Opzioni di firma e crittografia del service provider SAML
Sommario
casso1283
HID_sp-encryption-signing
Sommario
Impostazioni di crittografia SAML 2.0
La sezione Crittografia consente di configurare la crittografia per un'asserzione SAML. Se si abilita la crittografia, tutti i dati nell'asserzione vengono crittografati, incluse tutte le istruzioni dell'attributo.
Per crittografare solo singole istruzioni dell'attributo, accedere alle impostazioni Attributi, selezionare o creare un attributo, quindi selezionare la casella di controllo Crittografato per il singolo attributo.
Le impostazioni di crittografia sono le seguenti:
- Crittografa ID nomeSpecifica di crittografare l'ID di nome nell'asserzione.
- Algoritmo di blocco della crittografiaSpecifica l'algoritmo di blocco della crittografia. Selezionare uno dei seguenti algoritmi:
- tripledes (valore predefinito)
- aes-128
- aes-256
- Crittografia asserzioneAbilita la crittografia dell'asserzione.
- Algoritmo della chiave di crittografiaSpecifica l'algoritmo della chiave di crittografia. Selezionare un algoritmo:
- rsa-v15 (valore predefinito)
- rsa-oaepSono necessari almeno 1024 bit di memoria per utilizzare l'algoritmo di crittografia rsa-oaep.
- Certificato chiave pubblica di crittografiaQueste impostazioni specificano il percorso del certificato pubblico delle impostazioni di firma del Service Provider SAML 2.0Se è impostata l'opzione Crittografa ID nome o Crittografia asserzione, o se è necessario crittografare un attributo di asserzione, compilare entrambi i campi.
Impostazioni di firma SAML 2.0
La sezione Firma consente di specificare le informazioni sull'elaborazione della firma digitale per la risposta di asserzione.
Le impostazioni Informazioni D-Sig sono le seguenti:
- Disabilita elaborazione della firmaDisabilita ogni elaborazione della firma per il service provider (firma e verifica delle firme).L'elaborazione della firma è obbligatoria in un ambiente di produzione. Selezionare l'opzione Disabilita elaborazione della firma per il debug.
- DN autorità di certificazioneSpecifica il nome distinto dell'autorità di certificazione del certificato utilizzato per verificare la firma di un messaggio SAML proveniente dal service provider. Questo valore viene utilizzato con il numero di serie per individuare il certificato nell'archivio dati di certificato.Il campo DN autorità di certificazione è attivo solo quando nella pagina dei profili SAML è impostata l'opzione di binding di reindirizzamento HTTP o HTTP POST.
- Firma di AuthnRequests richiestaIndica che per i messaggi AuthnRequest è richiesta la firma affinché il provider di identità accetti la richiesta. Se si seleziona la casella di controllo, il provider di identità non può inviare risposte indesiderate, il che garantisce la relazione di affidabilità tra il provider di identità e il service provider.Se si abilita questa funzionalità, completare le impostazioni DN autorità di certificazione e Numero di serie per convalidare la firma del messaggio AuthnRequest.
- Numero di serieSpecifica il numero di serie (stringa esadecimale) del certificato utilizzato per verificare la firma di un messaggio SAML proveniente dal service provider. Questo valore viene utilizzato con il DN dell'autorità di certificazione per individuare il certificato nell'archivio dati di certificato.Il campo Numero di serie è attivo solo quando nella pagina dei profili SAML è impostata l'opzione di binding di reindirizzamento HTTP o HTTP POST.
Le opzioni di firma sono le seguenti:
- Alias di firmaSpecifica l'alias associato a una determinata chiave privata nell'archivio dati di certificato. L'alias indica la chiave privata utilizzata dal provider di identità per firmare asserzioni, risposte SAML, risposte dell'artifact, risposte di attributo, richieste di single logout e risposte.
- Per firmare i messaggi SLO, selezionare l'opzione Reindirizzamento HTTP per single logout, quindi configurare questo campo e i campi dell'algoritmo di firma.
- Per firmare le risposte di attributo, selezionare le opzioni di firma per le impostazioni di servizio dell'attributo nella pagina Attributi. Inoltre, configurare questo campo e quelli dell'algoritmo di firma.
Aggiungere la chiave privata all'archivio dati di certificato prima di specificarne l'alias in questo campo. Limiti:una stringa alfanumerica corrispondente a un alias nell'archivio dati del certificato. - Richiede ArtifactResolve firmatoIndica che il service provider deve firmare il messaggio di risoluzione artifact prima di inviare il messaggio al provider di identità. Il messaggio di risoluzione artifact è la richiesta inviata dal service provider per recuperare il messaggio SAML originale. Se si seleziona questa opzione, è necessario che il service provider firmi il messaggio di risoluzione artifact. In caso contrario, il provider di identità rifiuterà la richiesta.Se il provider di identità richiede la firma dei messaggi di risoluzione artifact, il service provider può firmare tali messaggi..L'elaborazione della firma digitale è abilitata per elaborare il messaggio di risoluzione artifact firmato
- Firma ArtifactResponseIndica che il provider di identità deve firmare la risposta dell'artifact prima di restituirla al lato del service provider. La risposta dell'artifact contiene la risposta SAML originale con l'asserzione.Se è necessario che il provider di identità firmi la risposta dell'artifact, il service provider è configurato per l'accettazione di una risposta firmata.L'elaborazione della firma digitale è abilitata per firmare la risposta dell'artifact.
- Algoritmo di firmaIndica l'algoritmo hash per la firma digitale. Selezionare l'algoritmo più adatto all'applicazione. RSAwithSHA256 è più sicuro di SHA1 per via del numero maggiore di bit utilizzati nel valore hash di crittografia risultante.CA Single Sign-onutilizza l'algoritmo selezionato per tutte le funzioni di firma.Limiti: RSAwithSHA1, RSAwithSHA256Valore predefinito: RSAwithSHA1
- Opzioni di firma dell'artifactIndica l'opzione di firma dell'artifact per il provider di identità quando risponde a una richiesta di autenticazione per HTTP-Artifact Single Sign-On.Limiti:
- Firma asserzioneFirma l'asserzione.
- Firma rispostaFirma la risposta SAML contenente l'asserzione.
- Firma entrambiFirma l'asserzione e la risposta SAML.
- Nessuna firmaNon firma né l'asserzione, né la risposta SAML.
Valore predefinito: Nessuna firma - Opzioni di firma POSTIndica l'opzione di firma POST per il provider di identità quando risponde a una richiesta di autenticazione per HTTP-POST Single Sign-On.Limiti:
- Firma asserzioneFirma l'asserzione.
- Firma rispostaFirma la risposta SAML contenente l'asserzione.
- Firma entrambiFirma l'asserzione e la risposta SAML.
Valore predefinito: Firma asserzione