Crittografia e firma per lo schema di autenticazione SAML 2.0
Sommario
casso1283
HID_saml2-auth-encryption-signing
Sommario
La finestra di dialogo Firma e crittografia consente di configurare i requisiti di crittografia del service provider alla ricezione di un'asserzione. Inoltre, in questa pagina è possibile specificare la configurazione della firma per richieste di autenticazione, richieste e risposte di single logout. Infine, è possibile specificare la protezione del back channel per Single Sign-On HTTP-Artifact e l'elaborazione della query dell'attributo.
Schema di autenticazione SAML 2.0: crittografia
- Crittografia.Indica i requisiti del service provider per l'accezione di un'asserzione. I campi sono i seguenti:
- Richiedi ID nome crittografatoIndica di crittografare l'ID di nome nell'asserzione. Se l'ID di nome non è crittografato, l'asserzione viene rifiutata.
- Richiedi asserzione crittografataIndica di crittografare l'intera asserzione. L'asserzione non crittografata viene rifiutata.
Schema di autenticazione SAML 2.0: chiave privata di decrittografia
- Chiave privata di decrittografiaSpecifica la chiave privata per la decrittografia dei dati di asserzione.
- AliasSpecifica l'alias di chiave privata utilizzata dal service provider per la decrittografia dei dati di asserzione crittografati. È necessario che la chiave privata sia presente nell'archivio dati di certificato.
Schema di autenticazione SAML 2.0: informazioni di firma digitale
Informazioni sulla firma digitale
Comprende i campi e i controlli che consentono di specificare le informazioni di firma digitale. Le informazioni di firma digitale sono obbligatorie per le funzionalità seguenti:
- Profilo HTTP-POST per Single Sign-On
- Richieste/risposte di single logout
- Richieste di autenticazione firmate
- Query dell'attributo
Nella sezione sono disponibili i campi seguenti:
- Disabilita elaborazione della firmaDisabilita l'elaborazione della firma, ossia, la firma e la verifica delle firme, per il service provider.L'elaborazione della firma è obbligatoria in un ambiente di produzione. Selezionare l'opzione Disabilita elaborazione della firma solo per scopi di debug.
- Opzioni di firmaVisualizza una finestra di dialogo con le impostazioni per la configurazione della firma digitale, in particolare dell'alias di firma e dell'algoritmo di firma.
- DN autorità di certificazioneSpecifica il nome distinto dell'autorità di certificazione del certificato utilizzato per la verifica della firma dei messaggi provenienti dal provider di identità. Questo valore viene utilizzato con il numero di serie per individuare il certificato nell'archivio dati di certificato.Il campo è abilitato solo se è configurato il metodo HTTP-POST per Single Sign-On o Reindirizzamento HTTP per single logout. Se l'elaborazione della firma è disabilitata, il campo non è attivo.
- Numero di serieSpecifica il numero di serie (stringa esadecimale) del certificato utilizzato per la verifica della firma dei messaggi provenienti dal provider di identità. Questo valore viene utilizzato con il DN dell'autorità di certificazione per individuare il certificato nell'archivio dati di certificato.Nota: il campo è abilitato solo se è configurato il metodo HTTP-POST per Single Sign-On o Reindirizzamento HTTP per single logout. Se l'elaborazione della firma è disabilitata, il campo non è attivo.
Schema di autenticazione SAML 2.0: elaborazione della firma
La sezione Elaborazione firma specifica l'alias di firma e l'hash dell'algoritmo per la firma digitale. La sezione comprende le impostazioni seguenti:
- Alias di firmaSpecifica l'alias associato a una determinata chiave privata nell'archivio dati di certificato. L'alias indica la chiave privata utilizzata dal service provider per firmare messaggi AuthnRequest, richieste e risposte di single logout e query dell'attributo inviate al provider di identità.Prima di compilare il campo Alias di firma, completare una o più delle attività seguenti:
- Per firmare i messaggi AuthnRequests, selezionare la casella di controllo SignAuthnRequests nella scheda SSO, quindi compilare i campi Alias di firma e Algoritmo di firma.
- Per firmare i messaggi SLO, selezionare la casella di controllo Reindirizzamento HTTP nella scheda SLO, quindi compilare i campi Alias di firma e Algoritmo di firma.
