Dialogfeld "Signatur und Verschlüsselung" (SAML 2.0-SP)

casso13de
HID_relying-partner-sig-encrypt
Inhalt
Im Schritt "Signatur und Verschlüsselung" können Sie Optionen konfigurieren, um SAML-Assertionen und Authentifizierungsanforderungen zu signieren und zu verschlüsseln, wenn die lokale vertrauende Seite konfiguriert wird.
Signatur (SAML 2.0-SP)
Im Abschnitt "Signatur" können Sie Optionen für die Signatur von Authentifizierungsanforderungen, Assertionsantworten, Single Logout-Anforderungen und Single Logout-Antworten konfigurieren.
Dieser Bereich zeigt folgende Einstellungen an:
  • Signaturverarbeitung deaktivieren
    Wenn diese Option festgelegt ist, werden alle Signaturverarbeitungen (sowohl Signatur als auch Prüfung von Signaturen) für die Partnerschaft deaktiviert.
    Hinweis:
    Die Signaturverarbeitung ist in einer Produktionsumgebung aktiviert. Verwenden Sie die Option "Signaturverarbeitung deaktivieren" nur für Debugging.
  • Privater Schlüsselalias der Signatur
    Gibt den Alias an, der einem privaten Schlüssel im Zertifikatsdatenspeicher zugeordnet ist, der verwendet wird, um Authentifizierungsanforderungen und SLO-SOAP-Meldungen zu signieren. Wählen Sie im Pull-down-Menü einen Alias aus. Wenn kein Schlüssel im Zertifikatsdatenspeicher vorhanden ist, klicken Sie auf "Importieren", um einen Schlüssel zu importieren. Als Alternative können Sie auf "Generieren" klicken, um eine Schlüssel- bzw. Zertifikatsanforderung zu generieren, die Sie an eine Zertifizierungsstelle senden können.
    Wert:
    Auswahl aus der Pulldown-Liste.
  • Signaturalgorithmus
    Legt den Hash-Algorithmus für die Signatur von Authentifizierungsanforderungen und SLO-SOAP-Meldungen fest. Wählen Sie den Algorithmus aus, der für Ihre Anwendung am besten geeignet ist.
    "RSAwithSHA256" ist sicherer als "RSAwithSHA1", weil im resultierenden kryptografischen Hash-Wert eine größere Anzahl der Bits verwendet wird.
    Der von Ihnen ausgewählte Algorithmus wird für alle Signaturfunktionen ausgewählt.
    Standard:
    RSAwithSHA1
    Optionen:
    "RSAwithSHA1", "RSAwithSHA256"
  • Zertifikat-Alias der Überprüfung
    Identifiziert den Alias, der dem Zertifikat (öffentlicher Schlüssel) zugeordnet ist, das verwendet wird, um signierte Assertionen und SLO-Antworten zu prüfen. Wählen Sie im Pull-down-Menü einen Alias aus. Wenn kein Zertifikat im Zertifikatsdatenspeicher vorhanden ist, klicken Sie auf "Importieren", um ein Zertifikat zu importieren. Als Alternative können Sie auf "Generieren" klicken, um eine Zertifikatsanforderung zu generieren, die Sie an eine Zertifizierungsstelle senden können.
    Wert:
    Auswahl aus der Pulldown-Liste.
  • SLO-SOAP-Signaturoptionen
    Zeigt an, ob die SOAP-Anforderung, SOAP-Antwort oder beide signiert sind, damit SLO die SOAP-Bindung verwendet.
    Standard:
    Keins von beiden signieren
    Optionen:
    Abmeldeanforderung signieren, Abmeldeantwort signieren, Beides signieren, Keins von beiden signieren
  • Authentifizierungsanforderungen signieren
    Zeigt an, dass Meldungen der Authentifizierungsanforderung signiert sind, bevor sie an die behauptende Seite gesendet werden.
  • Signierte "ArtifactResponse" ist erforderlich
    Gibt an, dass der Service Provider nur die Artefaktantwort akzeptiert. Die Antwort enthält die ursprünglich signierte SAML-Meldung.
