Boîte de dialogue Signature et chiffrement (fournisseur d'identités SAML 2.0)

Sommaire
casso127figsbrfr
HID_asserting-partner-sig-encrypt
Sommaire
L'étape Signature et chiffrement permet de configurer des options pour la signature et le chiffrement des assertions SAML.
Signature (fournisseur d'identités SAML 2.0)
La section Signature permet de configurer des options pour la signature des assertions, des réponses d'assertion, des demandes de déconnexion groupée et des réponses de déconnexion groupée. Cette section contient les paramètres suivants :
  • Désactiver le traitement des signatures
    Si ce paramètre est défini, le traitement de toutes les signatures (signatures et vérification des signatures) est désactivé pour le partenariat.
    Remarque :
    Dans un environnement de production, le traitement des signatures est activé. Utilisez le paramètre Désactiver le traitement des signatures uniquement aux fins de débogage.
  • Alias de signature de clé privée
    Spécifie l'alias associé à une clé privée figurant dans le référentiel de données de certificat utilisé pour la signature d'assertions et de réponses SLO. Sélectionnez un alias dans la liste déroulante. S'il n'existe aucune clé dans le référentiel de données de certificat, cliquez sur Importer pour importer une clé. De même, pour générer une demande de clé/certificat que vous pouvez envoyer à une autorité de certification, cliquez sur Générer.
    Valeur
    : sélectionnez une valeur dans la liste déroulante.
  • Algorithme de signature
    Désigne l'algorithme d'hachage pour la signature numérique d'assertions, de réponses et messages SOAP de SLO. Sélectionnez l'algorithme qui convient le mieux à votre application.
    RSAwithSHA256 est plus sécurisé que RSAwithSHA1, en raison du nombre plus élevé de bits utilisés dans la valeur d'hachage cryptographique résultante.
    L'algorithme sélectionné sera utilisé pour toutes les fonctions de signature.
    Par défaut :
    RSAwithSHA1
    Options :
    RSAwithSHA1, RSAwithSHA256
  • Alias de certificat de vérification
    Identifie l'alias associé au certificat (clé publique) utilisé pour la vérification des demandes d'authentification et des réponses de SLO. Sélectionnez un alias dans la liste déroulante. Si aucun certificat ne figure dans le référentiel de données de certificat, cliquez sur Importer pour importer un certificat. De même, pour générer une demande de certificat que vous pouvez envoyer à une autorité de certification, cliquez sur Générer.
    Valeur
    : sélectionnez une valeur dans la liste déroulante.
  • Alias de certificat de vérification secondaire
    (Facultatif) Spécifie un alias de certificat secondaire pour un certificat dans le référentiel de données de certificat. Si la vérification d’une demande d’authentification signée ne parvient pas à utiliser l’alias de certificat de vérification, le fournisseur d’identités utilisera cet alias de vérification secondaire. La spécification d’un alias secondaire est utile si un fournisseur de services substitue son certificat de signature. Un remplacement peut se produire pour une raison quelconque, par exemple lors de l'expiration d'un certificat, la compromission d'une clé privée ou la modification de sa taille. Si le certificat ne figure pas déjà dans le référentiel de données de certificat, cliquez sur
    Importer
    pour en importer un.
    Valeur
    : sélectionnez une valeur dans la liste déroulante.
    Lorsque des certificats secondaires sont configurés ou mis à jour pour un partenariat actif, les modifications sont automatiquement récupérées lors de l’exécution. Il n'est pas nécessaire de vider le cache de l’interface utilisateur pour appliquer les modifications.
  • Options de signature d'artefact
    Indique si l'assertion et/ou la réponse sont signées aux fins de l'authentification unique d'artefact.
    Valeur par défaut :
    Ne rien signer
    Options :
    Signer l'assertion, Signer la réponse, Signer les deux, Ne rien signer
  • Options de signature POST
    Indique si l'assertion et/ou la réponse sont signées aux fins de l'authentification unique POST.
