SAML 2.0 - Authentifizierungsschema - Verschlüsselung und Signatur
Inhalt
casso1283
HID_saml2-auth-encryption-signing
Inhalt
In den Dialogfeldern "Verschlüsselung" und "Signatur" konfigurieren Sie die Verschlüsselungsanforderungen für den Service Provider, wenn eine Assertion empfangen wird. Auf dieser Seite können Sie auch die Signaturkonfiguration für Authentifizierungsanforderungen und Single Logout-Anforderungen und -Antworten angeben. Zuletzt geben Sie den Schutz für den Backchannel für Single Sign-On des HTTP-Artefakts und für die Verarbeitung der Attributabfrage an.
SAML 2.0-Authentifizierungsschema - Verschlüsselung
- VerschlüsselungGibt die Anforderungen an, über die der Service Provider verfügt, um eine Assertion zu akzeptieren. Die Felder sind:
- Verschlüsselte Namens-ID ist erforderlichGibt an, dass die Namens-ID in der Assertion verschlüsselt werden muss. Wenn die Namens-ID nicht verschlüsselt ist, wird die Assertion abgelehnt.
- Verschlüsselte Assertion ist erforderlichGibt an, dass die gesamte Assertion verschlüsselt werden muss. Wenn die Assertion nicht verschlüsselt ist, wird sie abgelehnt.
SAML 2.0-Authentifizierungsschema - Entschlüsselung des privaten Schlüssels
- Entschlüsselung des privaten SchlüsselsGibt den privaten Schlüssel an, der Assertionsdaten entschlüsselt.
- AliasGibt den Alias für den privaten Schlüssel an, den der Service Provider verwendet, um verschlüsselte Assertionsdaten zu entschlüsseln. Der private Schlüssel muss im Zertifikatsdatenspeicher sein.
SAML 2.0-Authentifizierungsschema - Informationen zur digitalen Signatur
D-Sig-Informationen
Enthält Felder und Steuerelemente, mit denen Sie Informationen zur digitalen Signatur angeben können. Informationen zur digitalen Signatur sind für folgende Funktionen erforderlich:
- HTTP-POST-Profil für Single Sign-On
- Single Logout-Anforderungen/-Antworten
- Signierte Authentifizierungsanforderungen
- Attributabfragen
Die Felder im Abschnitt sind:
- Signaturverarbeitung deaktivierenDeaktiviert alle Signaturverarbeitungen, d. h. Signatur und Überprüfung von Signaturen für diesen Service Provider.Die Signaturverarbeitung ist in einer Produktionsumgebung erforderlich. Wählen Sie die Option "Signaturverarbeitung deaktivieren" nur für Debugging-Zwecke aus.
- SignaturoptionenZeigt ein Dialogfeld mit den Einstellungen für die Konfiguration der digitalen Signatur an, insbesondere für "Signatur-Alias" und "Signaturalgorithmus".
- Aussteller-DNGibt den Distinguished Name des Ausstellers des Zertifikats an, das für die Signaturprüfung von Meldungen verwendet wird, die vom Identity Provider stammen. Dieser Wert wird mit der Seriennummer verwendet, um das Zertifikat im Zertifikatsdatenspeicher zu suchen.Dieses Feld wird nur aktiviert, wenn "HTTP POST" für Single Sign-On oder eine HTTP-Umleitung für Single Logout konfiguriert ist. Wenn die Signaturverarbeitung deaktiviert ist, dann ist dieses Feld inaktiv.
- SeriennummerGibt die Seriennummer (eine hexadezimale Zeichenfolge) des Zertifikats an, das für die Signaturprüfung von Meldungen verwendet wird, die vom Identity Provider stammen. Dieser Wert wird mit dem Aussteller-DN verwendet, um das Zertifikat im Zertifikatsdatenspeicher zu suchen.Hinweis: Dieses Feld wird nur aktiviert, wenn "HTTP POST" für Single Sign-On oder eine HTTP-Umleitung für Single Logout konfiguriert ist. Wenn die Signaturverarbeitung deaktiviert ist, dann ist dieses Feld inaktiv.
SAML 2.0-Authentifizierungsschema - Signaturverarbeitung
Der Abschnitt der Signaturverarbeitung gibt den Signatur-Alias und den Hash-Algorithmus für die digitale Signatur an. Der Abschnitt enthält folgende Einstellungen:
- Signatur-AliasGibt den Alias an, der einem bestimmten privaten Schlüssel im Zertifikatsdatenspeicher zugeordnet ist. Der Alias zeigt den privaten Schlüssel an, den der Service Provider verwendet, um AuthnRequest-Meldungen, Single Logout-Anfragen und -Antworten und Attributabfragen zu signieren, die an den IdP gesendet werden.Bevor Sie das Feld "Signatur-Alias" ausfüllen, führen Sie eine oder mehrere der folgenden Aufgaben durch:
- Um AuthnRequests zu signieren, aktivieren Sie das Kontrollkästchen "SignAuthnRequests" auf der SSO-Registerkarte, und füllen Sie anschließend die Felder "Signatur-Alias" und "Signaturalgorithmus" aus.
- Um SLO-Meldungen zu signieren, aktivieren Sie das Kontrollkästchen "HTTP-Umleitung" auf der SLO-Registerkarte, und füllen Sie anschließend die Felder "Signatur-Alias" und "Signaturalgorithmus" aus.
