Options de signature et de chiffrement du fournisseur de services SAML
Sommaire
casso1283
HID_sp-encryption-signing
Sommaire
Paramètres de chiffrement SAML 2.0
La section Chiffrement vous permet de configurer le chiffrement d'une assertion SAML. Si vous activez le chiffrement, toutes les données de l'assertion sont chiffrées, y compris les instructions d'attribut.
Pour chiffrer uniquement certaines instructions d'attribut, accédez aux paramètres d'attributs, sélectionnez ou créez un attribut, puis cochez la case Chiffré.
Les paramètres de chiffrements sont les suivants :
- Chiffrer l'ID de nomIndique que l'ID de nom dans l'assertion est chiffré.
- Algorithme de bloc de chiffrementSpécifie l'algorithme de bloc pour le chiffrement. Sélectionnez l'un des algorithmes suivants :
- tripledes (valeur par défaut)
- AES-128
- AES-256
- Chiffrer l'assertionActive le chiffrement de l'assertion.
- Algorithme de clé de chiffrementSpécifie l'algorithme de clé pour le chiffrement. Sélectionnez l'un des algorithmes suivants :
- RSA-V15 (valeur par défaut)
- RSA-OAEPLa mémoire minimum requise pour l'utilisation de l'algorithme de chiffrement rsa-oaep est 1 024 bits.
- Certificat de clé publique de chiffrementCes paramètres spécifient l'emplacement du certificat public du fournisseur de services. Paramètres de signature SAML 2.0Si l'option Chiffrer l'ID de nom ou Chiffrer l'assertion est définie, ou si un attribut d'assertion doit être chiffré, remplissez les deux champs.
Paramètres de signature SAML 2.0
La section Signature vous permet de spécifier des informations sur le traitement des signatures numériques pour la réponse d'assertion.
Les paramètres d'informations sur la signature numérique sont les suivants :
- Désactiver le traitement des signaturesDésactive tous les traitements de signature pour ce fournisseur de services (signature et vérification des signatures).Le traitement des signatures est requis dans un environnement de production. Sélectionnez l'option Désactiver le traitement des signatures à des fins de débogage.
- Nom unique de l'émetteurSpécifie le nom unique de l'émetteur du certificat qui est utilisé pour vérifier la signature d'un message SAML provenant d'un fournisseur de services. Cette valeur est utilisée avec le numéro de série pour localiser le certificat dans le référentiel de données de certificat.Le champ Nom unique de l'émetteur est activé uniquement lorsque l'option HTTP POST ou HTTP redirect binding (Liaison pour la redirection HTTP) est définie dans la page de profils SAML.
- Objet AuthnRequests signé requisIndique que les messages AuthnRequest doivent être signés pour que le fournisseur d'identités accepte la demande. Si vous cochez cette case, le fournisseur d'identités ne peut pas envoyer de réponses non sollicitées, ce qui permet d'établir une relation de confiance entre le fournisseur d'identités et le fournisseur de services.Si vous activez cette fonctionnalité, spécifiez les paramètres Nom unique de l'émetteur et Numéro de série pour valider la signature de la demande AuthnRequest.
- Numéro de sérieSpécifie le numéro de série, sous la forme d'une chaîne hexadécimale, du certificat qui est utilisé pour vérifier la signature d'un message SAML provenant d'un fournisseur de services. Cette valeur est utilisée avec le nom unique de l'émetteur pour localiser le certificat dans le référentiel de données de certificat.Le champ Numéro de série est activé uniquement lorsque l'option HTTP POST ou HTTP redirect binding (Liaison pour la redirection HTTP) est définie dans la page de profils SAML.
Les options de signature sont les suivantes :
- Alias de signatureSpécifie l'alias associé à une clé privée dans le référentiel de données de certificat. L'alias indique la clé privée que le fournisseur d'identités utilise pour signer les assertions, les réponses SAML, les réponses d'artefact, les réponses d'attribut, les demandes de déconnexion groupée et les réponses.
- Pour signer des messages de déconnexion groupée, sélectionnez l'option Redirection HTTP pour la déconnexion groupée, puis configurez ce champ et les champs Algorithme de signature.
- Pour signer des réponses d'attribut, sélectionnez Options de signature pour les paramètres de service d'attribut dans la page Attributs. En outre, configurez ce champ et les champs Algorithme de signature.
Ajoutez la clé privée au référentiel de données de certificat avant de spécifier son alias dans ce champ.Limites :chaîne alphanumérique correspondant à un alias dans le référentiel de données de certificat. - Objet ArtifactResolve signé requisIndique que le fournisseur de services doit signer le message de résolution d'artefact avant de l'envoyer au fournisseur d'identités. Le message de résolution d'artefact est la demande de récupération du message SAML d'origine émanant du fournisseur de services. Si vous sélectionnez cette option, le fournisseur de services doit signer le message de résolution d'artefact, sans quoi le fournisseur d'identités rejettera la demande.Si le fournisseur d'identités requiert des messages de résolution d'artefact signés, le fournisseur de services est autorisé à les signer.Le traitement des signatures numériques est activé pour le traitement du message de résolution d'artefact signé.
- Signer l'objet ArtifactResponseIndique que le fournisseur d'identités doit signer la réponse d'artefact avant de la renvoyer au fournisseur de services. La réponse d'artefact contient la réponse SAML d'origine avec l'assertion.Si le fournisseur d'identités doit signer la réponse d'artefact, le fournisseur de services est configuré pour accepter une réponse signée.Le traitement des signatures numériques est activé pour la signature de la réponse d'artefact.
- Algorithme de signatureDésigne l'algorithme d'hachage utilisé pour la signature numérique. Sélectionnez l'algorithme qui convient le mieux à votre application. RSAwithSHA256 est plus sécurisé que SHA1 à cause du plus grand nombre de bits utilisés dans la valeur d'hachage cryptographique.SiteMinderutilise l'algorithme que vous sélectionnez pour toutes les fonctions de signature.Limites :RSAwithSHA1, RSAwithSHA256Par défaut :RSAwithSHA1
- Options de signature d'artefactIndique l'option de signature d'artefact pour le fournisseur d'identités lors de la réponse à une demande d'authentification unique via un artefact HTTP.Limites :
- Signer l'assertionPermet de signer l'assertion.
- Signer la réponsePermet de signer la réponse SAML qui contient l'assertion.
- Signer les deuxPermet de signer l'assertion et la réponse SAML.
- Ne rien signerPermet de ne signer ni l'assertion, ni la réponse SAML.
Valeur par défaut :Ne rien signer - Options de signature POSTIndique l'option de publication de signature pour le fournisseur d'identités lors de la réponse à une demande d'authentification unique via une transaction HTTP POST.Limites :
- Signer l'assertionPermet de signer l'assertion.
- Signer la réponsePermet de signer la réponse SAML qui contient l'assertion.
- Signer les deuxPermet de signer l'assertion et la réponse SAML.
Valeur par défaut: Signer l'assertion