    Valeur par défaut :
    Signer l'assertion
    Options :
    Signer l'assertion, Signer la réponse, Signer les deux
  • Options de signature SOAP de SLO
    Indique si la demande SOAP et/ou la réponse sont signées pour l'utilisation de la liaison SOAP par la déconnexion groupée.
    Valeur par défaut :
    Ne rien signer
    Options :
    Signer la demande de déconnexion, Signer la réponse de déconnexion, Signe les deux, Ne rien signer
  • Demandes d'authentification signées requises
    Indique que les messages de demande d'authentification envoyés par l'entité de confiance sont signés, sans quoi l'entité générant des assertions n'acceptera pas la demande.
  • Objet ArtifactResolve signé requis
    Indique que le fournisseur de services doit signer le message de résolution d'artefact avant d'envoyer le message au fournisseur d'identités. Le message de résolution d'artefact est la demande de récupération du message SAML d'origine émanant du fournisseur de services. Si vous sélectionnez cette option, le fournisseur de services doit signer le message de résolution d'artefact, sans quoi le fournisseur d'identités rejettera la demande.
    Si le fournisseur d'identités requiert des messages de résolution d'artefact signés, le fournisseur de service est autorisé à signer le message de résolution d'artefact.
    Remarque :
    Le traitement des signatures numériques est activé pour le traitement du message de résolution d'artefact signé.
  • Signer l'objet ArtifactResponse
    Indique que le fournisseur d'identités doit signer la réponse d'artefact avant de la renvoyer au fournisseur de services. La réponse d'artefact contient la réponse SAML d'origine avec l'assertion.
    Si vous voulez que le fournisseur d'identités signe la réponse d'artefact, le fournisseur de services doit être configuré pour accepter une réponse signée.
    Remarque :
    Le traitement des signatures numériques est activé pour la signature de la réponse d'artefact.
Chiffrement (fournisseur de services SAML 2.0)
La section Chiffrement permet de définir le chiffrement pour une assertion SAML. Cette section contient les paramètres suivants :
  • Options de chiffrement
    Permet de chiffrer ou non l'ID de nom et l'assertion complète.
    Options :
    Chiffrer l'ID de nom, Chiffrer l'assertion
    Remarque :
    Si vous sélectionnez Chiffrer l'assertion, il est recommandé de définir la signature POST et/ou la signature d'artefact sur
    Signer la réponse
    ou
    Signer les deux
    .
  • Options de SLO via SOAP
    Indique de chiffrer l'ID de nom dans le message SOAP ou de demander que tous les messages SOAP reçus contiennent un ID de nom chiffré.
    Options :
    ID de nom chiffré requis dans le message SOAP, ID de nom chiffré requis dans le message SOAP.
  • Alias de certificat de chiffrement
    Identifie un alias pour le certificat utilisé pour le chiffrement des données d'assertion. La clé privée correspondante au niveau de l'entité de confiance déchiffre les données. Sélectionnez un alias dans la liste déroulante. Si aucun certificat ne figure dans le référentiel de données de certificat, cliquez sur Importer pour importer un certificat. De même, pour générer une demande de certificat que vous pouvez envoyer à une autorité de certification, cliquez sur Générer.
  • Algorithme de bloc
    Identifie la méthode de chiffrement par blocs pour le chiffrement de données. L'algorithme de bloc code des blocs fixes d'entrée.
    Valeur par défaut :
    3DES
    Options :
    3DES, AES-128, AES-256
  • Algorithme de clé
    Spécifie l'algorithme de clé pour le chiffrement.
    Par défaut :
    RSA-V15
    Options :
    RSA-V15, RSA-OAEP
    Remarque :
    La taille de clé minimum requise pour utiliser l'algorithme de chiffrement rsa-oaep est de 1 024 bits.
  • Alias de la clé privée de déchiffrement
    Spécifie la clé permettant de déchiffrer les données dans le message AuthnRequest de l'entité de confiance. S'il n'existe aucune clé dans le référentiel de données de certificat, cliquez sur Importer pour importer une clé. De même, pour générer une demande que vous pouvez envoyer à une autorité de certification, cliquez sur Générer.
    Par défaut :
    RSA-V15
    Options :
    RSA-V15, RSA-OAEP