- Per firmare le query dell'attributo, selezionare Firma query dell'attributo nella scheda Attributi, quindi compilare i campi Alias di firma e Algoritmo di firma.
.Aggiungere la chiave privata al database delle chiavi prima di specificare l'alias associato in questo campoValore: stringa alfanumerica che identifica un alias esistente nell'archivio dati di certificato. - Algoritmo di firmaSpecifica l'algoritmo hash per la firma digitale. Selezionare l'algoritmo più adatto all'applicazione. RSAwithSHA256 è più sicuro di SHA1 per via del numero maggiore di bit utilizzati nel valore hash di crittografia.CA Single Sign-onutilizza l'algoritmo selezionato per tutte le funzioni di firma.Opzioni: RSAwithSHA1, RSAwithSHA256Valore predefinito: RSAwithSHA1
Schema di autenticazione SAML 2.0: back channel
La sezione Back channel definisce la configurazione del back channel protetto. Il back channel ha due funzioni:
- Single Sign-On tra un service provider e un provider di identità.
- Query dell'attributo e risposte tra un richiedente SAML e un'autorità di attributo.
I seguenti campi obbligatori svolgono la stessa funzione per entrambi gli scopi:
- AutenticazioneSpecifica il metodo di autenticazione utilizzato nel back channel. Lo schema di autenticazione determina il tipo di credenziali che il service provider deve presentare al provider di identità per il recupero dell'asserzione.Sono disponibili le seguenti opzioni:
- Certificato clientIndica che il servizio di risoluzione artifact o il servizio di attributo è compreso in un realm. Il realm è protetto da uno schema di autenticazione con certificato client X.509. Se si seleziona questa opzione, configurare l'accesso al servizio di risoluzione artifact con un certificato client.Nel campo Nome Service Provider, immettere il valore di ID del Service Provider tratto dalle impostazioni generali. Il nome e la password del service provider sono le credenziali che il service provider deve presentare per il recupero dell'asserzione. Queste credenziali vengono utilizzate per eseguire la ricerca del certificato nel key store.L'amministratore sul lato del provider di identità deve proteggere il servizio di risoluzione artifact con uno schema di autenticazione di certificato client.È possibile utilizzare i certificati crittografati non FIPS 140 per la protezione del back channel, anche se il Policy Server funziona in modalità solo FIPS. Tuttavia, per le installazioni di tipo solo FIPS, utilizzare esclusivamente certificati crittografati con algoritmi conformi allo standard FIPS 140.
- Di baseIndica che il Single Sign-On o il servizio di attributo è compreso in un realm. Il realm è protetto da uno schema di autenticazione di base o di base su SSL.(Valore predefinito) Se si seleziona questa opzione, è sufficiente compilare i campi obbligatori restanti e non è richiesta alcuna configurazione aggiuntiva. Nel campo Nome Service Provider, immettere il valore di ID del Service Provider tratto dalle impostazioni generali. Il nome e la password del service provider sono le credenziali che il service provider deve presentare per il recupero dell'asserzione.Per utilizzare le credenziali di base su SSL, il certificato dell'autorità di certificazione utilizzato per abilitare la connessione SSL deve essere incluso nell'archivio dati di certificato. In caso contrario, eseguire l'importazione del certificato nell'archivio dati di certificato.
- NoAuthIndica che Single Sign-On o il servizio di attributo non è protetto. Se si seleziona questa opzione, non sarà necessario effettuare l'autenticazione.
- PasswordSpecifica la password utilizzata dal provider di identità o dall'autorità di attributo per accedere al Service Provider o al richiedente SAML tramite back channel. Immettere una stringa valida da 3 a 255 caratteri.
- Nome Service ProviderIdentifica l'oggetto di Service Provider. Questo nome deve corrispondere al nome di un Service Provider o di un richiedente SAML specificato a livello del provider di identità o dell'autorità di attributo.Se si utilizza l'autenticazione di base come schema di autenticazione per il back channel, il valore di questo campo corrisponde al nome del service provider. Se si utilizza l'autenticazione con certificato client, il nome del service provider deve essere l'alias del certificato client nell'archivio dati di certificato.
- Conferma passwordConferma la voce nel campo Password.