Finestra di dialogo Firma e crittografia (provider di identità SAML 2.0)

Sommario
casso127figsbrit
HID_asserting-partner-sig-encrypt
Sommario
Il passaggio di firma e crittografia consente di configurare le opzioni per firmare e crittografare le asserzioni SAML.
Firma (provider di identità SAML 2.0)
La sezione Firma consente di configurare le opzioni per firmare asserzioni, risposte di asserzione, richieste di single logout e risposte di single logout. Questa sezione contiene le impostazioni seguenti:
  • Disabilita elaborazione della firma
    Se impostata, l'elaborazione della firma (tanto la firma quanto la verifica delle firme) è disabilitata per la partnership.
    Nota
    l'elaborazione della firma è abilitata in un ambiente di produzione. Utilizzare l'impostazione Disabilita elaborazione della firma solo per il debug.
  • Alias di firma della chiave privata
    Specifica l'alias associato a una chiave privata nell'archivio dati di certificato utilizzato per firmare asserzioni e risposte SLO. Selezionare un alias dall'elenco a discesa. Se non esiste alcuna chiave nell'archivio dati di certificato, fare clic su Importa per importarne una. In alternativa, fare clic su Genera per generare una richiesta di chiave/certificato che è possibile inviare a un'autorità di certificazione.
    Valore
    : selezione dall'elenco a discesa.
  • Firma algoritmo
    Indica l'algoritmo hash per la firma digitale di asserzioni, risposte e messaggi SLO SOAP. Selezionare l'algoritmo più adatto all'applicazione.
    RSAwithSHA256 è più sicuro di RSAwithSHA1 per via del numero maggiore di bit utilizzati nel valore hash di crittografia risultante.
    L'algoritmo selezionato viene utilizzato per tutte le funzioni di firma.
    Valore predefinito
    : RSAwithSHA1
    Opzioni
    : RSAwithSHA1, RSAwithSHA256
  • Alias del certificato di verifica
    Identifica l'alias associato al certificato (chiave pubblica) utilizzato per verificare le richieste di autenticazione o le risposte SLO firmate. Selezionare un alias dall'elenco a discesa. Se nell'archivio dati di certificato non è presente alcun certificato, fare clic su Importa per importarne uno. In alternativa, fare clic su Genera per generare una richiesta di certificato che è possibile inviare a un'autorità di certificazione.
    Valore
    : selezione dall'elenco a discesa.
  • Alias del certificato di verifica secondario
    (Facoltativo) Consente di specificare un secondo alias del certificato per un certificato nell'archivio dati di certificato. Se la verifica di una richiesta di autenticazione firmata produce un errore con l'alias del certificato di verifica, l'IdP utilizza l'alias di verifica secondario. La definizione di un alias secondario è utile se un Service Provider esegue il rollover sul certificato di firma. I rollover possono verificarsi per diversi motivi: con la scadenza di un certificato, oppure con il danneggiamento o la modifica delle dimensioni di una chiave privata. Se il certificato non è presente nell'archivio dati di certificato, fare clic su
    Importa
    per importarne uno.
    Valore
    : selezione dall'elenco a discesa.
    Quando i certificati secondari vengono configurati o archiviati per una partnership attiva, il tempo di esecuzione seleziona automaticamente le modifiche. Non è necessario svuotare la cache dall'interfaccia utente per rendere effettive le modifiche.
  • Opzioni di firma dell'artifact
    Indica se l'asserzione, la risposta o entrambe sono firmate per Single Sign-On dell'artifact.
    Valore predefinito
    : Nessuna firma
    Opzioni
    : Firma asserzione, Firma risposta, Firma entrambi, Nessuna firma
  • Opzioni di firma POST
    Indica se l'asserzione, la risposta o entrambe sono firmate per Single Sign-On POST.
    Valore predefinito
    : Firma asserzione
    Opzioni
    : Firma asserzione, Firma risposta, Firma entrambi
  • Opzioni di firma SOAP SLO
    Indica se la richiesta, la risposta SOAP o entrambe sono firmate per SLO con il binding SOAP.
