Schéma d'authentification SAML 2.0 - Signature et chiffrement
Sommaire
casso1283
HID_saml2-auth-encryption-signing
Sommaire
La boîte de dialogue Signature et chiffrement vous permet de configurer les éléments requis pour le chiffrement du fournisseur de services lorsqu'il reçoit une assertion. Cette page vous permet également de configurer la signature des demandes d'authentification, ainsi que des demandes et des réponses de déconnexion groupée. Enfin, vous pouvez spécifier la protection pour le canal arrière pour l'authentification unique d'artefact HTTP et le traitement des requêtes d'attribut.
Schéma d'authentification SAML 2.0 - Chiffrement
- ChiffrementRépertorie les éléments requis par le fournisseur de services pour accepter une assertion. Les champs sont les suivants :
- ID de nom chiffré requisIndique que l'ID de nom dans l'assertion doit être chiffré. Si l'ID de nom n'est pas chiffré, l'assertion est rejetée.
- Assertion chiffrée requiseIndique que l'assertion doit être chiffrée. Dans le cas contraire, elle est rejetée.
Schéma d'authentification SAML 2.0 - Clé privée de déchiffrement
- Clé privée de déchiffrementSpécifie la clé privée qui déchiffre les données d'assertion.
- AliasSpécifie l'alias pour la clé privée que le fournisseur de services utilise pour déchiffrer les données d'assertion chiffrées. La clé privée doit se trouver dans le référentiel de données de certificat.
Schéma d'authentification SAML 2.0 - Informations sur la signature numérique
Informations de la signature numérique
Contient des champs et des contrôles qui vous permettent de spécifier les informations concernant la signature numérique. Ces informations sont requises pour les fonctionnalités suivantes :
- Profil HTTP POST pour l'authentification unique
- Demandes/réponses de déconnexion groupée
- Demandes d'authentification signées
- Requêtes d'attribut
Cette section contient les champs suivants :
- Désactiver le traitement des signaturesDésactive le traitement des signatures, c'est-à-dire la signature et la vérification des signatures, pour ce fournisseur de services.Le traitement des signatures est requis dans un environnement de production. Sélectionnez l'option Désactiver le traitement des signatures uniquement à des fins de débogage.
- Options de signatureAffiche une boîte de dialogue avec les paramètres pour la configuration de signature numérique, notamment les paramètres Alias de signature et Algorithme de signature.
- Nom unique de l'émetteurSpécifie le nom unique de l'émetteur du certificat qui est utilisé pour vérifier la signature des messages provenant du fournisseur d'identités. Cette valeur est utilisée avec le numéro de série pour localiser le certificat dans le référentiel de données de certificat.Ce champ est activé uniquement si les transactions HTTP POST pour l'authentification unique ou la redirection HTTP pour la déconnexion unique sont configurées. Si le traitement des signatures est désactivé, ce champ est inactif.
- Numéro de sérieSpécifie le numéro de série, sous la forme d'une chaîne hexadécimale, du certificat qui est utilisé pour vérifier la signature des messages provenant d'un fournisseur d'identités. Cette valeur est utilisée avec le nom unique de l'émetteur pour localiser le certificat dans le référentiel de données de certificat.Remarque :Ce champ est activé uniquement si les transactions HTTP POST pour l'authentification unique ou la redirection HTTP pour la déconnexion unique sont configurées. Si le traitement des signatures est désactivé, ce champ est inactif.
Schéma d'authentification SAML 2.0 - Traitement des signatures
La section Traitement des signatures spécifie l'alias de signature et l'algorithme d'hachage pour la signature numérique. Cette section contient les paramètres suivants :
- Alias de signatureSpécifie l'alias associé à une clé privée dans le référentiel de données de certificat. L'alias indique la clé privée que le fournisseur de services utilise pour signer des messages AuthnRequest, des demandes et des réponses de déconnexion groupée, ainsi que des requêtes d'attribut qu'il envoie au fournisseur d'identités.Avant de remplir le champ Alias de signature, effectuez une ou plusieurs tâches :
- Pour signer les demandes AuthnRequests, cochez la case SignAuthnRequests dans l'onglet Authentification unique, puis remplissez les champs Alias de signature et Algorithme de signature.
- Pour signer les messages de déconnexion groupée, cochez la case Redirection HTTP dans l'onglet Déconnexion groupée, puis remplissez les champs Alias de signature et Algorithme de signature.
- Pour signer les requêtes d'attribut, sélectionnez l'option Signer la requête d'attribut dans l'onglet Attributs, puis remplissez les champs Alias de signature et Algorithme de signature.
