual chave privada o IdP deve usar para assinar assertions, respostas de SAML, respostas de artefatos, respostas de atributos, solicitações de logoff único e respostas.
    • Para assinar mensagens de SLO, selecione a opção de redirecionamento HTTP para logoff único e, em seguida, configure esse campo e os campos de algoritmo de assinatura.
    • Para assinar respostas de atributos, selecione Opções de assinatura das configurações de Svc de atributo na página de atributos. Além disso, configure esse campo e os campos de algoritmo de assinatura.
    Adicione a chave privada ao repositório de dados de certificados antes de especificar o respectivo alias nesse campo.
    Limites:
    uma sequência de caracteres alfanuméricos correspondente a um alias no repositório de dados de certificados.
  • Exigir ArtifactResolve assinado
    Indica que o provedor de serviços deve assinar a mensagem de resolução de artefato antes de enviá-la ao IdP. A mensagem de resolução de artefato é a solicitação do SP para recuperar a mensagem de SAML original. Se você selecionar essa opção, o provedor de serviços deverá assinar a mensagem de resolução de artefato ou o provedor de identidades rejeitará a solicitação.
    Se o IdP exigir mensagens de resolução de artefato assinadas, o provedor de serviços poderá assinar a mensagem.
    O processamento de assinatura digital é ativado para processar a mensagem de resolução de artefato assinada.
  • Assinar ArtifactResponse
    Indica que o provedor de identidades deve assinar a resposta do artefato antes de retorná-la ao provedor de serviços. A resposta do artefato contém a resposta de SAML original com o assertion.
    Se for necessário que o IdP assine a resposta do artefato, o provedor de serviços é configurado para aceitar uma resposta assinada.
    O processamento de assinatura digital é ativado para assinar a resposta do artefato.
  • Algoritmo de assinatura
    Designa o algoritmo de hash para a assinatura digital. Selecione o algoritmo mais adequado ao seu aplicativo. RSAwithSHA256 é mais seguro que SHA1 devido ao maior número de bits usado no valor de hash criptográfico resultante.
    O
    SiteMinder
    usa o algoritmo que você selecionar para todas as funções de assinatura.
    Limites:
    RSAwithSHA1, RSAwithSHA256
    Padrão:
    RSAwithSHA1
  • Opções de assinatura do artefato
    Indica a opção de assinatura do artefato do provedor de identidades ao responder a uma solicitação de autenticação de logon único do artefato HTTP.
    Limites:
    • Assinar assertion
      Assina o assertion.
    • Assinar resposta
      Assina a resposta de SAML que contém o assertion.
    • Assinar ambos
      Assina o assertion e a resposta de SAML.
    • Assinar nenhum
      Não assina o assertion nem a resposta de SAML.
    Padrão:
    Assinar nenhum
  • Opções de pós-assinatura
    Indica a opção de assinatura de publicação do provedor de identidades ao responder a uma solicitação de autenticação de logon único de HTTP POST.
    Limites:
    • Assinar assertion
      Assina o assertion.
    • Assinar resposta
      Assina a resposta de SAML que contém o assertion.
    • Assinar ambos
      Assina o assertion e a resposta de SAML.
    Padrão:
    Assinar assertion