SAML-Service Provider-Verschlüsselung und Signaturoptionen
Inhalt
casso1283
HID_sp-encryption-signing
Inhalt
SAML 2.0-Verschlüsselungseinstellungen
Im Abschnitt "Verschlüsselung" können Sie die Verschlüsselung für eine SAML-Assertion konfigurieren. Wenn Sie die Verschlüsselung aktivieren, werden in der Assertion alle Daten einschließlich aller Attributanweisungen verschlüsselt.
Um nur individuelle Attributanweisungen zu verschlüsseln, gehen Sie zu den Attributeinstellungen, wählen Sie ein Attribut aus, oder erstellen Sie ein Attribut, und aktivieren Sie das Kontrollkästchen "Verschlüsselt" für das individuelle Attribut.
Die Verschlüsselungseinstellungen sind:
- Namens-ID verschlüsselnGibt an, dass die Namens-ID in der Assertion verschlüsselt ist.
- Blockalgorithmus der VerschlüsselungGibt den Blockalgorithmus für die Verschlüsselung an. Wählen Sie einen der folgenden Algorithmen aus:
- tripledes (Standard)
- aes-128
- aes-256
- Assertion verschlüsselnAktiviert die Verschlüsselung der Assertion.
- Schlüsselalgorithmus der VerschlüsselungGibt den Schlüsselalgorithmus für die Verschlüsselung an. Wählen Sie aus:
- rsa-v15 (Standard)
- rsa-oaepDie Mindestgröße des Speichers, der erforderlich ist, um den Verschlüsselungsalgorithmus "rsa-oaep" zu verwenden, ist 1024 Bits.
- Verschlüsselung des öffentlichen SchlüsselzertifikatsDiese Einstellungen geben den Speicherort des öffentlichen Zertifikats des Service Provider an.Wenn die Option "Namens-ID verschlüsseln" oder "Assertion verschlüsseln" festgelegt ist oder wenn ein beliebiges Assertionsattribut verschlüsselt werden muss, füllen Sie beide Felder aus.
SAML 2.0-Signatureinstellungen
Im Abschnitt "Signatur" können Sie für die Assertionsantwort Verarbeitungsinformationen der digitalen Signaturen angeben.
Die Einstellungen der D-Sig-Info sind:
- Signaturverarbeitung deaktivierenDeaktiviert alle Signaturverarbeitungen für diesen Service Provider (Signatur und Überprüfung von Signaturen).Die Signaturverarbeitung ist in einer Produktionsumgebung erforderlich. Wählen Sie die Option "Signaturverarbeitung deaktivieren" für Debugging aus.
- Aussteller-DNGibt den Distinguished Name des Ausstellers des Zertifikats an, das verwendet wird, um die Signatur einer SAML-Meldung zu überprüfen, die von einem Service Provider kommt. Dieser Wert wird mit der Seriennummer verwendet, um das Zertifikat im Zertifikatsdatenspeicher zu suchen.Das Feld "Aussteller-DN" ist nur aktiv, wenn die Option "HTTP POST" oder die Option zur Bindung der HTTP-Umleitung auf der SAML-Profilseite festgelegt ist.
- Signierte "AuthnRequests" ist erforderlichZeigt an, dass AuthnRequest-Meldungen signiert werden müssen, damit der Identity Provider die Anforderung akzeptiert. Wenn Sie dieses Kontrollkästchen aktivieren, kann der Identity Provider keine unaufgeforderten Antworten senden, wenn eine Vertrauensbeziehung zwischen dem Identity Provider und dem Service Provider sichergestellt wird.Wenn Sie diese Funktion aktivieren, füllen Sie die Einstellungen "Aussteller-DN" und "Seriennummer" aus, um die Signatur der AuthnRequest-Meldung zu validieren.
- SeriennummerGibt die Seriennummer (eine hexadezimale Zeichenfolge) des Zertifikats an, das verwendet wird, um die Signatur einer SAML-Meldung zu überprüfen, die von einem Service Provider kommt. Dieser Wert wird mit dem Aussteller-DN verwendet, um das Zertifikat im Zertifikatsdatenspeicher zu suchen.Das Feld "Seriennummer" ist nur aktiv, wenn die Option "HTTP POST" oder die Option zur Bindung der HTTP-Umleitung auf der SAML-Profilseite festgelegt ist.
