Finestra di dialogo Firma e crittografia (service provider SAML 2.0)
casso126figsbrit
HID_relying-partner-sig-encrypt
Il passaggio di firma e crittografia consente di configurare le opzioni per firmare e crittografare le asserzioni SAML e le richieste di autenticazione durante la configurazione del relying party locale.
Firma (service provider SAML 2.0)
La sezione Firma consente di configurare le opzioni per firmare richieste di autenticazione, risposte di asserzione, richieste di single logout e risposte di single logout.
Questa sezione contiene le impostazioni seguenti:
- Disabilita elaborazione della firmaSe impostata, l'elaborazione della firma (tanto la firma quanto la verifica delle firme) è disabilitata per la partnership.Notal'elaborazione della firma è abilitata in un ambiente di produzione. Utilizzare l'opzione Disabilita elaborazione della firma solo per il debug.
- Alias di firma della chiave privata(Facoltativo) Specifica l'alias associato a una coppia di certificato/chiave privata nell'archivio dati di certificato. La voce nel campo indica la coppia chiave/certificato privata utilizzata dal service provider per firmare risposte di asserzione, richieste di single logout e risposte di single logout. Se la coppia chiave/certificato non è presente nell'archivio dati di certificato, fare clic suImportaper importarla.Valore: selezione dall'elenco a discesa.
- Firma algoritmoIndica l'algoritmo hash per firmare le richieste di autenticazione e i messaggi SOAP SLO. Selezionare l'algoritmo più adatto all'applicazione.RSAwithSHA256 è più sicuro di RSAwithSHA1 per via del numero maggiore di bit utilizzati nel valore hash di crittografia risultante.L'algoritmo selezionato viene utilizzato per tutte le funzioni di firma.Valore predefinito: RSAwithSHA1Opzioni: RSAwithSHA1, RSAwithSHA256
- Alias del certificato di verificaIdentifica l'alias associato al certificato (chiave pubblica) utilizzato per verificare le asserzioni e le risposte SLO firmate. Selezionare un alias dal menu a discesa. Se nell'archivio dati di certificato non è presente alcun certificato, fare clic su Importa per importarne uno. In alternativa, fare clic su Genera per generare una richiesta di certificato che è possibile inviare a un'autorità di certificazione.Valore: selezione dall'elenco a discesa.
- Alias del certificato di verifica secondario(Facoltativo) Consente di specificare un secondo alias per un certificato nell'archivio dati di certificato. Se una verifica delle asserzioni firmate produce un errore con l'alias del certificato di verifica, il service provider utilizza l'alias del certificato di verifica secondario. La definizione di un alias secondario è utile se un identity provider esegue il rollover sul certificato. I rollover possono verificarsi per diversi motivi: con la scadenza di un certificato, oppure con il danneggiamento o la modifica delle dimensioni di una chiave privata.Valore: selezione dall'elenco a discesa.Quando i certificati secondari vengono configurati o archiviati per una partnership attiva, il tempo di esecuzione seleziona automaticamente le modifiche. Non è necessario svuotare la cache dall'interfaccia utente per rendere effettive le modifiche.
- Opzioni di firma SOAP SLOIndica se la richiesta, la risposta SOAP o entrambe sono firmate per SLO con il binding SOAP.Valore predefinito: Nessuna firmaOpzioni: Firma richiesta di disconnessione, Firma risposta di disconnessione, Firma entrambi, Nessuna firma
- Firma richieste di autenticazioneIndica che i messaggi di richiesta di autenticazione sono firmati prima dell'invio all'entità di generazione asserzioni.
- Richiede la firma di ArtifactResponseIndica che il service provider accetta solo la risposta dell'artifact. La risposta contiene il messaggio SAML originale firmato.Se si seleziona questa casella di controllo, il provider di identità può firmare la risposta dell'artifact.Notal'elaborazione della firma digitale è abilitata per elaborare la risposta firmata.
- Firma ArtifactResolveIndica che il messaggio di risoluzione artifact è firmato. In caso contrario, il provider di identità lo rifiuta.Se si seleziona questa casella di controllo, il provider di identità richiede la firma del messaggio di risoluzione artifact.Notal'elaborazione della firma digitale è abilitata per firmare il messaggio di risoluzione artifact.
Crittografia (service provider SAML 2.0)
La sezione Crittografia indica i requisiti di crittografia per l'entità locale affinché accetti un'asserzione. Questa sezione contiene le impostazioni seguenti:
- Richiedi ID nome crittografatoIndica che il relying party richiede la crittografia dell'ID di nome eseguita dall'entità di generazione asserzioni remota.
- Richiedi asserzione crittografataIndica che il relying party richiede la crittografia dell'intera asserzione eseguita dall'entità di generazione asserzioni remota.
- Opzioni SLO mediante SOAPIndica se crittografare l'ID di nome nel messaggio SOAP o se richiedere che i messaggi SOAP ricevuti abbiano l'ID di nome crittografato.Opzioni: Crittografa NameID nel messaggio SOAP, ID del nome crittografato richiesto nel messaggio SOAP.
- Alias del certificato di crittografiaIdentifica l'alias del certificato utilizzato per la crittografia di AuthnRequest. La chiave privata corrispondente sul lato dell'entità di generazione asserzioni permette di decrittografare i dati. Selezionare un alias dal menu a discesa. Se nell'archivio dati di certificato non è presente alcun certificato, è possibile fare clic su Importa per importarne uno. In alternativa, fare clic su Genera per generare una richiesta di certificato che è possibile inviare a un'autorità di certificazione.
- Algoritmo di bloccoIdentifica il metodo di crittografia a blocchi per crittografare i dati. L'algoritmo di blocco codifica blocchi fissi di input.Valore predefinito: 3DESOpzioni: 3DES, AES-128, AES-256
- Algoritmo chiaveSpecifica l'algoritmo della chiave di crittografia.Valore predefinito: RSA-V15Opzioni: RSA-V15, RSA-OAEPSono necessari almeno 1024 bit per le dimensioni di chiave per utilizzare l'algoritmo di crittografia rsa-oaep.
- Alias della chiave privata di decrittografiaSpecifica l'alias associato alla chiave privata utilizzata per la decrittografia dei dati nell'asserzione crittografata. Selezionare un alias dall'elenco a discesa. Se non esiste alcuna chiave nell'archivio dati di certificato, fare clic su Importa per importarne una. In alternativa, fare clic su Genera per generare una richiesta di chiave/certificato che è possibile inviare a un'autorità di certificazione.Valore: stringa alfanumerica