    Valore predefinito
    : Nessuna firma
    Opzioni
    : Firma richiesta di disconnessione, Firma risposta di disconnessione, Firma entrambi, Nessuna firma
  • Richiedi richieste di autenticazione firmate
    Indica che i messaggi di richiesta di autenticazione inviati dal relying party sono firmati. In caso contrario, l'entità di generazione asserzioni non accetta la richiesta.
  • Richiede ArtifactResolve firmato
    Indica che il service provider deve firmare il messaggio di risoluzione artifact prima di inviare il messaggio al provider di identità. Il messaggio di risoluzione artifact è la richiesta inviata dal service provider per recuperare il messaggio SAML originale. Se si seleziona questa opzione, è necessario che il service provider firmi il messaggio di risoluzione artifact. In caso contrario, il provider di identità rifiuterà la richiesta.
    Se il provider di identità richiede la firma dei messaggi di risoluzione artifact, il service provider può firmare tali messaggi.
    Nota
    l'elaborazione della firma digitale è abilitata per elaborare il messaggio di risoluzione artifact firmato.
  • Firma ArtifactResponse
    Indica che il provider di identità deve firmare la risposta dell'artifact prima di restituirla al lato del service provider. La risposta dell'artifact contiene la risposta SAML originale con l'asserzione.
    Se è necessario che il provider di identità firmi la risposta dell'artifact, il service provider è configurato per l'accettazione di una risposta firmata.
    Nota
    l'elaborazione della firma digitale è abilitata per firmare la risposta dell'artifact.
Crittografia (service provider SAML 2.0)
La sezione Crittografia consente di definire la crittografia per un'asserzione SAML. Questa sezione contiene le impostazioni seguenti:
  • Opzioni di crittografia
    Consente di selezionare se crittografare l'ID di nome e l'intera asserzione.
    Opzioni
    : Crittografa ID nome, Crittografia asserzione
    Nota
    : se si seleziona Crittografia asserzione, si consiglia di impostare la firma POST e/o la firma dell'artifact su
    Firma risposta
     o 
    Firma entrambi
    .
  • Opzioni SLO mediante SOAP
    Indica se crittografare l'ID di nome nel messaggio SOAP o se richiedere che i messaggi SOAP ricevuti abbiano l'ID di nome crittografato.
    Opzioni
    : Crittografa NameID nel messaggio SOAP, ID del nome crittografato richiesto nel messaggio SOAP.
  • Alias del certificato di crittografia
    Identifica l'alias del certificato utilizzato per la crittografia dei dati di asserzione. La chiave privata corrispondente sul lato del relying party permette di decrittografare i dati. Selezionare un alias dal menu a discesa. Se nell'archivio dati di certificato non è presente alcun certificato, fare clic su Importa per importarne uno. In alternativa, fare clic su Genera per generare una richiesta di certificato che è possibile inviare a un'autorità di certificazione.
  • Algoritmo di blocco
    Identifica il metodo di crittografia a blocchi per crittografare i dati. L'algoritmo di blocco codifica blocchi fissi di input.
    Valore predefinito
    : 3DES
    Opzioni
    : 3DES, AES-128, AES-256
  • Algoritmo chiave
    Specifica l'algoritmo della chiave di crittografia.
    Valore predefinito
    : RSA-V15
    Opzioni
    : RSA-V15, RSA-OAEP
    Nota
    : sono necessari almeno 1024 bit per le dimensioni di chiave per utilizzare l'algoritmo di crittografia rsa-oaep.
  • Alias della chiave privata di decrittografia
    Specifica la chiave per la decrittografia dei dati crittografati nel messaggio AuthnRequest della relying party. Se non esiste alcuna chiave nell'archivio dati di certificato, fare clic su Importa per importarne una. In alternativa, fare clic su Genera per generare una richiesta che è possibile inviare a un'autorità di certificazione.
    Valore predefinito
    : RSA-V15
    Opzioni
    : RSA-V15, RSA-OAEP