Proveedor de servicios de SAML: opciones de firmado y de cifrado
Contenido
casso1283
HID_sp-encryption-signing
Contenido
Valores de configuración de cifrado de SAML 2.0
La sección Cifrado le permite configurar el cifrado para una aserción de SAML. Si se habilita el cifrado, todos los datos de la aserción se cifran, incluidos todas las declaraciones de atributo.
Para cifrar solamente las declaraciones de atributo individuales, vaya a los valores de configuración de atributos, seleccione o cree un atributo y seleccione la casilla de verificación Cifrar para el atributo individual.
Los valores de configuración de cifrado son los siguientes:
- Cifrar ID de nombreEspecifica que el ID de nombre de la aserción está cifrado.
- Algoritmo de bloqueo de cifradoEspecifica el algoritmo de bloque para el cifrado. Seleccione uno de los siguientes algoritmos.
- tripledes (el valor predeterminado)
- aes-128
- aes-256
- Cifrar aserciónHabilita el cifrado de la aserción.
- Algoritmo de claves de cifradoEspecifica el algoritmo clave para el cifrado. Seleccione una opción:
- rsa-v15 (el valor predeterminado)
- rsa-oaepLa memoria mínima que se requiere para utilizar el algoritmo de cifrado rsa-oaep es de 1024 bits.
- Certificado de clave pública de cifradoEstos valores de configuración especifican la ubicación del certificado público de la configuración de firmado de proveedor de servicios de SAML 2.0.Si se establecen las opciones Cifrar ID de nombre o Cifrar aserción o si cualquier atributo de aserción necesita un cifrado, complete los dos campos.
Valores de configuración de la firma de SAML 2.0
La sección Firma le permite especificar información de procesamiento de la firma electrónica para la respuesta de la aserción.
Los valores de configuración de información de D-Sig son los siguientes:
- Deshabilitar procesamiento de firmaDeshabilita todo el procesamiento de la firma para este proveedor de servicios (firma y verificación de firmas).Se requiere el procesamiento de la firma en un entorno de producción. Seleccione la opción Deshabilitar procesamiento de firma para depurar.
- Nombre distintivo del emisorEspecifica el nombre distintivo del emisor del certificado que se usa para verificar la firma de un mensaje de SAML que procede de un proveedor de servicios. Este valor se utiliza con el número de serie para encontrar el certificado en el almacén de datos de certificados.El campo Nombre distintivo del emisor solo está activo cuando la opción Método HTTP Post o la opción de enlace de redirección HTTP están establecidas en la página Perfil de SAML.
- Require Signed AuthnRequests (Requerir AuthnRequests firmada)Indica que los mensajes de AuthnRequest necesitan una firma para que el proveedor de identidades acepte la solicitud. Si se selecciona esta casilla de verificación, el proveedor de identidades no puede enviar respuestas sin solicitar, pues garantiza una confianza entre el proveedor de identidades y el proveedor de servicios.Si se habilita esta función, complete los valores de configuración del nombre distintivo del emisor y del número de serie para validar la firma de AuthnRequest.
- Número de serieEspecifica el número de serie (una cadena hexadecimal) del certificado que se usa para verificar la firma de un mensaje de SAML que procede de un proveedor de servicios. Este valor se utiliza con el nombre distintivo del emisor para encontrar el certificado en el almacén de datos de certificados.El campo Número de serie solo está activo cuando la opción Método HTTP Post o la opción de enlace de redirección HTTP están establecidas en la página Perfil de SAML.
Las opciones de firmando son las siguientes:
- Alias firmanteEspecifica el alias que se asocia con una clave privada específica en el almacén de datos de certificados. El alias indica la clave privada que utiliza el IdP para firmar aserciones, respuestas de SAML, respuestas del artefacto, respuestas de atributo, solicitudes de cierre de sesión único y respuestas.
- Para firmar mensajes de cierre de sesión único, seleccione la opción Redirección HTTP para el cierre de sesión único y, a continuación, configure este campo y los campos Algoritmo de firma.
- Para firmar respuestas de atributo, seleccione las opciones de Firmado para los valores de configuración del atributo Svc en la página Atributos. Además, configure este campo y los campos de Algoritmo de firma.
Agregue la clave privada al almacén de datos de certificados antes de especificar el alias en este campo.Límites:Una cadena alfanumérica correspondiente a un alias en el almacén de datos de certificados. - Requerir ArtifactResolve firmadaIndica que el proveedor de servicios debe firmar el mensaje de resolución de artefacto antes de enviarle el mensaje al IdP. El mensaje de resolución de artefacto es la solicitud del SP para recuperar el mensaje de SAML original. Si se selecciona esta opción, el proveedor de servicios debe firmar el mensaje de resolución de artefacto o el proveedor de identidades rechazará la solicitud.Si el IdP necesita los mensajes de resolución de artefacto firmados, se permite que el proveedor de servicios firme el mensaje de resolución de artefacto.El procesamiento de firma electrónica se habilita para procesar el mensaje de resolución de artefacto firmado.
- Firmar ArtifactResponseIndica que el proveedor de identidades debe firmar la respuesta del artefacto antes de devolvérsela al proveedor de servicios. La respuesta del artefacto contiene la respuesta de SAML original con la aserción.Si se necesita que el IdP firme la respuesta del artefacto, el proveedor de servicios se configura para que acepte una respuesta firmada.El procesamiento de firma electrónica está habilitado para firmar la respuesta del artefacto.
- Algoritmo de firmaDesigna el algoritmo de hash para la firma electrónica. Seleccione el algoritmo que se adapta mejor a su aplicación. RSAwithSHA256 es más seguro que SHA1 debido al número mayor de bits utilizado en el valor hash de cifrado resultante.SiteMinderutiliza el algoritmo que se ha seleccionado para todas las funciones de firma.Límites: RSAwithSHA1, RSAwithSHA256Valor predeterminado: RSAwithSHA1
- Opciones de firma de artefactosIndica la opción de firma del artefacto para el proveedor de identidades al responder a una solicitud de autenticación para un inicio de sesión único Artefacto HTTP.Límites:
- Firmar aserciónFirma la aserción.
- Firmar respuestaFirma la respuesta de SAML que contiene la aserción.
- Firmar ambosFirma la aserción y la respuesta de SAML.
- No firmar ningunoNo firma ni la aserción ni la respuesta de SAML.
Valor predeterminado: No firmar ninguno - Opciones de firma PostIndica la opción de firma de POST para que la firme el proveedor de identidades al responder a una solicitud de autenticación para el inicio de sesión único de Método HTTP Post.Límites:
- Firmar aserciónFirma la aserción.
- Firmar respuestaFirma la respuesta de SAML que contiene la aserción.
- Firmar ambosFirma la aserción y la respuesta de SAML.
Valor predeterminado: Firmar aserción