サービス プロバイダでのデジタル署名オプション

目次
casso11jp
目次
2
SAML 2.0 認証方式設定には、以下のトランザクションに対するデジタル署名オプションが含まれています。
  • 認証リクエスト
  • シングル ログアウト リクエストおよびレスポンス
  • Artifact 解決メッセージ -- アサーションを取得するための SAML Artifact の解決
  • 属性クエリ -- 属性機関(IdP)と SAML リクエスタ(SP)の間で実行される認可
デフォルトでは、署名の処理は有効化されています。これは、SAML 2.0 仕様で署名が必要とされるためです。最初のフェデレーション セットアップのデバッグ
のみ
に限り、[署名の処理を無効にする]オプションを選択することにより、サービス プロバイダに対するすべての署名処理(署名および署名の検証)を一時的に無効化できます。デバッグが完了した後は、署名処理を再度有効にしてください。
重要
: 実稼働環境で署名処理を無効にした場合、必須のセキュリティ機能を無効化していることになります。
署名オプションを指定する方法
  1. SAML 2.0 認証方式に移動します。
  2. [SAML 2.0 設定]-[暗号化 & 署名]をクリックします。
  3. [D-Sig 情報]セクションで、フィールドに入力します。以下の情報に注意してください。
    • HTTP-POST (シングル サインオン)の場合、ポストされたアサーションの署名を検証する証明書に関する情報を入力します。発行者 DN と シリアル番号の組み合わせにより、IdP がアサーションに署名するために使用した秘密キーに対応する証明書が識別されます。
      [発行者 DN]フィールドに入力する値は、証明書データ ストアの証明書の発行者 DN と一致する必要があります。
    • HTTP リダイレクト(シングル ログアウト)の場合、SLO リクエストの署名を検証する証明書に関する情報を入力します。
  4. ダイアログ ボックスの[署名処理]セクション内の設定を完了します。
  5. HTTP-Artifact シングル サインオンの場合のみ、バックチャネルを設定します。
  6. [OK]をクリックします。
シングル サインオンのアサーション暗号化要件の適用
暗号化機能により、認証方式がアサーション内の暗号化されたアサーションまたは名前 ID のみを処理することが指定されます。
セキュリティを強化する場合は、アイデンティティ プロバイダにおいて名前 ID、ユーザ属性、またはアサーション全体を暗号化することができます。暗号化することにより、アサーションの転送時に新たなレベルの保護が得られます。アイデンティティ プロバイダにおいて暗号化が有効化されている場合、データの暗号化に証明書(公開キー)が使用されます。アサーションがサービス プロバイダに到着すると、サービス プロバイダでは関連付けられた秘密キーを使用して、暗号化されたデータを復号します。
セッション プロバイダで暗号化を設定する場合、アサーションには暗号化された名前 ID またはアサーションが含まれる必要があります。そうでない場合、サービス プロバイダはアサーションを拒否します。
SSO の暗号化のセットアップ
アサーションの暗号化要件を適用できます。
暗号化要件を適用する方法
  1. SAML 2.0 認証方式に移動します。
  2. [SAML 2.0 設定]-[暗号化 & 署名]をクリックします。
    暗号化と署名の設定ページが表示されます。
  3. 暗号化された名前 ID を要求するには、[暗号化された名前 ID が必要]チェック ボックスをオンにします。
  4. 暗号化されたアサーションを要求するには、[暗号化されたアサーションが必要]チェック ボックスをオンにします。
    名前 ID およびアサーションを選択できます。
  5. (オプション)アイデンティティ プロバイダから受信したアサーション内の暗号化されたデータを復号する秘密キーのエイリアスを指定します。
  6. [OK]をクリックして、変更を保存します。
暗号化を要求しない場合、サービス プロバイダは、名前 ID やアサーションが暗号化されていても、クリア テキストでも、これらを受理します。
カスタム SAML 2.0 認証方式の作成(オプション)
既存の SAML 2.0 認証テンプレートの代わりに、
Single Sign-On
認証 API で記述したカスタム SAML 2.0 方式を使用できます。
認証方式のメイン ページには、[方式のセットアップ]セクションに[ライブラリ]フィールドが含まれます。このフィールドには、SAML Artifact 認証を処理する共有ライブラリの名前が含まれています。カスタム認証方式を作成していない場合は、この値を変更しないでください。
デフォルトの共有ライブラリは smauthhtml です。