Opções de assinatura e criptografia do provedor de serviços SAML
Conteúdo
casso1283
HID_sp-encryption-signing
Conteúdo
Configurações de criptografia do SAML 2.0
Na seção Criptografia, é possível configurar a criptografia para um assertion do SAML. Se você ativar a criptografia, todos os dados no assertion serão criptografados, incluindo todas as instruções de atributos.
Para criptografar apenas instruções de atributos individuais, vá para as configurações de atributos, selecione ou crie um atributo e marque a caixa de seleção Criptografado do atributo individual.
As configurações de criptografia são:
- Criptografar a ID do nomeEspecifica que a ID de nome no assertion está criptografada.
- Algoritmo de bloqueio de criptografiaEspecifica o algoritmo de bloqueio para criptografia. Selecione um dos algoritmos a seguir:
- tripledes (padrão)
- aes-128
- aes-256
- Criptografar assertionAtiva a criptografia do assertion.
- Algoritmo-chave de criptografiaEspecifica o algoritmo de chave para criptografia. Selecione um:
- rsa-v15 (padrão)
- rsa-oaepA memória mínima necessária para usar o algoritmo de criptografia rsa-oaep é de 1024 bits.
- Certificado da chave pública de criptografiaEssas configurações especificam o local do certificado público das configurações de assinatura do SAML 2.0 do provedor de serviços.Se a opção Criptografar a ID do nome ou Criptografar o assertion tiver sido definida, ou qualquer atributo de assertion necessitar de criptografia, preencha os dois campos.
Configurações de assinatura do SAML 2.0
A seção Assinatura permite especificar informações de processamento de assinatura digital para a resposta de assertion.
As configurações de informações de assinatura digital são:
- Desativar processamento de assinaturaDesativa todos os processamentos de assinaturas desse provedor de serviços (assinatura e verificação de assinatura).O processamento de assinatura é necessário em um ambiente de produção. Selecione a opção Desativar processamento de assinatura para a depuração.
- DN do emissorEspecifica o nome distinto do emissor do certificado, que é usado para verificar a assinatura de uma mensagem SAML proveniente de um provedor de serviços. Esse valor é usado com o número de série para localizar o certificado no repositório de dados de certificados.o campo DN do emissor é ativado apenas quando a opção HTTP Post ou de associação de redirecionamento HTTP é definida na página Perfil do SAML.
- Exigir solicitações de autenticação assinadasIndica que as mensagens de solicitação de autenticação exigem uma assinatura para que o provedor de identidades aceite a solicitação. Se você marcar essa caixa de seleção, o provedor de identidades não poderá enviar respostas não solicitadas, protegendo uma relação de confiança entre o provedor de identidades e o provedor de serviços.se você ativar esse recurso, preencha as configurações de DN do emissor e de número de série para validar a assinatura da solicitação de autenticação.
- Número de sérieEspecifica o número de série (uma sequência de caracteres hexadecimal) do certificado que é usado para verificar a assinatura de uma mensagem SAML proveniente de um provedor de serviços. Esse valor é usado com o DN do emissor para localizar o certificado no repositório de dados de certificados.o campo Número de série é ativado apenas quando a opção HTTP Post ou de associação de redirecionamento HTTP é definida na página Perfil do SAML.
As opções de assinatura são:
- Alias de assinaturaEspecifica o alias que está associado a uma chave privada específica no repositório de dados de certificado. O alias indica qual chave privada o IdP deve usar para assinar assertions, respostas de SAML, respostas de artefatos, respostas de atributos, solicitações de logoff único e respostas.
- Para assinar mensagens de SLO, selecione a opção de redirecionamento HTTP para logoff único e, em seguida, configure esse campo e os campos de algoritmo de assinatura.
- Para assinar respostas de atributos, selecione Opções de assinatura das configurações de Svc de atributo na página de atributos. Além disso, configure esse campo e os campos de algoritmo de assinatura.
Adicione a chave privada ao repositório de dados de certificados antes de especificar o respectivo alias nesse campo.Limites:uma sequência de caracteres alfanuméricos correspondente a um alias no repositório de dados de certificados. - Exigir ArtifactResolve assinadoIndica que o provedor de serviços deve assinar a mensagem de resolução de artefato antes de enviá-la ao IdP. A mensagem de resolução de artefato é a solicitação do SP para recuperar a mensagem de SAML original. Se você selecionar essa opção, o provedor de serviços deverá assinar a mensagem de resolução de artefato ou o provedor de identidades rejeitará a solicitação.Se o IdP exigir mensagens de resolução de artefato assinadas, o provedor de serviços poderá assinar a mensagem.O processamento de assinatura digital é ativado para processar a mensagem de resolução de artefato assinada.
- Assinar ArtifactResponseIndica que o provedor de identidades deve assinar a resposta do artefato antes de retorná-la ao provedor de serviços. A resposta do artefato contém a resposta de SAML original com o assertion.Se for necessário que o IdP assine a resposta do artefato, o provedor de serviços é configurado para aceitar uma resposta assinada.O processamento de assinatura digital é ativado para assinar a resposta do artefato.
- Algoritmo de assinaturaDesigna o algoritmo de hash para a assinatura digital. Selecione o algoritmo mais adequado ao seu aplicativo. RSAwithSHA256 é mais seguro que SHA1 devido ao maior número de bits usado no valor de hash criptográfico resultante.OSiteMinderusa o algoritmo que você selecionar para todas as funções de assinatura.Limites:RSAwithSHA1, RSAwithSHA256Padrão:RSAwithSHA1
- Opções de assinatura do artefatoIndica a opção de assinatura do artefato do provedor de identidades ao responder a uma solicitação de autenticação de logon único do artefato HTTP.Limites:
- Assinar assertionAssina o assertion.
- Assinar respostaAssina a resposta de SAML que contém o assertion.
- Assinar ambosAssina o assertion e a resposta de SAML.
- Assinar nenhumNão assina o assertion nem a resposta de SAML.
Padrão:Assinar nenhum - Opções de pós-assinaturaIndica a opção de assinatura de publicação do provedor de identidades ao responder a uma solicitação de autenticação de logon único de HTTP POST.Limites:
- Assinar assertionAssina o assertion.
- Assinar respostaAssina a resposta de SAML que contém o assertion.
- Assinar ambosAssina o assertion e a resposta de SAML.
Padrão:Assinar assertion