Dialogfeld "Signatur und Verschlüsselung" (SAML 2.0-SP)
casso127figsbrde
HID_relying-partner-sig-encrypt
Im Schritt "Signatur und Verschlüsselung" können Sie Optionen konfigurieren, um SAML-Assertionen und Authentifizierungsanforderungen zu signieren und zu verschlüsseln, wenn die lokale vertrauende Seite konfiguriert wird.
Signatur (SAML 2.0-SP)
Im Abschnitt "Signatur" können Sie Optionen für die Signatur von Authentifizierungsanforderungen, Assertionsantworten, Single Logout-Anforderungen und Single Logout-Antworten konfigurieren.
Dieser Bereich zeigt folgende Einstellungen an:
- Signaturverarbeitung deaktivierenWenn diese Option festgelegt ist, werden alle Signaturverarbeitungen (sowohl Signatur als auch Prüfung von Signaturen) für die Partnerschaft deaktiviert.Hinweis:Die Signaturverarbeitung ist in einer Produktionsumgebung aktiviert. Verwenden Sie die Option "Signaturverarbeitung deaktivieren" nur für Debugging.
- Privater Schlüsselalias der Signatur(Optional) Gibt den Alias an, der einem spezifischen privaten Schlüssel-/Zertifikatspaar im Zertifikatsdatenspeicher zugeordnet ist. Der Eintrag in diesem Feld legt fest, welchen privaten Schlüssel bzw. welches Zertifikatspaar der SP verwendet, um Assertionsantworten, Single Logout-Anforderungen und Single Logout-Antworten zu signieren. Wenn das Schlüssel-/Zertifikatspaar nicht bereits im Zertifikatsdatenspeicher ist, klicken Sie aufImportieren, um ein Schlüssel-/Zertifikatspaar zu importieren.Wert:Auswahl aus der Drop-down-Liste.
- SignaturalgorithmusLegt den Hash-Algorithmus für die Signatur von Authentifizierungsanforderungen und SLO-SOAP-Meldungen fest. Wählen Sie den Algorithmus aus, der für Ihre Anwendung am besten geeignet ist."RSAwithSHA256" ist sicherer als "RSAwithSHA1", weil im resultierenden kryptografischen Hash-Wert eine größere Anzahl der Bits verwendet wird.Der von Ihnen ausgewählte Algorithmus wird für alle Signaturfunktionen ausgewählt.Standard:RSAwithSHA1Optionen:"RSAwithSHA1", "RSAwithSHA256"
- Zertifikat-Alias der ÜberprüfungIdentifiziert den Alias, der dem Zertifikat (öffentlicher Schlüssel) zugeordnet ist, das verwendet wird, um signierte Assertionen und SLO-Antworten zu prüfen. Wählen Sie im Pull-down-Menü einen Alias aus. Wenn kein Zertifikat im Zertifikatsdatenspeicher vorhanden ist, klicken Sie auf "Importieren", um ein Zertifikat zu importieren. Als Alternative können Sie auf "Generieren" klicken, um eine Zertifikatsanforderung zu generieren, die Sie an eine Zertifizierungsstelle senden können.Wert:Auswahl aus der Drop-down-Liste.
- Sekundärer Alias für Überprüfungszertifikat(Optional) Gibt einen zweiten Alias für ein Zertifikat im Zertifikatsdatenspeicher an. Wenn die Überprüfung einer signierten Assertion mithilfe eines Alias für Überprüfungszertifikat fehlschlägt, dann verwenden der SP diesen sekundären Überprüfungs-Alias. Die Angabe eines sekundären Alias ist nützlich, wenn ein IdP einen Rollover seines Zertifikats durchführt. Ein Rollover kann aus verschiedenen Gründen auftreten, z. B. wenn ein Zertifikat abgelaufen ist, ein privater Schlüssel gefährdet ist oder wenn sich die Größe des private Schlüssels ändert.Wert:Auswahl aus der Drop-down-Liste.Wenn sekundäre Zertifikate konfiguriert oder für eine aktive Partnerschaft aktualisiert werden, übernimmt die Laufzeit automatisch die Änderungen. Sie müssen den Zwischenspeicher nicht über die Benutzeroberfläche leeren, damit die Änderungen wirksam werden.
