署名済みリクエストおよびレスポンスの検証
ポリシー サーバでは、次の署名済みメッセージを確認できます。
sm1252sp1jjp
ポリシー サーバでは、次の署名済みメッセージを確認できます。
- SSO 認証。
- シングル ログアウト リクエストおよびレスポンス。
デフォルトでは、署名の処理は有効化されています。これは、SAML 2.0 仕様で必要とされるためです。実稼働環境では常に署名処理を有効にしてください。
ポリシー サーバは、常に SAML 2.0 POST レスポンスおよびシングル ログアウト リクエストに署名します。署名には、管理 UI を使用した設定は不要です。署名のセットアップに必要な操作は、署名機関の秘密キー/証明書ペアを証明書データ ストアに追加することだけです。
重要:
デバッグ目的のみに限り、すべての署名処理(署名および署名の検証の両方)を一時的に無効化できます。[暗号化 & 署名]設定の[署名]セクションで、[署名の処理を無効にする]を選択してください。サービス プロバイダからの認証リクエストの署名や、シングル ログアウトのリクエストおよびレスポンスの署名を検証するには、管理 UI の設定手順を完了する必要があります。
検証をセットアップする方法
- アイデンティティ プロバイダで公開キーを証明書データ ストアに追加します。公開キーは、サービス プロバイダが署名に使用した秘密キーと証明書に対応する必要があります。
- 管理 UI で、以下のチェック ボックスのいずれか、または両方を選択します。
- 署名された認証リクエストが必要です([暗号化 & 署名]設定)このチェック ボックスをオンにすると、アイデンティティ プロバイダは署名された認証リクエストを必要とし、IdP はリクエストの署名を検証します。認証リクエストに署名されていない場合、アイデンティティ プロバイダはそれを拒否します。重要: AuthnRequests に署名すると、未承認応答がアイデンティティ プロバイダから送信されることはありません。
- HTTP-Redirect([SAML プロファイル]設定)このチェック ボックスをオンにすると、アイデンティティ プロバイダは SLO リクエストおよびレスポンスの署名を検証します。
- [発行者 DN]および[シリアル番号]フィールド([暗号化 & 署名]設定)に入力します。フィールドの値は、証明書データ ストア内の証明書に一致する必要があります。証明書は、リクエストに署名する機関の秘密キー/証明書ペアに対応するものです。入力値が一致することを確認するには、証明書の DN を表示します。
NameID とアサーションの暗号化
アサーション内で名前 ID を暗号化したり、アサーションそのものを暗号化したりできます。暗号化することにより、アサーションの転送時に新たなレベルの保護が得られます。
暗号化を設定する場合、パートナー証明書を指定します。この証明書はアサーション内に配置します。アサーションがサービス プロバイダに到着すると、サービス プロバイダでは、関連付けられた秘密キーを使用して、暗号化されたデータを復号します。
注:
暗号化を有効にする場合、最初のフェデレーション コールで暗号化ライブラリをロードし、追加のメモリを割り当てるためにポリシー サーバのメモリが増加する可能性があります。暗号化の有効化
暗号化を実装する方法
- 管理 UI にログインします。
- 設定する SAML サービス プロバイダの[暗号化 & 署名]設定に移動します。
- アサーション暗号化の設定項目を設定します。以下の条件に注意してください。
- 暗号化キーアルゴリズムとして rsa-oaep を選択する場合、最低限必要なキーサイズは 1024 ビットです。
- aes-256 ビット暗号化ブロック アルゴリズムを使用するには、Sun Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files をインストールします。これらのファイルは、http://java.sun.com/javase/downloads/index.jsp からダウンロードできます。
- [IssuerDN]および[シリアル番号]フィールドには、証明書発行者の DN およびその関連のシリアル番号をそれぞれ入力します。この情報により、証明書データ ストア内でサービス プロバイダの証明書が検索されます。サービス プロバイダがこのデータを提供します。入力する IssuerDN およびシリアル番号の値は、アイデンティティ プロバイダの証明書データ ストアに保存されたキー/証明書ペアの IssuerDN およびシリアル番号と一致する必要があります。
- [サブミット]をクリックして、変更を保存します。