- Um Attributabfragen zu signieren, wählen Sie "Attributabfrage signieren" auf der Registerkarte "Attribute" aus, und füllen Sie anschließend die Felder "Signatur-Alias" und "Signaturalgorithmus" aus.
Fügen Sie der Schlüsseldatenbank den privaten Schlüssel hinzu, bevor Sie den zugeordneten Alias in diesem Feld angeben.Wert:Eine alphanumerische Zeichenfolge, die einen vorhandenen Alias im Zertifikatsdatenspeicher identifiziert. - SignaturalgorithmusGibt den Hash-Algorithmus für die digitale Signatur an. Wählen Sie den Algorithmus aus, der für Ihre Anwendung am besten geeignet ist. "RSAwithSHA256" ist sicherer als "SHA1", weil im kryptografischen Hash-Wert eine größere Anzahl der Bits verwendet wird.CA Single Sign-onverwendet den Algorithmus, den Sie für alle Signaturfunktionen auswählen.Optionen:"RSAwithSHA1", "RSAwithSHA256"Standard:RSAwithSHA1
SAML 2.0-Authentifizierungsschema - Backchannel
Der Abschnitt "Backchannel" definiert die Konfiguration des sicheren Backchannel. Der Backchannel hat zwei Funktionen:
- Single Sign-On zwischen einem Service Provider und Identity Provider.
- Attributabfragen und Antworten zwischen einem SAML-Anforderer und einer Attributverwaltung.
Folgende erforderlichen Felder sind für die gleiche Funktion für beide Zwecke:
- AuthentifizierungGibt die Authentifizierungsmethode an, die im Backchannel verwendet wird. Das Authentifizierungsschema legt den Typ der Anmeldeinformationen fest, die der Service Provider dem Identity Provider vorlegen muss, um die Assertion abzurufen.Optionen sind:
- Client-ZertifikatGibt an, dass der Artefakt-Auflösungsdienst oder der Attributservice Teil eines Bereichs ist. Ein Authentifizierungsschema des X.509-Client-Zertifikats schützt diesen Bereich. Wenn Sie diese Option auswählen, konfigurieren Sie den Zugriff auf den Artefakt-Auflösungsdienst mithilfe eines Client-Zertifikats.Geben Sie im Feld "SP-Name" den Wert der SP-ID der allgemeinen Einstellungen ein. Der SP-Name und das Kennwort sind die Anmeldeinformationen, die der Service Provider vorlegen muss, um die Assertion abzurufen. Diese Anmeldeinformationen werden verwendet, um das Zertifikat im Schlüsselspeicher zu suchen.Der Administrator beim Identity Provider muss den Artefakt-Auflösungsdienst mit einem Authentifizierungsschema des Client-Zertifikats schützen.Sie können Nicht-FIPS-140-verschlüsselte Zertifikate verwenden, um den Backchannel zu sichern, auch wenn der Richtlinienserver im Nur-FIPS-Modus ausgeführt wird. Für Nur-FIPS-Installationen müssen Sie allerdings Zertifikate verwenden, die nur mit FIPS-140-kompatiblen Algorithmen verschlüsselt sind.
- GrundlegendGibt an, dass Single Sign-on oder der Attributservice Teil eines Bereichs ist. Ein standardmäßiges Authentifizierungsschema oder ein "Basic over SSL"-Authentifizierungsschema schützt diesen Bereich.(Standard) Wenn Sie diese Option auswählen, ist keine zusätzliche Konfiguration erforderlich, außer dem Ausfüllen der verbleibenden erforderlichen Felder. Geben Sie im Feld "SP-Name" den Wert der SP-ID der allgemeinen Einstellungen ein. Der SP-Name und das Kennwort sind die Anmeldeinformationen, die der Service Provider vorlegen muss, um die Assertion abzurufen.Um BASIC over SSL zu verwenden, muss sich das Zertifikat der Zertifizierungsstelle, das verwendet wurde, um die SSL-Verbindung zu aktivieren, im Zertifikatsdatenspeicher befinden. Wenn dies nicht der Fall ist, importieren Sie das Zertifikat in den Zertifikatsdatenspeicher.
- Keine AuthentifizierungGibt an, dass Single Sign-On oder der Attributservice nicht geschützt ist. Wenn Sie diese Option auswählen, ist keine Authentifizierung erforderlich.
- KennwortGibt das Kennwort an, das der Identity Provider oder die Attributverwaltung verwendet, um über den Backchannel auf den Service Provider oder den SAML-Anforderer zuzugreifen. Geben Sie eine gültige Zeichenfolge von 3 bis 255 Zeichen ein.
- SP-NameIdentifiziert das Service Provider-Objekt. Dieser Name muss mit einem Namen für den Service Provider oder den SAML-Anforderer übereinstimmen, der beim Identity Provider oder bei der Attributverwaltung angegeben ist.Wenn Sie eine Standardauthentifizierung als Authentifizierungsschema für den Backchannel verwenden, ist der Wert dieses Felds der Name des Service Provider. Wenn Sie eine Client-Zertifikatsauthentifizierung verwenden, dann muss der SP-Name der Alias des Client-Zertifikats im Zertifikatsdatenspeicher sein.
- Kennwort bestätigenBestätigt den Eintrag im Feld "Kennwort".