Proveedor de servicios de SAML: opciones de firmado y de cifrado

Contenido
casso1283
HID_sp-encryption-signing
La página Firma y cifrado incluye valores de configuración para la firma electrónica y la configuración del cifrado.
Contenido
Valores de configuración de cifrado de SAML 2.0
La sección Cifrado le permite configurar el cifrado para una aserción de SAML. Si se habilita el cifrado, todos los datos de la aserción se cifran, incluidos todas las declaraciones de atributo.
Para cifrar solamente las declaraciones de atributo individuales, vaya a los valores de configuración de atributos, seleccione o cree un atributo y seleccione la casilla de verificación Cifrar para el atributo individual.
Los valores de configuración de cifrado son los siguientes:
  • Cifrar ID de nombre
    Especifica que el ID de nombre de la aserción está cifrado.
  • Algoritmo de bloqueo de cifrado
    Especifica el algoritmo de bloque para el cifrado. Seleccione uno de los siguientes algoritmos.
    • tripledes (el valor predeterminado)
    • aes-128
    • aes-256
  • Cifrar aserción
    Habilita el cifrado de la aserción.
  • Algoritmo de claves de cifrado
    Especifica el algoritmo clave para el cifrado. Seleccione una opción:
    • rsa-v15 (el valor predeterminado)
    • rsa-oaep
      La memoria mínima que se requiere para utilizar el algoritmo de cifrado rsa-oaep es de 1024 bits.
  • Certificado de clave pública de cifrado
    Estos valores de configuración especifican la ubicación del certificado público de la configuración de firmado de proveedor de servicios de SAML 2.0.
    Si se establecen las opciones Cifrar ID de nombre o Cifrar aserción o si cualquier atributo de aserción necesita un cifrado, complete los dos campos.
Valores de configuración de la firma de SAML 2.0
La sección Firma le permite especificar información de procesamiento de la firma electrónica para la respuesta de la aserción.
Los valores de configuración de información de D-Sig son los siguientes:
  • Deshabilitar procesamiento de firma
    Deshabilita todo el procesamiento de la firma para este proveedor de servicios (firma y verificación de firmas).
    Se requiere el procesamiento de la firma en un entorno de producción. Seleccione la opción Deshabilitar procesamiento de firma para depurar.
  • Nombre distintivo del emisor
    Especifica el nombre distintivo del emisor del certificado que se usa para verificar la firma de un mensaje de SAML que procede de un proveedor de servicios. Este valor se utiliza con el número de serie para encontrar el certificado en el almacén de datos de certificados.
    El campo Nombre distintivo del emisor solo está activo cuando la opción Método HTTP Post o la opción de enlace de redirección HTTP están establecidas en la página Perfil de SAML.
  • Require Signed AuthnRequests (Requerir AuthnRequests firmada)
    Indica que los mensajes de AuthnRequest necesitan una firma para que el proveedor de identidades acepte la solicitud. Si se selecciona esta casilla de verificación, el proveedor de identidades no puede enviar respuestas sin solicitar, pues garantiza una confianza entre el proveedor de identidades y el proveedor de servicios.
    Si se habilita esta función, complete los valores de configuración del nombre distintivo del emisor y del número de serie para validar la firma de AuthnRequest.
  • Número de serie
    Especifica el número de serie (una cadena hexadecimal) del certificado que se usa para verificar la firma de un mensaje de SAML que procede de un proveedor de servicios. Este valor se utiliza con el nombre distintivo del emisor para encontrar el certificado en el almacén de datos de certificados.
    El campo Número de serie solo está activo cuando la opción Método HTTP Post o la opción de enlace de redirección HTTP están establecidas en la página Perfil de SAML.
Las opciones de firmando son las siguientes:
  • Alias firmante
    Especifica el alias que se asocia con una clave privada específica en el almacén de datos de certificados. El alias indica la clave privada que utiliza el IdP para firmar aserciones, respuestas de SAML, respuestas del artefacto, respuestas de atributo, solicitudes de cierre de sesión único y respuestas.
    • Para firmar mensajes de cierre de sesión único, seleccione la opción Redirección HTTP para el cierre de sesión único y, a continuación, configure este campo y los campos Algoritmo de firma.
    • Para firmar respuestas de atributo, seleccione las opciones de Firmado para los valores de configuración del atributo Svc en la página Atributos. Además, configure este campo y los campos de Algoritmo de firma.
    Agregue la clave privada al almacén de datos de certificados antes de especificar el alias en este campo.
    Límites:
    Una cadena alfanumérica correspondiente a un alias en el almacén de datos de certificados.
  • Requerir ArtifactResolve firmada
    Indica que el proveedor de servicios debe firmar el mensaje de resolución de artefacto antes de enviarle el mensaje al IdP. El mensaje de resolución de artefacto es la solicitud del SP para recuperar el mensaje de SAML original. Si se selecciona esta opción, el proveedor de servicios debe firmar el mensaje de resolución de artefacto o el proveedor de identidades rechazará la solicitud.
    Si el IdP necesita los mensajes de resolución de artefacto firmados, se permite que el proveedor de servicios firme el mensaje de resolución de artefacto.
    El procesamiento de firma electrónica se habilita para procesar el mensaje de resolución de artefacto firmado.
  • Firmar ArtifactResponse
    Indica que el proveedor de identidades debe firmar la respuesta del artefacto antes de devolvérsela al proveedor de servicios. La respuesta del artefacto contiene la respuesta de SAML original con la aserción.
    Si se necesita que el IdP firme la respuesta del artefacto, el proveedor de servicios se configura para que acepte una respuesta firmada.
    El procesamiento de firma electrónica está habilitado para firmar la respuesta del artefacto.
  • Algoritmo de firma
    Designa el algoritmo de hash para la firma electrónica. Seleccione el algoritmo que se adapta mejor a su aplicación. RSAwithSHA256 es más seguro que SHA1 debido al número mayor de bits utilizado en el valor hash de cifrado resultante.
    SiteMinder
    utiliza el algoritmo que se ha seleccionado para todas las funciones de firma.
    Límites
    : RSAwithSHA1, RSAwithSHA256
    Valor predeterminado
    : RSAwithSHA1
  • Opciones de firma de artefactos
    Indica la opción de firma del artefacto para el proveedor de identidades al responder a una solicitud de autenticación para un inicio de sesión único Artefacto HTTP.
    Límites
    :
    • Firmar aserción
      Firma la aserción.
    • Firmar respuesta
      Firma la respuesta de SAML que contiene la aserción.
    • Firmar ambos
      Firma la aserción y la respuesta de SAML.
    • No firmar ninguno
      No firma ni la aserción ni la respuesta de SAML.
    Valor predeterminado
    : No firmar ninguno
  • Opciones de firma Post
    Indica la opción de firma de POST para que la firme el proveedor de identidades al responder a una solicitud de autenticación para el inicio de sesión único de Método HTTP Post.
    Límites
    :
    • Firmar aserción
      Firma la aserción.
    • Firmar respuesta
      Firma la respuesta de SAML que contiene la aserción.
    • Firmar ambos
      Firma la aserción y la respuesta de SAML.
    Valor predeterminado
    : Firmar aserción