Esquema de autenticación de SAML 2.0: cifrado y firma
Contenido
casso1283
HID_saml2-auth-encryption-signing
Contenido
En el cuadro de diálogo Firma y cifrado se configuran los requisitos de cifrado del proveedor de servicios cuando recibe una aserción. Esta página también le permite especificar la configuración de la firma de las solicitudes de autenticación y de cierre de sesión único, así como de las respuestas. Finalmente, especifica la protección para el canal trasero para el inicio de sesión único de Artefacto HTTP y el procesamiento de consulta de atributo.
SAML 2.0 Auth Scheme (Esquema de autenticación de SAML 2.0): cifrado
- CifradoIndica los requisitos del proveedor de servicios para aceptar una aserción. Los campos son:
- Requerir ID de nombre cifradoIndica que el ID de nombre de la aserción se deberá cifrar. Si el ID de nombre no se cifra, la aserción se rechaza.
- Requerir aserción cifradaIndica que toda la aserción se deberá cifrar. Si la aserción no se cifra, se rechaza.
Esquema de autenticación de SAML 2.0: clave privada de descifrado
- Clave privada de descifradoEspecifica la clave privada que descifra los datos de la aserción.
- AliasEspecifica el alias de la clave privada que el proveedor de servicios utiliza para descifrar los datos de la aserción cifrados. La clave privada debe estar en el almacén de datos de certificados.
Esquema de autenticación de SAML 2.0: información de firma electrónica
información de D-Sig
Contiene campos y controles que le permiten especificar la información de firma electrónica. La información de firma electrónica es necesaria para las funciones siguientes:
- Perfil del método HTTP Post para el inicio de sesión único
- Solicitudes/respuestas de cierre de sesión único
- Solicitudes de autenticación firmadas
- Consultas de atributo
Los campos de la sección son los siguientes:
- Deshabilitar procesamiento de firmaDeshabilita todo el procesamiento de la firma, es decir, la firma y la verificación de firmas, para este proveedor de servicios.Se requiere el procesamiento de la firma en un entorno de producción. Seleccione el Deshabilitar procesamiento de firma solamente para fines de depuración.
- Opciones de firmadoMuestra un cuadro de diálogo con los valores de configuración para la configuración de la firma electrónica, específicamente el alias firmante y el algoritmo de firma.
- Nombre distintivo del emisorEspecifica el nombre distintivo del emisor del certificado que se usa para la verificación de la firma de los mensajes que proceden del proveedor de identidad. Este valor se utiliza con el número de serie para encontrar el certificado en el almacén de datos de certificados.Este campo se habilita solamente si está configurado el método HTTP Post para el inicio de sesión único o la redirección HTTP para el cierre de sesión único. Si se deshabilita el procesamiento de la firma, este campo está inactivo.
- Número de serieEspecifica el número de serie (una cadena hexadecimal) del certificado que se usa para la verificación de la firma de mensajes que proceden del proveedor de identidad. Este valor se utiliza con el nombre distintivo del emisor para encontrar el certificado en el almacén de datos de certificados.Nota: Este campo se habilita solamente si está configurado el método HTTP Post para el inicio de sesión único o la redirección HTTP para el cierre de sesión único. Si se deshabilita el procesamiento de la firma, este campo está inactivo.
SAML 2.0 Auth Scheme (Esquema de autenticación de SAML 2.0): procesamiento de la firma
La sección Procesamiento de la firma especifica el alias firmante y el algoritmo hash de la firma electrónica. La sección contiene los siguientes valores de configuración:
- Alias firmanteEspecifica el alias que se asocia con una clave privada específica en el almacén de datos de certificados. El alias indica la clave privada que el proveedor de servicios utiliza para firmar mensajes de AuthnRequest, respuestas y solicitudes de cierre de sesión único, así como consultas de atributo que le envía al IdP.Antes de rellenar el campo Alias firmante, lleve a cabo una o más de las tareas siguientes:
- Para firmar AuthnRequests, seleccione la casilla de verificación SignAuthnRequests de la ficha Inicio de sesión único; a continuación, rellene los campos Alias firmante y Algoritmo de firma.
- Para firmar mensajes de cierre de sesión único, seleccione la casilla de verificación Redirección HTTP de la ficha Cierre de sesión único; a continuación, rellene los campos Alias firmante y Algoritmo de firma.
