Dialogfeld "Signatur und Verschlüsselung" (SAML 2.0-IdP)

Inhalt
casso127figsbrde
HID_asserting-partner-sig-encrypt
Inhalt
Im Schritt "Signatur und Verschlüsselung" können Sie Optionen konfigurieren, um SAML-Assertionen zu signieren und zu verschlüsseln.
Signatur (SAML 2.0-IdP)
Im Abschnitt "Signatur" können Sie Optionen für die Signatur von Assertionen, Assertionsantworten, Single Logout-Anforderungen und Single Logout-Antworten konfigurieren. Dieser Bereich zeigt folgende Einstellungen an:
  • Signaturverarbeitung deaktivieren
    Wenn diese Option festgelegt ist, werden alle Signaturverarbeitungen (sowohl Signatur als auch Prüfung von Signaturen) für die Partnerschaft deaktiviert.
    Hinweis:
    Die Signaturverarbeitung ist in einer Produktionsumgebung aktiviert. Verwenden Sie die Einstellung "Signaturverarbeitung deaktivieren" nur für Debugging.
  • Privater Schlüsselalias der Signatur
    Gibt den Alias an, der einem privaten Schlüssel im Zertifikatsdatenspeicher zugeordnet ist, der verwendet wird, um Assertionen und SLO-Antworten zu signieren. Wählen Sie in der Pull-down-Liste einen Alias aus. Wenn kein Schlüssel im Zertifikatsdatenspeicher vorhanden ist, klicken Sie auf "Importieren", um einen Schlüssel zu importieren. Als Alternative können Sie auf "Generieren" klicken, um eine Schlüssel- bzw. Zertifikatsanforderung zu generieren, die Sie an eine Zertifizierungsstelle senden können.
    Wert:
    Auswahl aus der Drop-down-Liste.
  • Signaturalgorithmus
    Legt den Hash-Algorithmus für die digitale Signatur von Assertionen, Antworten und SLO-SOAP-Meldungen fest. Wählen Sie den Algorithmus aus, der für Ihre Anwendung am besten geeignet ist.
    "RSAwithSHA256" ist sicherer als "RSAwithSHA1", weil im resultierenden kryptografischen Hash-Wert eine größere Anzahl der Bits verwendet wird.
    Der von Ihnen ausgewählte Algorithmus wird für alle Signaturfunktionen ausgewählt.
    Standard:
    RSAwithSHA1
    Optionen:
    "RSAwithSHA1", "RSAwithSHA256"
  • Zertifikat-Alias der Überprüfung
    Identifiziert den Alias, der dem Zertifikat (öffentlicher Schlüssel) zugeordnet ist, das verwendet wird, um signierte Authentifizierungsanforderungen und SLO-Antworten zu prüfen. Wählen Sie in der Pull-down-Liste einen Alias aus. Wenn kein Zertifikat im Zertifikatsdatenspeicher vorhanden ist, klicken Sie auf "Importieren", um ein Zertifikat zu importieren. Als Alternative können Sie auf "Generieren" klicken, um eine Zertifikatsanforderung zu generieren, die Sie an eine Zertifizierungsstelle senden können.
    Wert:
    Auswahl aus der Drop-down-Liste.
  • Sekundärer Alias für Überprüfungszertifikat
    (Optional) Gibt einen zweiten Zertifikat-Alias für ein Zertifikat im Zertifikatsdatenspeicher an. Wenn die Überprüfung einer signierten Authentifizierungsanforderung mithilfe eines Alias für Überprüfungszertifikat fehlschlägt, dann verwenden der IdP diesen sekundären Überprüfungs-Alias. Die Angabe eines sekundären Alias ist nützlich, wenn ein SP einen Rollover seines Signaturzertifikats durchführt. Ein Rollover kann aus verschiedenen Gründen auftreten, z. B. wenn ein Zertifikat abgelaufen ist, ein privater Schlüssel gefährdet ist oder wenn sich die Größe des private Schlüssels ändert. Wenn das Zertifikat nicht bereits im Zertifikatsdatenspeicher ist, klicken Sie auf
    Importieren
    , um ein Zertifikat zu importieren.
    Wert:
    Auswahl aus der Drop-down-Liste.
    Wenn sekundäre Zertifikate konfiguriert oder für eine aktive Partnerschaft aktualisiert werden, übernimmt die Laufzeit automatisch die Änderungen. Sie müssen den Zwischenspeicher nicht über die Benutzeroberfläche leeren, damit die Änderungen wirksam werden.
  • Artefakt-Signaturoptionen
    Zeigt an, ob die Assertion oder die Antwort oder beides für Single Sign-on des Artefakts signiert sind.
    Standard:
    Keins von beiden signieren
    Optionen:
    Assertion signieren, Antwort signieren, Beides signieren, Keins von beiden signieren
  • POST-Signaturoptionen
    Zeigt an, ob die Assertion oder die Antwort oder beides für Single Sign-on des POST signiert sind.
    Standard:
    Assertion signieren
    Optionen:
    Assertion signieren, Antwort signieren, Beides signieren
  • SLO-SOAP-Signaturoptionen
    Zeigt an, ob die SOAP-Anforderung, SOAP-Antwort oder beide signiert sind, damit SLO die SOAP-Bindung verwendet.
