Boîte de dialogue Signature et chiffrement (fournisseur d'identités SAML 2.0)
Sommaire
casso127figsbrfr
HID_asserting-partner-sig-encrypt
Sommaire
L'étape Signature et chiffrement permet de configurer des options pour la signature et le chiffrement des assertions SAML.
Signature (fournisseur d'identités SAML 2.0)
La section Signature permet de configurer des options pour la signature des assertions, des réponses d'assertion, des demandes de déconnexion groupée et des réponses de déconnexion groupée. Cette section contient les paramètres suivants :
- Désactiver le traitement des signaturesSi ce paramètre est défini, le traitement de toutes les signatures (signatures et vérification des signatures) est désactivé pour le partenariat.Remarque :Dans un environnement de production, le traitement des signatures est activé. Utilisez le paramètre Désactiver le traitement des signatures uniquement aux fins de débogage.
- Alias de signature de clé privéeSpécifie l'alias associé à une clé privée figurant dans le référentiel de données de certificat utilisé pour la signature d'assertions et de réponses SLO. Sélectionnez un alias dans la liste déroulante. S'il n'existe aucune clé dans le référentiel de données de certificat, cliquez sur Importer pour importer une clé. De même, pour générer une demande de clé/certificat que vous pouvez envoyer à une autorité de certification, cliquez sur Générer.Valeur: sélectionnez une valeur dans la liste déroulante.
- Algorithme de signatureDésigne l'algorithme d'hachage pour la signature numérique d'assertions, de réponses et messages SOAP de SLO. Sélectionnez l'algorithme qui convient le mieux à votre application.RSAwithSHA256 est plus sécurisé que RSAwithSHA1, en raison du nombre plus élevé de bits utilisés dans la valeur d'hachage cryptographique résultante.L'algorithme sélectionné sera utilisé pour toutes les fonctions de signature.Par défaut :RSAwithSHA1Options :RSAwithSHA1, RSAwithSHA256
- Alias de certificat de vérificationIdentifie l'alias associé au certificat (clé publique) utilisé pour la vérification des demandes d'authentification et des réponses de SLO. Sélectionnez un alias dans la liste déroulante. Si aucun certificat ne figure dans le référentiel de données de certificat, cliquez sur Importer pour importer un certificat. De même, pour générer une demande de certificat que vous pouvez envoyer à une autorité de certification, cliquez sur Générer.Valeur: sélectionnez une valeur dans la liste déroulante.
- Alias de certificat de vérification secondaire(Facultatif) Spécifie un alias de certificat secondaire pour un certificat dans le référentiel de données de certificat. Si la vérification d’une demande d’authentification signée ne parvient pas à utiliser l’alias de certificat de vérification, le fournisseur d’identités utilisera cet alias de vérification secondaire. La spécification d’un alias secondaire est utile si un fournisseur de services substitue son certificat de signature. Un remplacement peut se produire pour une raison quelconque, par exemple lors de l'expiration d'un certificat, la compromission d'une clé privée ou la modification de sa taille. Si le certificat ne figure pas déjà dans le référentiel de données de certificat, cliquez surImporterpour en importer un.Valeur: sélectionnez une valeur dans la liste déroulante.Lorsque des certificats secondaires sont configurés ou mis à jour pour un partenariat actif, les modifications sont automatiquement récupérées lors de l’exécution. Il n'est pas nécessaire de vider le cache de l’interface utilisateur pour appliquer les modifications.