- SLO-SOAP-SignaturoptionenZeigt an, ob die SOAP-Anforderung, SOAP-Antwort oder beide signiert sind, damit SLO die SOAP-Bindung verwendet.Standard:Keins von beiden signierenOptionen:Abmeldeanforderung signieren, Abmeldeantwort signieren, Beides signieren, Keins von beiden signieren
- Authentifizierungsanforderungen signierenZeigt an, dass Meldungen der Authentifizierungsanforderung signiert sind, bevor sie an die behauptende Seite gesendet werden.
- Signierte "ArtifactResponse" ist erforderlichGibt an, dass der Service Provider nur die Artefaktantwort akzeptiert. Die Antwort enthält die ursprünglich signierte SAML-Meldung.Wenn Sie dieses Kontrollkästchen aktivieren, dann kann der Identity Provider die Artefaktantwort signieren.Hinweis:Die Verarbeitung von digitalen Signaturen ist aktiviert, um die signierte Antwort zu verarbeiten.
- ArtifactResolve signierenZeigt an, dass die Meldung zur Artefaktauflösung signiert ist. Die Meldung zur Artefaktauflösung ist signiert oder der Identity Provider lehnt sie ab.Wenn Sie dieses Kontrollkästchen aktivieren, dann benötigt der Identity Provider eine signierte Meldung zur Artefaktauflösung.Hinweis:Die Verarbeitung von digitalen Signaturen ist aktiviert, um die Meldung zur Artefaktauflösung zu signieren.
Verschlüsselung (SAML 2.0-SP)
Die Verschlüsselung zeigt die Verschlüsselungsanforderungen dieser lokalen Entität an, um eine Assertion zu akzeptieren. Dieser Bereich zeigt folgende Einstellungen an:
- Verschlüsselte Namens-ID ist erforderlichLegt fest, dass es für die vertrauende Seite erforderlich ist, dass die Namens-ID über eine behauptende Remote-Seite verschlüsselt wird.
- Verschlüsselte Assertion ist erforderlichLegt fest, dass es für die vertrauende Seite erforderlich ist, dass die gesamte Assertion über eine behauptende Remote-Seite verschlüsselt wird.
- SLO über SOAP-OptionenLegt fest, ob die Namens-ID in der SOAP-Meldung verschlüsselt werden soll oder ob es erforderlich sein soll, dass empfangene SOAP-Meldungen eine verschlüsselte Namens-ID enthalten.Optionen:Namens-ID in SOAP-Meldung verschlüsseln, Verschlüsselte Namens-ID in SOAP-Meldung ist erforderlich.
- Zertifikat-Alias der VerschlüsselungIdentifiziert einen Alias für das Zertifikat, das verwendet wird, um die AuthnRequest zu verschlüsseln. Der entsprechende private Schlüssel auf der behauptenden Seite entschlüsselt die Daten. Wählen Sie im Pull-down-Menü einen Alias aus. Wenn kein Zertifikat im Zertifikatsdatenspeicher vorhanden ist, können Sie auf "Importieren" klicken, um ein Zertifikat zu importieren. Als Alternative können Sie auf "Generieren" klicken, um eine Zertifikatsanforderung zu generieren, die Sie an eine Zertifizierungsstelle senden können.
- BlockalgorithmusIdentifiziert die Blockchiffre-Methode für das Verschlüsseln von Daten. Der Blockalgorithmus kodiert feste Blöcke von Eingaben.Standard:3DESOptionen:3DES, AES-128, AES-256
- SchlüsselalgorithmusGibt den Schlüsselalgorithmus für die Verschlüsselung an.Standard:RSA-V15Optionen:"RSA-V15", "RSA-OAEP"Die Mindestgröße des Schlüssels, der erforderlich ist, um den Verschlüsselungsalgorithmus "rsa-oaep" zu verwenden, ist 1024 Bits.
- Entschlüsselung des privaten SchlüsselaliasGibt den Alias an, der dem privaten Schlüssel zugeordnet ist, der verwendet wird, um verschlüsselte Daten in der Assertion zu entschlüsseln. Wählen Sie in der Pull-down-Liste einen Alias aus. Wenn kein Schlüssel im Zertifikatsdatenspeicher vorhanden ist, klicken Sie auf "Importieren", um einen Schlüssel zu importieren. Als Alternative können Sie auf "Generieren" klicken, um eine Schlüssel- bzw. Zertifikatsanforderung zu generieren, die Sie an eine Zertifizierungsstelle senden können.Wert:Eine alphanumerische Zeichenfolge