Ajoutez la clé privée au référentiel de clés avant de spécifier son alias dans ce champ.Valeur: une chaîne de caractères alphanumériques qui identifie un alias existant dans le référentiel de données de certificat. - Algorithme de signatureSpécifie l'algorithme d'hachage utilisé pour la signature numérique. Sélectionnez l'algorithme qui convient le mieux à votre application. RSAwithSHA256 est plus sécurisé que SHA1 à cause du plus grand nombre de bits utilisés dans la valeur d'hachage cryptographique.SiteMinderutilise l'algorithme que vous sélectionnez pour toutes les fonctions de signature.Options :RSAwithSHA1, RSAwithSHA256Par défaut :RSAwithSHA1
Schéma d'authentification SAML 2.0 - Canal arrière
La section Canal arrière permet de définir la configuration du canal arrière sécurisé. Le canal arrière a deux fonctions :
- Permettre l'authentification unique entre un fournisseur de services et un fournisseur d'identités.
- Permettre les requêtes d'attribut et l'envoi des réponses entre un demandeur SAML et une autorité d'attributs.
Les champs obligatoires suivants servent la même fonction dans les deux cas :
- AuthentificationSpécifie la méthode d'authentification utilisée sur le canal arrière. Le schéma d'authentification détermine le type d'informations d'identification que le fournisseur de services doit offrir au fournisseur d'identités pour récupérer l'assertion.Les options disponibles sont les suivantes:
- Certificat de clientIndique que le service de résolution d'artefacts ou le service d'attribut fait partie d'un domaine. Un schéma d'authentification de certificat de client X.509 protège ce domaine. Si vous sélectionnez cette option, configurez l'accès au service de résolution d'artefacts à l'aide d'un certificat de client.Dans le champ Nom du fournisseur de services, entrez la valeur de l'ID de fournisseur de services à partir des paramètres généraux. Le nom du fournisseur de services et le mot de passe sont les informations d'identification que le fournisseur de services doit présenter pour récupérer l'assertion. Ces informations d'identification sont utilisées pour rechercher le certificat dans le référentiel de clés.L'administrateur du fournisseur d'identités doit protéger le service de résolution d'artefacts avec un schéma d'authentification de certificat de client.Vous pouvez utiliser des certificats non FIPS 140 chiffrés pour sécuriser le canal arrière, même si le serveur de stratégies fonctionne en mode FIPS uniquement. Toutefois, pour les installations FIPS uniquement, utilisez des certificats uniquement chiffrés avec des algorithmes FIPS 140 compatibles.
- De baseIndique que l'authentification unique ou le service d'attribut fait partie d'un domaine. Un schéma d'authentification de base ou un schéma d'authentification de base via SSL protège ce domaine.(Valeur par défaut) Si vous sélectionnez cette option, aucune configuration supplémentaire n'est requise, mais vous devez remplir les champs obligatoires restants. Dans le champ Nom du fournisseur de services, entrez la valeur de l'ID de fournisseur de services à partir des paramètres généraux. Le nom du fournisseur de services et le mot de passe sont les informations d'identification que le fournisseur de services doit présenter pour récupérer l'assertion.Pour utiliser l'option Modèle de base via SSL, le certificat d'autorité de certification qui a été utilisé pour activer la connexion SSL doit être placé dans le référentiel de données de certificat. Dans le cas contraire, importez le certificat dans le référentiel de données de certificat.
- Aucune authentificationIndique que l'authentification unique ou le service d'attribut n'est pas protégé. Si vous sélectionnez cette option, aucune authentification n'est requise.
- Mot de passeSpécifie le mot de passe que le fournisseur d'identités ou l'autorité d'attributs utilise pour accéder au fournisseur de services ou au demandeur SAML via le canal arrière. Entrez une chaîne valide de 3 à 255 caractères.
- Nom du fournisseur de servicesIdentifie l'objet du fournisseur de services. Ce nom doit correspondre à un nom de fournisseur de services ou de demandeur SAML qui est spécifié dans le fournisseur d'identités ou l'autorité d'attributs.Si vous utilisez l'authentification de base comme schéma d'authentification pour le canal arrière, la valeur de ce champ est le nom du fournisseur de services. Si vous utilisez l'authentification de certificat de client, le nom du fournisseur de services doit être l'alias du certificat de client dans le référentiel de données de certificat.
- Confirmer le mot de passeConfirme la valeur saisie dans le champ Mot de passe.