Finestra di dialogo Firma e crittografia (provider di identità SAML 2.0)
Sommario
casso13it
HID_asserting-partner-sig-encrypt
Sommario
Il passaggio di firma e crittografia consente di configurare le opzioni per firmare e crittografare le asserzioni SAML.
Firma (provider di identità SAML 2.0)
La sezione Firma consente di configurare le opzioni per firmare asserzioni, risposte di asserzione, richieste di single logout e risposte di single logout. Questa sezione contiene le impostazioni seguenti:
- Disabilita elaborazione della firmaSe impostata, l'elaborazione della firma (tanto la firma quanto la verifica delle firme) è disabilitata per la partnership.Notal'elaborazione della firma è abilitata in un ambiente di produzione. Utilizzare l'impostazione Disabilita elaborazione della firma solo per il debug.
- Alias di firma della chiave privataSpecifica l'alias associato a una chiave privata nell'archivio dati di certificato utilizzato per firmare asserzioni e risposte SLO. Selezionare un alias dall'elenco a discesa. Se non esiste alcuna chiave nell'archivio dati di certificato, fare clic su Importa per importarne una. In alternativa, fare clic su Genera per generare una richiesta di chiave/certificato che è possibile inviare a un'autorità di certificazione.Valore: stringa alfanumerica
- Firma algoritmoIndica l'algoritmo hash per la firma digitale di asserzioni, risposte e messaggi SLO SOAP. Selezionare l'algoritmo più adatto all'applicazione.RSAwithSHA256 è più sicuro di RSAwithSHA1 per via del numero maggiore di bit utilizzati nel valore hash di crittografia risultante.L'algoritmo selezionato viene utilizzato per tutte le funzioni di firma.Valore predefinito: RSAwithSHA1Opzioni: RSAwithSHA1, RSAwithSHA256
- Alias del certificato di verificaIdentifica l'alias associato al certificato (chiave pubblica) utilizzato per verificare le richieste di autenticazione o le risposte SLO firmate. Selezionare un alias dall'elenco a discesa. Se nell'archivio dati di certificato non è presente alcun certificato, fare clic su Importa per importarne uno. In alternativa, fare clic su Genera per generare una richiesta di certificato che è possibile inviare a un'autorità di certificazione.Valore: stringa alfanumerica
- Opzioni di firma dell'artifactIndica se l'asserzione, la risposta o entrambe sono firmate per Single Sign-On dell'artifact.Valore predefinito: Nessuna firmaOpzioni: Firma asserzione, Firma risposta, Firma entrambi, Nessuna firma
- Opzioni di firma POSTIndica se l'asserzione, la risposta o entrambe sono firmate per Single Sign-On POST.Valore predefinito: Firma asserzioneOpzioni: Firma asserzione, Firma risposta, Firma entrambi
- Opzioni di firma SOAP SLOIndica se la richiesta, la risposta SOAP o entrambe sono firmate per SLO con il binding SOAP.Valore predefinito: Nessuna firmaOpzioni: Firma richiesta di disconnessione, Firma risposta di disconnessione, Firma entrambi, Nessuna firma
- Richiedi richieste di autenticazione firmateIndica che i messaggi di richiesta di autenticazione inviati dal relying party sono firmati. In caso contrario, l'entità di generazione asserzioni non accetta la richiesta.
- Richiede ArtifactResolve firmatoIndica che il service provider deve firmare il messaggio di risoluzione artifact prima di inviare il messaggio al provider di identità. Il messaggio di risoluzione artifact è la richiesta inviata dal service provider per recuperare il messaggio SAML originale. Se si seleziona questa opzione, è necessario che il service provider firmi il messaggio di risoluzione artifact. In caso contrario, il provider di identità rifiuterà la richiesta.Se il provider di identità richiede la firma dei messaggi di risoluzione artifact, il service provider può firmare tali messaggi.Notal'elaborazione della firma digitale è abilitata per elaborare il messaggio di risoluzione artifact firmato.
- Firma ArtifactResponseIndica che il provider di identità deve firmare la risposta dell'artifact prima di restituirla al lato del service provider. La risposta dell'artifact contiene la risposta SAML originale con l'asserzione.Se è necessario che il provider di identità firmi la risposta dell'artifact, il service provider è configurato per l'accettazione di una risposta firmata.Notal'elaborazione della firma digitale è abilitata per firmare la risposta dell'artifact.
Crittografia (service provider SAML 2.0)
La sezione Crittografia consente di definire la crittografia per un'asserzione SAML. Questa sezione contiene le impostazioni seguenti:
- Opzioni di crittografiaConsente di selezionare se crittografare l'ID di nome e l'intera asserzione.Opzioni:Crittografa ID nome, Crittografia asserzione.
- Opzioni SLO mediante SOAPIndica se crittografare l'ID di nome nel messaggio SOAP o se richiedere che i messaggi SOAP ricevuti abbiano l'ID di nome crittografato.Opzioni: Crittografa NameID nel messaggio SOAP, ID del nome crittografato richiesto nel messaggio SOAP.
- Alias del certificato di crittografiaIdentifica l'alias del certificato utilizzato per la crittografia dei dati di asserzione. La chiave privata corrispondente sul lato del relying party permette di decrittografare i dati. Selezionare un alias dal menu a discesa. Se nell'archivio dati di certificato non è presente alcun certificato, fare clic su Importa per importarne uno. In alternativa, fare clic su Genera per generare una richiesta di certificato che è possibile inviare a un'autorità di certificazione.
- Algoritmo di bloccoIdentifica il metodo di crittografia a blocchi per crittografare i dati. L'algoritmo di blocco codifica blocchi fissi di input.Valore predefinito: 3DESOpzioni: 3DES, AES-128, AES-256
- Algoritmo chiaveSpecifica l'algoritmo della chiave di crittografia.Valore predefinito: RSA-V15Opzioni: RSA-V15, RSA-OAEPNota: sono necessari almeno 1024 bit per le dimensioni di chiave per utilizzare l'algoritmo di crittografia rsa-oaep.
- Alias della chiave privata di decrittografiaSpecifica la chiave per la decrittografia dei dati crittografati nel messaggio AuthnRequest della relying party. Se non esiste alcuna chiave nell'archivio dati di certificato, fare clic su Importa per importarne una. In alternativa, fare clic su Genera per generare una richiesta che è possibile inviare a un'autorità di certificazione.Valore predefinito: RSA-V15Opzioni: RSA-V15, RSA-OAEP