Boîte de dialogue Signature et chiffrement (fournisseur de services SAML 2.0)
casso127figsbrfr
HID_relying-partner-sig-encrypt
L'étape de signature et chiffrement permet de configurer des options de signature et chiffrement des assertions SAML et des demandes d'authentification lors de la configuration de l'entité de confiance locale.
Signature (fournisseur de services SAML 2.0)
La section Signature permet de configurer des options pour la signature des demandes d'authentification, des réponses d'assertion, des demandes de déconnexion groupée et des réponses de déconnexion groupée.
Cette section contient les paramètres suivants :
- Désactiver le traitement des signaturesSi ce paramètre est défini, le traitement de toutes les signatures (signatures et vérification des signatures) est désactivé pour le partenariat.Remarque :Dans un environnement de production, le traitement des signatures est activé. Utilisez l'option Désactiver le traitement des signatures uniquement à des fins de débogage.
- Alias de signature de clé privée(Facultatif) Spécifie l'alias associé à une paire clé privée/certificat dans le référentiel de données de certificat. Ce champ indique la paire clé privée/certificat utilisée par le fournisseur de services pour signer des réponses d'assertion, des demandes de déconnexion groupée et des réponses de déconnexion groupée. Si la paire clé/certificat ne figure pas déjà dans le référentiel de données de certificat, cliquez surImporterpour importer la clé.Valeur: sélectionnez une valeur dans la liste déroulante.
- Algorithme de signatureDésigne l'algorithme d'hachage pour la signature des demandes d'authentification et des messages SOAP de SLO. Sélectionnez l'algorithme qui convient le mieux à votre application.RSAwithSHA256 est plus sécurisé que RSAwithSHA1, en raison du nombre plus élevé de bits utilisés dans la valeur d'hachage cryptographique résultante.L'algorithme sélectionné sera utilisé pour toutes les fonctions de signature.Par défaut :RSAwithSHA1Options :RSAwithSHA1, RSAwithSHA256
- Alias de certificat de vérificationIdentifie l'alias associé au certificat (clé publique) utilisé pour la vérification des assertions et des réponses de SLO signées. Sélectionnez un alias dans la liste déroulante. Si aucun certificat ne figure dans le référentiel de données de certificat, cliquez sur Importer pour importer un certificat. De même, pour générer une demande de certificat que vous pouvez envoyer à une autorité de certification, cliquez sur Générer.Valeur: sélectionnez une valeur dans la liste déroulante.
- Alias de certificat de vérification secondaire(Facultatif) Spécifie un alias secondaire pour un certificat dans le référentiel de données de certificat. Si une vérification d'assertion signée ne parvient pas à utiliser l’alias de certificat de vérification, le fournisseur de services utilisera cet alias de certificat de vérification secondaire. La spécification d’un alias secondaire est utile si un fournisseur d’identités substitue son certificat. Un remplacement peut se produire pour une raison quelconque, par exemple lors de l'expiration d'un certificat, la compromission d'une clé privée ou la modification de sa taille.Valeur: sélectionnez une valeur dans la liste déroulante.Lorsque des certificats secondaires sont configurés ou mis à jour pour un partenariat actif, les modifications sont automatiquement récupérées lors de l’exécution. Il n'est pas nécessaire de vider le cache de l’interface utilisateur pour appliquer les modifications.
- Options de signature SOAP de SLOIndique si la demande SOAP et/ou la réponse sont signées pour l'utilisation de la liaison SOAP par la déconnexion groupée.Valeur par défaut :Ne rien signerOptions :Signer la demande de déconnexion, Signer la réponse de déconnexion, Signe les deux, Ne rien signer
- Signer les demandes d'authentificationIndique que les messages de demande d'authentification sont signés avant leur envoi vers l'entité générant des assertions.
- Objet ArtifactResponse signé requisIndique que le fournisseur de services accepte uniquement la réponse d'artefact. La réponse contient le message SAML d'origine signé.Si vous sélectionnez cette case à cocher, le fournisseur d'identités peut signer la réponse d'artefact.Remarque :Le traitement des signatures numériques est activé pour traiter la réponse signée.
- Signer l'objet ArtifactResolveIndique que le message de résolution d'artefact est signé. Sans quoi, le fournisseur d'identités le rejettera.Si vous sélectionnez cette case à cocher, le fournisseur d'identités requiert un message de résolution d'artefact signé.Remarque :Le traitement des signatures numériques est activé pour la signature du message de résolution d'artefact.
Chiffrement (fournisseur de services SAML 2.0)
Le chiffrement indique la configuration requise par le chiffrement de cette entité locale de sorte qu'elle accepte une assertion. Cette section contient les paramètres suivants :
- ID de nom chiffré requisIndique que l'entité de confiance requiert le chiffrement de l'ID de nom par l'entité générant des assertions distante.
- Assertion chiffrée requiseIndique que l'entité de confiance requiert le chiffrement de l'assertion complète par l'entité générant des assertions distante.
- Options de SLO via SOAPIndique de chiffrer l'ID de nom dans le message SOAP ou de demander que tous les messages SOAP reçus contiennent un ID de nom chiffré.Options :ID de nom chiffré requis dans le message SOAP, ID de nom chiffré requis dans le message SOAP.
- Alias de certificat de chiffrementIdentifie un alias pour le certificat utilisé pour le chiffrement de la propriété AuthnRequest. La clé privée correspondante au niveau de l'entité générant des assertions déchiffre les données. Sélectionnez un alias dans la liste déroulante. Si aucun certificat ne figure dans le référentiel de données de certificat, cliquez sur Importer pour importer un certificat. De même, pour générer une demande de certificat que vous pouvez envoyer à une autorité de certification, cliquez sur Générer.
- Algorithme de blocIdentifie la méthode de chiffrement par blocs pour le chiffrement de données. L'algorithme de bloc code des blocs fixes d'entrée.Valeur par défaut :3DESOptions :3DES, AES-128, AES-256
- Algorithme de cléSpécifie l'algorithme de clé pour le chiffrement.Par défaut :RSA-V15Options :RSA-V15, RSA-OAEPLa taille de clé minimum requise pour utiliser l'algorithme de chiffrement rsa-oaep est de 1 024 bits.
- Alias de la clé privée de déchiffrementSpécifie l'alias associé à la clé privée utilisée pour déchiffrer les données chiffrées dans l'assertion. Sélectionnez un alias dans la liste déroulante. Si aucune clé ne figure dans le référentiel de données de certificat, cliquez sur Importer pour importer un certificat. De même, pour générer une demande de clé/certificat que vous pouvez envoyer à une autorité de certification, cliquez sur Générer.Valeur :une chaîne alphanumérique