Cuadro de diálogo Firma y cifrado (proveedor de identidad de SAML 2.0)
Contenido
casso126figsbres
HID_asserting-partner-sig-encrypt
Contenido
El paso Firma y cifrado le permite configurar opciones para firmar y cifrar aserciones de SAML.
Firma (proveedor de identidades de SAML 2.0)
La sección Firma le permite configurar opciones para firmar aserciones, respuestas de aserciones, solicitudes de cierre de sesión único y respuestas de cierre de sesión único. Esta sección muestra los valores de configuración siguientes:
- Deshabilitar procesamiento de firmaSi se establece, se deshabilita todo el procesamiento de la firma (tanto firma como verificación de firmas) para la asociación.NotaEl procesamiento de la firma se habilita en un entorno de producción. Utilice el valor de configuración Deshabilitar procesamiento de firma solamente con fines de depuración.
- Alias de la clave privada de firmaEspecifica el alias que se asocia con una clave privada en el almacén de datos de certificados que se utiliza para firmar aserciones y respuestas de cierre de sesión único. Seleccione un alias de la lista desplegable. Si no hay ninguna clave en el almacén de datos de certificados, haga clic en Importar para importar una clave. También puede hacer clic en Generar para generar una solicitud de clave/certificado que se pueda enviar a una Autoridad de certificación.Valor: selección de la lista desplegable
- Algoritmo de firmaDesigna el algoritmo hash para la firma digital de aserciones, respuestas y mensajes SOAP de cierre de sesión único. Seleccione el algoritmo que se adapta mejor a su aplicación.RSAwithSHA256 es más seguro que RSAwithSHA1 debido al número mayor de bits utilizado en el valor hash de cifrado.El algoritmo que selecciona se utiliza para todas las funciones de firma.Valor predeterminado: RSAwithSHA1Opciones: RSAwithSHA1, RSAwithSHA256
- Alias del certificado de verificaciónIdentifica el alias que se asocia con el certificado (clave pública) que se usa para verificar solicitudes de autenticación y respuestas de cierre de sesión único firmadas. Seleccione un alias de la lista desplegable. Si no hay ningún certificado en el almacén de datos de certificados, haga clic en Importar para importar un certificado. También puede hacer clic en Generar para generar una solicitud de certificado que se pueda enviar a una Autoridad de certificación.Valor: selección de la lista desplegable
- Alias del certificado de verificación secundario(Opcional) Especifica un segundo alias del certificado para un certificado en el almacén de datos de certificados. Si la comprobación de una solicitud de autenticación firmada no utiliza el alias del certificado de verificación, el proveedor de identidad utiliza este alias de verificación secundario. La especificación de un alias secundario es útil si un proveedor de servicios sustituye el certificado de firma. Se puede producir una sustitución por cualquier motivo como, por ejemplo, cuando caduca un certificado, una clave privada se ve comprometida o cambia el tamaño de la clave privada. Si el certificado no está en el almacén de datos de certificados, haga clic enImportarpara importar uno.Valor: selección de la lista desplegableCuando se configuran o actualizan certificados secundarios para una asociación activa, el tiempo de ejecución toma automáticamente los cambios. No es necesario vaciar la memoria caché de la interfaz de usuario para que los cambios surtan efecto.
- Opciones de firma de artefactosIndica si la aserción o la respuesta, o ambas, se firman para el inicio de sesión único de artefacto.Valor predeterminado: No firmar ningunoOpciones: Firmar aserción, Firmar respuesta, Firmar ambos, No firmar ninguno
- Opciones de firma PostIndica si la aserción o la respuesta, o ambas, se firman para el inicio de sesión único POST.Valor predeterminado: Firmar aserciónOpciones: Firmar aserción, Firmar respuesta, Firmar ambos
- Opciones de firma del cierre de sesión único de SOAPIndica si la solicitud SOAP, la respuesta o las dos se firman para que el cierre de sesión único use el enlace SOAP.Valor predeterminado: No firmar ningunoOpciones: Firmar solicitud de cierre de sesión, Firmar respuesta de cierre de sesión, Firmar ambos, No firmar ninguno
- Requerir solicitudes de autenticación firmadasIndica que o los mensajes de solicitud de autenticación que la parte que confía envía se firman o la parte que afirma no acepta la solicitud.
- Requerir ArtifactResolve firmadaIndica que el proveedor de servicios debe firmar el mensaje de resolución de artefacto antes de enviarle el mensaje al proveedor de identidades. El mensaje de resolución de artefacto es la solicitud del SP para recuperar el mensaje de SAML original. Si se selecciona esta opción, el proveedor de servicios debe firmar el mensaje de resolución de artefacto o el proveedor de identidades rechazará la solicitud.Si el proveedor de identidades necesita los mensajes de resolución de artefacto firmados, se permite que el Proveedor de servicios firme el mensaje de resolución de artefacto.NotaEl procesamiento de firma electrónica se habilita para procesar el mensaje de resolución de artefacto firmado.
- Firmar ArtifactResponseIndica que el proveedor de identidades debe firmar la respuesta del artefacto antes de devolvérsela al proveedor de servicios. La respuesta del artefacto contiene la respuesta de SAML original con la aserción.Si se necesita que el proveedor de identidades firme la respuesta del artefacto, el proveedor de servicios se configura para que acepte una respuesta firmada.NotaEl procesamiento de firma electrónica está habilitado para firmar la respuesta del artefacto.
Cifrado (SP de SAML 2.0)
La sección Cifrado le permite designar el cifrado para una aserción de SAML. Esta sección muestra los valores de configuración siguientes:
- Opciones de cifradoLe permite seleccionar si cifrar el ID de nombre y toda la aserción.Opciones: Cifrar ID de nombre, Cifrar aserción.
- Opciones del cierre de sesión único sobre SOAPIndica si se cifra el ID de nombre en el mensaje SOAP o si es obligatorio que los mensajes SOAP recibidos contenga un ID de nombre cifrado.Opciones: Encrypt Name ID in SOAP Message (Cifrar ID de nombre en mensaje SOAP), Requerir ID de nombre cifrado en el mensaje SOAP.
- Alias del certificado de cifradoIdentifica un alias para el certificado que se usa para cifrar datos de la aserción. La clave privada correspondiente en la parte confidente descifra los datos. Seleccione un alias en el menú desplegable. Si no hay ningún certificado en el almacén de datos de certificados, haga clic en Importar para importar un certificado. También puede hacer clic en Generar para generar una solicitud de certificado que se pueda enviar a una Autoridad de certificación.
- Algoritmo de bloqueIdentifica el método de cifrado de bloque para cifrar datos. El algoritmo de bloque codifica bloques fijos de entrada.Valor predeterminado: 3DESOpciones: 3DES, AES-128, AES-256
- Algoritmo claveEspecifica el algoritmo clave para el cifrado.Predeterminado: RSA-V15Opciones: RSA-V15, RSA-OAEPNota: El tamaño de clave mínimo que se requiere para utilizar el algoritmo de cifrado rsa-oaep es de 1024 bits.
- Alias de la clave privada de descifradoEspecifica la clave para descifrar cualquier dato cifrado en el mensaje AuthnRequest de la parte confidente. Si no hay ninguna clave en el almacén de datos de certificados, haga clic en Importar para importar una clave. También puede hacer clic en Generar para generar una solicitud que se pueda enviar a una Autoridad de certificación.Predeterminado: RSA-V15Opciones: RSA-V15, RSA-OAEP