    Wenn Sie dieses Kontrollkästchen aktivieren, dann kann der Identity Provider die Artefaktantwort signieren.
    Hinweis:
    Die Verarbeitung von digitalen Signaturen ist aktiviert, um die signierte Antwort zu verarbeiten.
  • ArtifactResolve signieren
    Zeigt an, dass die Meldung zur Artefaktauflösung signiert ist. Die Meldung zur Artefaktauflösung ist signiert oder der Identity Provider lehnt sie ab.
    Wenn Sie dieses Kontrollkästchen aktivieren, dann benötigt der Identity Provider eine signierte Meldung zur Artefaktauflösung.
    Hinweis:
    Die Verarbeitung von digitalen Signaturen ist aktiviert, um die Meldung zur Artefaktauflösung zu signieren.
Verschlüsselung (SAML 2.0-SP)
Die Verschlüsselung zeigt die Verschlüsselungsanforderungen dieser lokalen Entität an, um eine Assertion zu akzeptieren. Dieser Bereich zeigt folgende Einstellungen an:
  • Verschlüsselte Namens-ID ist erforderlich
    Legt fest, dass es für die vertrauende Seite erforderlich ist, dass die Namens-ID über eine behauptende Remote-Seite verschlüsselt wird.
  • Verschlüsselte Assertion ist erforderlich
    Legt fest, dass es für die vertrauende Seite erforderlich ist, dass die gesamte Assertion über eine behauptende Remote-Seite verschlüsselt wird.
  • SLO über SOAP-Optionen
    Legt fest, ob die Namens-ID in der SOAP-Meldung verschlüsselt werden soll oder ob es erforderlich sein soll, dass empfangene SOAP-Meldungen eine verschlüsselte Namens-ID enthalten.
    Optionen:
    Namens-ID in SOAP-Meldung verschlüsseln, Verschlüsselte Namens-ID in SOAP-Meldung ist erforderlich.
  • Zertifikat-Alias der Verschlüsselung
    Identifiziert einen Alias für das Zertifikat, das verwendet wird, um die AuthnRequest zu verschlüsseln. Der entsprechende private Schlüssel auf der behauptenden Seite entschlüsselt die Daten. Wählen Sie im Pull-down-Menü einen Alias aus. Wenn kein Zertifikat im Zertifikatsdatenspeicher vorhanden ist, können Sie auf "Importieren" klicken, um ein Zertifikat zu importieren. Als Alternative können Sie auf "Generieren" klicken, um eine Zertifikatsanforderung zu generieren, die Sie an eine Zertifizierungsstelle senden können.
  • Blockalgorithmus
    Identifiziert die Blockchiffre-Methode für das Verschlüsseln von Daten. Der Blockalgorithmus kodiert feste Blöcke von Eingaben.
    Standard:
    3DES
    Optionen:
    3DES, AES-128, AES-256
  • Schlüsselalgorithmus
    Gibt den Schlüsselalgorithmus für die Verschlüsselung an.
    Standard:
    RSA-V15
    Optionen:
    "RSA-V15", "RSA-OAEP"
    Hinweis:
    Die Mindestgröße des Schlüssels, der erforderlich ist, um den Verschlüsselungsalgorithmus "rsa-oaep" zu verwenden, ist 1024 Bits.
  • Entschlüsselung des privaten Schlüsselalias
    Gibt den Alias an, der dem privaten Schlüssel zugeordnet ist, der verwendet wird, um verschlüsselte Daten in der Assertion zu entschlüsseln. Wählen Sie in der Pull-down-Liste einen Alias aus. Wenn kein Schlüssel im Zertifikatsdatenspeicher vorhanden ist, klicken Sie auf "Importieren", um einen Schlüssel zu importieren. Als Alternative können Sie auf "Generieren" klicken, um eine Schlüssel- bzw. Zertifikatsanforderung zu generieren, die Sie an eine Zertifizierungsstelle senden können.
    Wert:
    Eine alphanumerische Zeichenfolge