Options de signature et de chiffrement du fournisseur de services SAML

Sommaire
casso1283
HID_sp-encryption-signing
La page Signature et chiffrement contient les paramètres pour la configuration de la signature numérique et du chiffrement.
Sommaire
Paramètres de chiffrement SAML 2.0
La section Chiffrement vous permet de configurer le chiffrement d'une assertion SAML. Si vous activez le chiffrement, toutes les données de l'assertion sont chiffrées, y compris les instructions d'attribut.
Pour chiffrer uniquement certaines instructions d'attribut, accédez aux paramètres d'attributs, sélectionnez ou créez un attribut, puis cochez la case Chiffré.
Les paramètres de chiffrements sont les suivants :
  • Chiffrer l'ID de nom
    Indique que l'ID de nom dans l'assertion est chiffré.
  • Algorithme de bloc de chiffrement
    Spécifie l'algorithme de bloc pour le chiffrement. Sélectionnez l'un des algorithmes suivants :
    • tripledes (valeur par défaut)
    • AES-128
    • AES-256
  • Chiffrer l'assertion
    Active le chiffrement de l'assertion.
  • Algorithme de clé de chiffrement
    Spécifie l'algorithme de clé pour le chiffrement. Sélectionnez l'un des algorithmes suivants :
    • RSA-V15 (valeur par défaut)
    • RSA-OAEP
      La mémoire minimum requise pour l'utilisation de l'algorithme de chiffrement rsa-oaep est 1 024 bits.
  • Certificat de clé publique de chiffrement
    Ces paramètres spécifient l'emplacement du certificat public du fournisseur de services. Paramètres de signature SAML 2.0
    Si l'option Chiffrer l'ID de nom ou Chiffrer l'assertion est définie, ou si un attribut d'assertion doit être chiffré, remplissez les deux champs.
Paramètres de signature SAML 2.0
La section Signature vous permet de spécifier des informations sur le traitement des signatures numériques pour la réponse d'assertion.
Les paramètres d'informations sur la signature numérique sont les suivants :
  • Désactiver le traitement des signatures
    Désactive tous les traitements de signature pour ce fournisseur de services (signature et vérification des signatures).
    Le traitement des signatures est requis dans un environnement de production. Sélectionnez l'option Désactiver le traitement des signatures à des fins de débogage.
  • Nom unique de l'émetteur
    Spécifie le nom unique de l'émetteur du certificat qui est utilisé pour vérifier la signature d'un message SAML provenant d'un fournisseur de services. Cette valeur est utilisée avec le numéro de série pour localiser le certificat dans le référentiel de données de certificat.
    Le champ Nom unique de l'émetteur est activé uniquement lorsque l'option HTTP POST ou HTTP redirect binding (Liaison pour la redirection HTTP) est définie dans la page de profils SAML.
  • Objet AuthnRequests signé requis
    Indique que les messages AuthnRequest doivent être signés pour que le fournisseur d'identités accepte la demande. Si vous cochez cette case, le fournisseur d'identités ne peut pas envoyer de réponses non sollicitées, ce qui permet d'établir une relation de confiance entre le fournisseur d'identités et le fournisseur de services.
    Si vous activez cette fonctionnalité, spécifiez les paramètres Nom unique de l'émetteur et Numéro de série pour valider la signature de la demande AuthnRequest.
  • Numéro de série
    Spécifie le numéro de série, sous la forme d'une chaîne hexadécimale, du certificat qui est utilisé pour vérifier la signature d'un message SAML provenant d'un fournisseur de services. Cette valeur est utilisée avec le nom unique de l'émetteur pour localiser le certificat dans le référentiel de données de certificat.
    Le champ Numéro de série est activé uniquement lorsque l'option HTTP POST ou HTTP redirect binding (Liaison pour la redirection HTTP) est définie dans la page de profils SAML.
Les options de signature sont les suivantes :
  • Alias de signature
    Spécifie l'alias associé à une clé privée dans le référentiel de données de certificat. L'alias indique la clé privée que le fournisseur d'identités utilise pour signer les assertions, les réponses SAML, les réponses d'artefact, les réponses d'attribut, les demandes de déconnexion groupée et les réponses.
    • Pour signer des messages de déconnexion groupée, sélectionnez l'option Redirection HTTP pour la déconnexion groupée, puis configurez ce champ et les champs Algorithme de signature.
    • Pour signer des réponses d'attribut, sélectionnez Options de signature pour les paramètres de service d'attribut dans la page Attributs. En outre, configurez ce champ et les champs Algorithme de signature.
    Ajoutez la clé privée au référentiel de données de certificat avant de spécifier son alias dans ce champ.
    Limites :
    chaîne alphanumérique correspondant à un alias dans le référentiel de données de certificat.
  • Objet ArtifactResolve signé requis
    Indique que le fournisseur de services doit signer le message de résolution d'artefact avant de l'envoyer au fournisseur d'identités. Le message de résolution d'artefact est la demande de récupération du message SAML d'origine émanant du fournisseur de services. Si vous sélectionnez cette option, le fournisseur de services doit signer le message de résolution d'artefact, sans quoi le fournisseur d'identités rejettera la demande.
    Si le fournisseur d'identités requiert des messages de résolution d'artefact signés, le fournisseur de services est autorisé à les signer.
    Le traitement des signatures numériques est activé pour le traitement du message de résolution d'artefact signé.
  • Signer l'objet ArtifactResponse
    Indique que le fournisseur d'identités doit signer la réponse d'artefact avant de la renvoyer au fournisseur de services. La réponse d'artefact contient la réponse SAML d'origine avec l'assertion.
    Si le fournisseur d'identités doit signer la réponse d'artefact, le fournisseur de services est configuré pour accepter une réponse signée.
    Le traitement des signatures numériques est activé pour la signature de la réponse d'artefact.
  • Algorithme de signature
    Désigne l'algorithme d'hachage utilisé pour la signature numérique. Sélectionnez l'algorithme qui convient le mieux à votre application. RSAwithSHA256 est plus sécurisé que SHA1 à cause du plus grand nombre de bits utilisés dans la valeur d'hachage cryptographique.
    SiteMinder
    utilise l'algorithme que vous sélectionnez pour toutes les fonctions de signature.
    Limites :
    RSAwithSHA1, RSAwithSHA256
    Par défaut :
    RSAwithSHA1
  • Options de signature d'artefact
    Indique l'option de signature d'artefact pour le fournisseur d'identités lors de la réponse à une demande d'authentification unique via un artefact HTTP.
    Limites :
    • Signer l'assertion
      Permet de signer l'assertion.
    • Signer la réponse
      Permet de signer la réponse SAML qui contient l'assertion.
    • Signer les deux
      Permet de signer l'assertion et la réponse SAML.
    • Ne rien signer
      Permet de ne signer ni l'assertion, ni la réponse SAML.
    Valeur par défaut :
    Ne rien signer
  • Options de signature POST
    Indique l'option de publication de signature pour le fournisseur d'identités lors de la réponse à une demande d'authentification unique via une transaction HTTP POST.
    Limites :
    • Signer l'assertion
      Permet de signer l'assertion.
    • Signer la réponse
      Permet de signer la réponse SAML qui contient l'assertion.
    • Signer les deux
      Permet de signer l'assertion et la réponse SAML.
    Valeur par défaut
    : Signer l'assertion