- Para firmar consultas de atributo, seleccione la casilla de verificación Firmar consulta de atributo de la ficha Atributos; a continuación rellene los campos Alias firmante y Algoritmo de firma.
Agregue la clave privada a la base de datos de claves antes de especificar el alias asociado en este campo.Valor: Una cadena de caracteres alfanuméricos que identifica un alias existente en el almacén de datos de certificados. - Algoritmo de firmaEspecifica el algoritmo hash para la firma digital. Seleccione el algoritmo que se adapta mejor a su aplicación. RSAwithSHA256 es más seguro que SHA1 debido al número mayor de bits utilizado en el valor hash de cifrado.SiteMinderutiliza el algoritmo que se ha seleccionado para todas las funciones de firma.Opciones: RSAwithSHA1, RSAwithSHA256Valor predeterminado: RSAwithSHA1
Esquema de autenticación de SAML 2.0: canal trasero
En la sección Canal trasero se define la configuración del canal trasero seguro. El canal trasero tiene dos funciones:
- Inicio de sesión único entre un proveedor de servicios y proveedor de identidad.
- Consultas y respuestas de atributos entre un solicitante SAML y una autoridad de atributos.
Los siguientes campos tienen la misma función para ambas finalidades, como se muestra a continuación:
- AutenticaciónEspecifica el método de autenticación que se utiliza en el canal trasero. El esquema de autenticación determina el tipo de credenciales que el proveedor de servicios debe presentar al proveedor de identidad para recuperar la aserción.Las opciones son:
- Certificado de clienteIndica que el servicio de resolución de artefactos o el servicio de atributos forma parte de un territorio. Un esquema de autenticación de certificado de cliente X.509 protege este territorio. Si se selecciona esta opción, configure el acceso al servicio de resolución de artefactos con un certificado de cliente.En el campo Nombre del proveedor de servicios, introduzca el valor del ID de proveedor de servicios de los valores de configuración General. El nombre y la contraseña del proveedor de servicios son las credenciales que el proveedor de servicios debe presentar para recuperar la aserción. Estas credenciales se utilizan para buscar el certificado en el almacén de claves.El administrador en el proveedor de identidad debe proteger el servicio de resolución de artefactos con un esquema de autenticación de certificado de cliente.Se pueden utilizar certificados cifrados que no sean FIPS 140 para proteger el canal trasero, aunque el Servidor de políticas esté funcionando en el modo solo FIPS. Sin embargo, para instalaciones solo FIPS use únicamente certificados cifrados con algoritmos compatibles con FIPS 140.
- Básico:Indica que el inicio de sesión único o el servicio de atributos forman parte de un territorio. Un esquema de autenticación de credenciales básicas o básicas sobre SSL protege este territorio.(Valor predeterminado) Si se selecciona esta opción, no es necesario ninguna configuración adicional; solo hay que completar el resto de campos obligatorios. En el campo Nombre del proveedor de servicios, introduzca el valor del ID de proveedor de servicios de los valores de configuración General. El nombre y la contraseña del proveedor de servicios son las credenciales que el proveedor de servicios debe presentar para recuperar la aserción.Para utilizar Básicas sobre SSL, el certificado de la autoridad de certificación que se ha utilizado para habilitar la conexión SSL debe estar en el almacén de datos del certificado. Si no los está, importe el certificado al almacén de datos de certificados.
- Sin autenticaciónIndica que no se protege el inicio de sesión único ni el servicio de atributos. Si se selecciona esta opción, no se necesita ninguna autenticación.
- ContraseñaEspecifica la contraseña que el proveedor de identidad o la autoridad de atributos utiliza para acceder al proveedor de servicios o al solicitante SAML a través del canal trasero. Introduzca una cadena válida de 3 a 255 caracteres.
- Nombre del proveedor de serviciosIdentifica el objeto del proveedor de servicios. Este nombre debe coincidir con el proveedor de servicios o el nombre de un solicitante SAML que se especifique en el proveedor de identidad o en la autoridad de atributos.Si se está utilizando autenticación básica como el esquema de autenticación para el canal trasero, el valor de este campo es el nombre del Proveedor de servicios. Si se está utilizando una autenticación de certificado de cliente, el nombre del proveedor de servicios debe ser el alias del certificado de cliente en el almacén de datos de certificados.
- Confirmar contraseñaConfirma el contenido del campo Contraseña.