- Options de signature d'artefactIndique si l'assertion et/ou la réponse sont signées aux fins de l'authentification unique d'artefact.Valeur par défaut :Ne rien signerOptions :Signer l'assertion, Signer la réponse, Signer les deux, Ne rien signer
- Options de signature POSTIndique si l'assertion et/ou la réponse sont signées aux fins de l'authentification unique POST.Valeur par défaut :Signer l'assertionOptions :Signer l'assertion, Signer la réponse, Signer les deux
- Options de signature SOAP de SLOIndique si la demande SOAP et/ou la réponse sont signées pour l'utilisation de la liaison SOAP par la déconnexion groupée.Valeur par défaut :Ne rien signerOptions :Signer la demande de déconnexion, Signer la réponse de déconnexion, Signe les deux, Ne rien signer
- Demandes d'authentification signées requisesIndique que les messages de demande d'authentification envoyés par l'entité de confiance sont signés, sans quoi l'entité générant des assertions n'acceptera pas la demande.
- Objet ArtifactResolve signé requisIndique que le fournisseur de services doit signer le message de résolution d'artefact avant d'envoyer le message au fournisseur d'identités. Le message de résolution d'artefact est la demande de récupération du message SAML d'origine émanant du fournisseur de services. Si vous sélectionnez cette option, le fournisseur de services doit signer le message de résolution d'artefact, sans quoi le fournisseur d'identités rejettera la demande.Si le fournisseur d'identités requiert des messages de résolution d'artefact signés, le fournisseur de service est autorisé à signer le message de résolution d'artefact.Remarque :Le traitement des signatures numériques est activé pour le traitement du message de résolution d'artefact signé.
- Signer l'objet ArtifactResponseIndique que le fournisseur d'identités doit signer la réponse d'artefact avant de la renvoyer au fournisseur de services. La réponse d'artefact contient la réponse SAML d'origine avec l'assertion.Si vous voulez que le fournisseur d'identités signe la réponse d'artefact, le fournisseur de services doit être configuré pour accepter une réponse signée.Remarque :Le traitement des signatures numériques est activé pour la signature de la réponse d'artefact.
Chiffrement (fournisseur de services SAML 2.0)
La section Chiffrement permet de définir le chiffrement pour une assertion SAML. Cette section contient les paramètres suivants :
- Options de chiffrementPermet de chiffrer ou non l'ID de nom et l'assertion complète.Options :Chiffrer l'ID de nom, Chiffrer l'assertionRemarque :Si vous sélectionnez Chiffrer l'assertion, il est recommandé de définir la signature POST et/ou la signature d'artefact surSigner la réponseouSigner les deux.
- Options de SLO via SOAPIndique de chiffrer l'ID de nom dans le message SOAP ou de demander que tous les messages SOAP reçus contiennent un ID de nom chiffré.Options :ID de nom chiffré requis dans le message SOAP, ID de nom chiffré requis dans le message SOAP.
- Alias de certificat de chiffrementIdentifie un alias pour le certificat utilisé pour le chiffrement des données d'assertion. La clé privée correspondante au niveau de l'entité de confiance déchiffre les données. Sélectionnez un alias dans la liste déroulante. Si aucun certificat ne figure dans le référentiel de données de certificat, cliquez sur Importer pour importer un certificat. De même, pour générer une demande de certificat que vous pouvez envoyer à une autorité de certification, cliquez sur Générer.
- Algorithme de blocIdentifie la méthode de chiffrement par blocs pour le chiffrement de données. L'algorithme de bloc code des blocs fixes d'entrée.Valeur par défaut :3DESOptions :3DES, AES-128, AES-256
- Algorithme de cléSpécifie l'algorithme de clé pour le chiffrement.Par défaut :RSA-V15Options :RSA-V15, RSA-OAEPRemarque :La taille de clé minimum requise pour utiliser l'algorithme de chiffrement rsa-oaep est de 1 024 bits.
- Alias de la clé privée de déchiffrementSpécifie la clé permettant de déchiffrer les données dans le message AuthnRequest de l'entité de confiance. S'il n'existe aucune clé dans le référentiel de données de certificat, cliquez sur Importer pour importer une clé. De même, pour générer une demande que vous pouvez envoyer à une autorité de certification, cliquez sur Générer.Par défaut :RSA-V15Options :RSA-V15, RSA-OAEP