    Standard:
    Keins von beiden signieren
    Optionen:
    Abmeldeanforderung signieren, Abmeldeantwort signieren, Beides signieren, Keins von beiden signieren
  • Signierte Authentifizierungsanforderungen sind erforderlich
    Zeigt an, dass Meldungen der Authentifizierungsanforderung, die die vertrauende Seite sendet, signiert sind oder die behauptende Seite die Anforderung nicht akzeptiert.
  • Signierte "ArtifactResolve" ist erforderlich
    Zeigt an, dass der Service Provider die Meldung zur Artefaktauflösung signieren muss, bevor die Meldung an den Identity Provider gesendet wird. Die Meldung zu Artefaktauflösung ist die Anforderung vom SP, um die ursprüngliche SAML-Meldung abzurufen. Wenn Sie diese Option auswählen, muss der Service Provider die Meldung zur Artefaktauflösung signieren. Anderenfalls lehnt der Identity Provider die Anforderung ab.
    Wenn der Identity Provider signierte Meldungen zur Artefaktauflösung benötigt, dann kann der Service Provider die Meldung zur Artefaktauflösung signieren.
    Hinweis:
    Die Verarbeitung von digitalen Signaturen ist aktiviert, um die signierte Meldung zur Artefaktauflösung zu verarbeiten.
  • ArtifactResponse signieren
    Zeigt an, dass der Identity Provider die Artefaktantwort signieren muss, bevor sie an den Service Provider zurückgegeben wird. Die Artefaktantwort enthält die ursprüngliche SAML-Antwort mit der Assertion.
    Wenn es für Sie erforderlich ist, dass der Identity Provider die Artefaktantwort signiert, dann wird der Service Provider konfiguriert, um eine signierte Antwort zu akzeptieren.
    Hinweis:
    Die Verarbeitung von digitalen Signaturen ist aktiviert, um die Artefaktantwort zu signieren.
Verschlüsselung (SAML 2.0-SP)
Im Abschnitt "Verschlüsselung" können Sie die Verschlüsselung für eine SAML-Assertion festlegen. Dieser Bereich zeigt folgende Einstellungen an:
  • Verschlüsselungsoptionen
    Ermöglicht es Ihnen, auszuwählen, ob die Namens-ID und die gesamte Assertion verschlüsselt werden soll.
    Optionen:
    Namens-ID verschlüsseln, Assertion verschlüsseln.
    Hinweis
    : Wenn "Assertion verschlüsseln" aktiviert ist, dann wird empfohlen, die POST-Signaturoption und/oder Artefakt-Signaturoptionen als
    Antwort signieren
    oder
    Beides signieren
    auszuwählen.
  • SLO über SOAP-Optionen
    Zeigt an, ob die Namens-ID in der SOAP-Meldung verschlüsselt werden soll oder ob es erforderlich sein soll, dass empfangene SOAP-Meldungen eine verschlüsselte Namens-ID enthalten.
    Optionen:
    Namens-ID in SOAP-Meldung verschlüsseln, Verschlüsselte Namens-ID in SOAP-Meldung ist erforderlich.
  • Zertifikat-Alias der Verschlüsselung
    Identifiziert einen Alias für das Zertifikat, das verwendet wird, um Assertionsdaten zu verschlüsseln. Der entsprechende private Schlüssel auf der vertrauenden Seite entschlüsselt die Daten. Wählen Sie im Pull-down-Menü einen Alias aus. Wenn kein Zertifikat im Zertifikatsdatenspeicher vorhanden ist, klicken Sie auf "Importieren", um ein Zertifikat zu importieren. Als Alternative können Sie auf "Generieren" klicken, um eine Zertifikatsanforderung zu generieren, die Sie an eine Zertifizierungsstelle senden können.
  • Blockalgorithmus
    Identifiziert die Blockchiffre-Methode für das Verschlüsseln von Daten. Der Blockalgorithmus kodiert feste Blöcke von Eingaben.
    Standard:
    3DES
    Optionen:
    3DES, AES-128, AES-256
  • Schlüsselalgorithmus
    Gibt den Schlüsselalgorithmus für die Verschlüsselung an.
    Standard:
    RSA-V15
    Optionen:
    "RSA-V15", "RSA-OAEP"
    Hinweis:
    Die Mindestgröße des Schlüssels, der erforderlich ist, um den Verschlüsselungsalgorithmus "rsa-oaep" zu verwenden, ist 1024 Bits.
  • Entschlüsselung des privaten Schlüsselalias
    Gibt den Schlüssel zum Entschlüsseln von verschlüsselten Daten in der AuthnRequest-Meldung der vertrauenden Seite an. Wenn kein Schlüssel im Zertifikatsdatenspeicher vorhanden ist, klicken Sie auf "Importieren", um einen Schlüssel zu importieren. Als Alternative können Sie auf "Generieren" klicken, um eine Anforderung zu generieren, die Sie an eine Zertifizierungsstelle senden können.
    Standard:
    RSA-V15
    Optionen:
    "RSA-V15", "RSA-OAEP"