Die Signaturoptionen sind:
- Signatur-AliasGibt den Alias an, der einem bestimmten privaten Schlüssel im Zertifikatsdatenspeicher zugeordnet ist. Der Alias zeigt an, welchen privaten Schlüssel der IdP verwendet, um Assertionen, SAML-Antworten, Artefaktantworten, Attributantworten, Single Logout-Anforderungen und Antworten zu signieren.
- Um SLO-Meldungen zu signieren, wählen Sie die Option "HTTP-Umleitung" für Single Logout aus. Konfigurieren Sie anschließend dieses Feld und das Feld "Signaturalgorithmus".
- Um Attributantworten zu signieren, wählen Sie Signaturoptionen für die Attribut-Svc-Einstellungen auf der Seite "Attribute" aus. Konfigurieren Sie zusätzlich dieses Feld und das Feld "Signaturalgorithmus".
Fügen Sie dem Zertifikatsdatenspeicher den privaten Schlüssel hinzu, bevor Sie den Alias in diesem Feld angeben.Einschränkungen:Eine alphanumerische Zeichenfolge, die einem Alias im Zertifikatsdatenspeicher entspricht. - Signierte "ArtifactResolve" ist erforderlichZeigt an, dass der Service Provider die Meldung zur Artefaktauflösung signieren muss, bevor die Meldung an den IdP gesendet wird. Die Meldung zu Artefaktauflösung ist die Anforderung vom SP, um die ursprüngliche SAML-Meldung abzurufen. Wenn Sie diese Option auswählen, muss der Service Provider die Meldung zur Artefaktauflösung signieren. Anderenfalls lehnt der Identity Provider die Anforderung ab.Wenn der IdP signierte Meldungen zur Artefaktauflösung benötigt, dann kann der Service Provider die Meldung zur Artefaktauflösung signieren.Die Verarbeitung von digitalen Signaturen ist aktiviert, um die signierte Meldung zur Artefaktauflösung zu verarbeiten.
- ArtifactResponse signierenZeigt an, dass der Identity Provider die Artefaktantwort signieren muss, bevor sie an den Service Provider zurückgegeben wird. Die Artefaktantwort enthält die ursprüngliche SAML-Antwort mit der Assertion.Wenn es für Sie erforderlich ist, dass der IdP die Artefaktantwort signiert, dann wird der Service Provider konfiguriert, um eine signierte Antwort zu akzeptieren.Die Verarbeitung von digitalen Signaturen ist aktiviert, um die Artefaktantwort zu signieren.
- SignaturalgorithmusLegt den Hash-Algorithmus für die digitale Signatur fest. Wählen Sie den Algorithmus aus, der für Ihre Anwendung am besten geeignet ist. "RSAwithSHA256" ist sicherer als "SHA1", weil im resultierenden kryptografischen Hash-Wert eine größere Anzahl der Bits verwendet wird.CA Single Sign-onverwendet den Algorithmus, den Sie für alle Signaturfunktionen auswählen.Einschränkungen:"RSAwithSHA1", "RSAwithSHA256"Standard:RSAwithSHA1
- Artefakt-SignaturoptionenZeigt die Artefakt-Signaturoption für den Identity Provider an, wenn auf eine Authentifizierungsanforderung für Single Sign-On des HTTP-Artefakts geantwortet wird.Einschränkungen:
- Assertion signierenSigniert die Assertion.
- Antwort signierenSigniert die SAML-Antwort, die die Assertion enthält.
- Beides signierenSigniert die Assertion und die SAML-Antwort.
- Keins von beiden signierenWeder die Assertion noch die SAML-Antwort wird signiert.
Standard:Keins von beiden signieren - Post-SignaturoptionenZeigt die Post-Signaturoption für den Identity Provider an, wenn auf eine Authentifizierungsanforderung für Single Sign-On des HTTP-POST geantwortet wird.Einschränkungen:
- Assertion signierenSigniert die Assertion.
- Antwort signierenSigniert die SAML-Antwort, die die Assertion enthält.
- Beides signierenSigniert die Assertion und die SAML-Antwort.
Standard:Assertion signieren