署名処理の有効化

目次
casso11jp
目次
2
SAML 2.0 POST シングル サインオンではアサーションにデジタル署名を付ける必要があります。
Single Sign-On
は、署名および検証タスクに秘密キー/証明書ペアを使用します。
トランザクションまたはランタイム アクションの前に、IdP1 の管理者は、証明書(公開キー)が含まれるファイルを SP1 に送信します。このキーは秘密キーに関連付けられています。IdP1 は公開キーを使用してアサーションに署名します。SP1 の管理者は、証明書を証明書データ ストアに追加します。
シングル サインオン トランザクションが発生した場合、IdP1 は秘密キーでアサーションに署名します。SP1 はアサーションを受け取って、証明書データ ストアの証明書を使用してアサーション署名を確認します。
IdP での署名処理の設定
HTTP-POST シングル サインオンの場合、Idp1 はアサーションに署名する必要があります。IdP は、証明書データ ストアに格納された秘密キーを使用してアサーションに署名する必要があります。
注:
例では、キー/証明書ペアをインポートできるファイルがあると仮定します。または、秘密キー/証明書ペアがすでに証明書データ ストア内にあります。
署名を設定する方法
  1. [フェデレーション]-[パートナーシップ フェデレーション]-[パートナーシップ]を選択します。
  2. TestPartnership のエントリ(IdP から SP へのパートナーシップ)の横の[アクション]-[非アクティブ化]を選択します。
    編集する前に非アクティブ化する必要があります。
  3. TestPartnership エントリの横の[アクション]-[変更]をクリックします。
    パートナーシップ ウィザードが開きます。
  4. [署名および暗号化]手順を選択します。
  5. [署名]セクションで、以下のタスクを完了します。
    1. [署名の処理を無効にする]をクリアします。
    2. [署名秘密キー エイリアス]フィールドの横の[インポート]をクリックします。
      [証明書/秘密キーのインポート]ウィンドウが開きます。
  6. 以下のようにインポート ウィザードを完了します。
    1. 秘密キー/証明書ペアのインポート元のファイルを選択します。
    2. pkcs#12 ファイルについては、ファイルを暗号化するパスワードを入力します。このパスワードはすでにあります。
    3. インポートするファイルから証明書エントリを選択して、[エイリアス]に「cert1」などの値を入力します。
    4. 選択内容を確認して[完了]をクリックします。
    [フェデレーション パートナーシップ]リストに戻ります。
  7. パートナーシップ エントリの[アクション]-[変更]を選択します。
  8. [署名および暗号化]手順に進みます。ダイアログ ボックスで、インポートしたキー/証明書が[署名秘密キー エイリアス]ドロップダウン リストから選択できるようになったことに注目します。
  9. 別名[cert1]を選択して[次へ]をクリックします。
  10. [確認]ダイアログ ボックスで設定を確認し、[完了]をクリックします。
    [パートナーシップ]ウィンドウに戻ります。
  11. TestPartnership エントリの横の[アクション]-[アクティブ化]を選択することによって、パートナーシップを再度アクティブ化します。
署名処理が IdP で設定されました。
SP での署名処理の設定
SP1 はアサーション署名を確認する必要があります。トランザクションの前に、SP1 は IdP1 から証明書(公開キー)を受信しています。この証明書は IdP1 がアサーションに署名するために使用した秘密キー用です。この証明書は SP1 証明書データ ストアにインポートされます。
署名検証を設定する方法
  1. [フェデレーション]-[パートナーシップ フェデレーション]-[パートナーシップ]を選択します。
    [パートナーシップ]ウィンドウが開きます。
  2. DemoPartnership のエントリの横の[アクション]-[非アクティブ化]を選択します。
    編集する前に非アクティブ化する必要があります。
  3. DemoPartnership エントリの横の[アクション]-[変更]をクリックします。
    パートナーシップ ウィザードが開きます。
  4. [署名および暗号化]手順を選択します。
  5. [署名]セクションで、以下のタスクを完了します。
    1. [署名の処理を無効にする]をクリアします。
    2. [検証証明書エイリアス]フィールドの横の[インポート]をクリックします。
      [証明書/秘密キーのインポート]ウィンドウが開きます。
  6. 以下のようにインポート ウィザードを完了します。
    1. 証明書のインポート元のファイルを選択します。
    2. インポートするファイルから証明書エントリを選択して、[エイリアス]に「cert1」などの値を入力します。
    3. 選択内容を確認して[完了]をクリックします。
    [フェデレーション パートナーシップ リスト]に戻ります。
  7. パートナーシップ エントリの[アクション]-[変更]を選択します。
  8. [署名および暗号化]手順に進みます。ダイアログ ボックスで。インポートしたキー/証明書が[署名秘密キー エイリアス]ドロップダウン リストから選択できるようになったことに注目します。
  9. 証明書の別名[cert1]を選択して[次へ]をクリックします。
  10. [確認]ダイアログ ボックスで設定を確認し、[完了]をクリックします。
    [パートナーシップ]ウィンドウに戻ります。
  11. DemoPartnership エントリの横の[アクション]-[アクティブ化]を選択することによって、パートナーシップを再度アクティブ化します。
署名検証が SP で設定されました。