Opzioni di firma e crittografia del service provider SAML

Sommario
casso1283
HID_sp-encryption-signing
La pagina Firma e crittografia comprende le impostazioni per la configurazione della firma digitale e della crittografia.
Sommario
Impostazioni di crittografia SAML 2.0
La sezione Crittografia consente di configurare la crittografia per un'asserzione SAML. Se si abilita la crittografia, tutti i dati nell'asserzione vengono crittografati, incluse tutte le istruzioni dell'attributo.
Per crittografare solo singole istruzioni dell'attributo, accedere alle impostazioni Attributi, selezionare o creare un attributo, quindi selezionare la casella di controllo Crittografato per il singolo attributo.
Le impostazioni di crittografia sono le seguenti:
  • Crittografa ID nome
    Specifica di crittografare l'ID di nome nell'asserzione.
  • Algoritmo di blocco della crittografia
    Specifica l'algoritmo di blocco della crittografia. Selezionare uno dei seguenti algoritmi:
    • tripledes (valore predefinito)
    • aes-128
    • aes-256
  • Crittografia asserzione
    Abilita la crittografia dell'asserzione.
  • Algoritmo della chiave di crittografia
    Specifica l'algoritmo della chiave di crittografia. Selezionare un algoritmo:
    • rsa-v15 (valore predefinito)
    • rsa-oaep
      Sono necessari almeno 1024 bit di memoria per utilizzare l'algoritmo di crittografia rsa-oaep.
  • Certificato chiave pubblica di crittografia
    Queste impostazioni specificano il percorso del certificato pubblico delle impostazioni di firma del Service Provider SAML 2.0
    Se è impostata l'opzione Crittografa ID nome o Crittografia asserzione, o se è necessario crittografare un attributo di asserzione, compilare entrambi i campi.
Impostazioni di firma SAML 2.0
La sezione Firma consente di specificare le informazioni sull'elaborazione della firma digitale per la risposta di asserzione.
Le impostazioni Informazioni D-Sig sono le seguenti:
  • Disabilita elaborazione della firma
    Disabilita ogni elaborazione della firma per il service provider (firma e verifica delle firme).
    L'elaborazione della firma è obbligatoria in un ambiente di produzione. Selezionare l'opzione Disabilita elaborazione della firma per il debug.
  • DN autorità di certificazione
    Specifica il nome distinto dell'autorità di certificazione del certificato utilizzato per verificare la firma di un messaggio SAML proveniente dal service provider. Questo valore viene utilizzato con il numero di serie per individuare il certificato nell'archivio dati di certificato.
    Il campo DN autorità di certificazione è attivo solo quando nella pagina dei profili SAML è impostata l'opzione di binding di reindirizzamento HTTP o HTTP POST.
  • Firma di AuthnRequests richiesta
    Indica che per i messaggi AuthnRequest è richiesta la firma affinché il provider di identità accetti la richiesta. Se si seleziona la casella di controllo, il provider di identità non può inviare risposte indesiderate, il che garantisce la relazione di affidabilità tra il provider di identità e il service provider.
    Se si abilita questa funzionalità, completare le impostazioni DN autorità di certificazione e Numero di serie per convalidare la firma del messaggio AuthnRequest.
  • Numero di serie
    Specifica il numero di serie (stringa esadecimale) del certificato utilizzato per verificare la firma di un messaggio SAML proveniente dal service provider. Questo valore viene utilizzato con il DN dell'autorità di certificazione per individuare il certificato nell'archivio dati di certificato.
    Il campo Numero di serie è attivo solo quando nella pagina dei profili SAML è impostata l'opzione di binding di reindirizzamento HTTP o HTTP POST.
Le opzioni di firma sono le seguenti:
  • Alias di firma
    Specifica l'alias associato a una determinata chiave privata nell'archivio dati di certificato. L'alias indica la chiave privata utilizzata dal provider di identità per firmare asserzioni, risposte SAML, risposte dell'artifact, risposte di attributo, richieste di single logout e risposte.
    • Per firmare i messaggi SLO, selezionare l'opzione Reindirizzamento HTTP per single logout, quindi configurare questo campo e i campi dell'algoritmo di firma.
    • Per firmare le risposte di attributo, selezionare le opzioni di firma per le impostazioni di servizio dell'attributo nella pagina Attributi. Inoltre, configurare questo campo e quelli dell'algoritmo di firma.
    Aggiungere la chiave privata all'archivio dati di certificato prima di specificarne l'alias in questo campo
    . Limiti:
    una stringa alfanumerica corrispondente a un alias nell'archivio dati del certificato.
  • Richiede ArtifactResolve firmato
    Indica che il service provider deve firmare il messaggio di risoluzione artifact prima di inviare il messaggio al provider di identità. Il messaggio di risoluzione artifact è la richiesta inviata dal service provider per recuperare il messaggio SAML originale. Se si seleziona questa opzione, è necessario che il service provider firmi il messaggio di risoluzione artifact. In caso contrario, il provider di identità rifiuterà la richiesta.
    Se il provider di identità richiede la firma dei messaggi di risoluzione artifact, il service provider può firmare tali messaggi.
    L'elaborazione della firma digitale è abilitata per elaborare il messaggio di risoluzione artifact firmato
    .
  • Firma ArtifactResponse
    Indica che il provider di identità deve firmare la risposta dell'artifact prima di restituirla al lato del service provider. La risposta dell'artifact contiene la risposta SAML originale con l'asserzione.
    Se è necessario che il provider di identità firmi la risposta dell'artifact, il service provider è configurato per l'accettazione di una risposta firmata.
    L'elaborazione della firma digitale è abilitata per firmare la risposta dell'artifact.
  • Algoritmo di firma
    Indica l'algoritmo hash per la firma digitale. Selezionare l'algoritmo più adatto all'applicazione. RSAwithSHA256 è più sicuro di SHA1 per via del numero maggiore di bit utilizzati nel valore hash di crittografia risultante.
    CA Single Sign-on
    utilizza l'algoritmo selezionato per tutte le funzioni di firma.
    Limiti
    : RSAwithSHA1, RSAwithSHA256
    Valore predefinito
    : RSAwithSHA1
  • Opzioni di firma dell'artifact
    Indica l'opzione di firma dell'artifact per il provider di identità quando risponde a una richiesta di autenticazione per HTTP-Artifact Single Sign-On.
    Limiti:
    • Firma asserzione
      Firma l'asserzione.
    • Firma risposta
      Firma la risposta SAML contenente l'asserzione.
    • Firma entrambi
      Firma l'asserzione e la risposta SAML.
    • Nessuna firma
      Non firma né l'asserzione, né la risposta SAML.
    Valore predefinito
    : Nessuna firma
  • Opzioni di firma POST
    Indica l'opzione di firma POST per il provider di identità quando risponde a una richiesta di autenticazione per HTTP-POST Single Sign-On.
    Limiti:
    • Firma asserzione
      Firma l'asserzione.
    • Firma risposta
      Firma la risposta SAML contenente l'asserzione.
    • Firma entrambi
      Firma l'asserzione e la risposta SAML.
    Valore predefinito
    : Firma asserzione