署名および暗号化ダイアログ ボックス(SAML 2.0 SP)

casso11jp
HID_relying-partner-sig-encrypt
目次
この署名および暗号化手順では、ローカルの依存パーティーの設定時にSAML アサーションおよび認証リクエストの署名および暗号化に対するオプションを設定できます。
署名(SAML 2.0 SP)
[署名]セクションでは、認証要求、アサーション レスポンス、シングル ログアウト要求、およびシングル ログアウト レスポンスの署名に関するオプションを設定できます。
このセクションには、以下の設定項目が表示されます。
  • 署名処理の無効化
    設定すると、そのパートナーシップに対するすべての署名処理(署名および署名の検証の両方)が無効になります。
    注:
    実稼働環境では署名処理が有効化されます。[署名の処理を無効にする]オプションは、デバッグ目的のみに使用してください。
  • 署名秘密キー エイリアス
    証明書データ ストアに保存され、アサーション要求および SLO-SOAP レスポンス メッセージの署名に使用される秘密キーと関連付けられているエイリアスを指定します。プルダウン メニューからエイリアスを選択します。証明書データ ストアにキーが存在しない場合は、[インポート]をクリックしてキーをインポートできます。また、[生成]をクリックしてキー/証明書要求を生成し、これを認証機関に送信することもできます。
    値:
    プルダウン リストから選択。
  • 署名アルゴリズム
    認証要求および SLO-SOAP メッセージを署名するためのハッシュ アルゴリズムを指定します。最も用途に適したアルゴリズムを選択してください。
    RSAwithSHA256 の方が、結果として生成される暗号化ハッシュ値に使用されるビット数が多いため、RSAwithSHA1 より安全です。
    選択するアルゴリズムはすべての署名機能に使用されます。
    デフォルト:
    RSAwithSHA1
    オプション:
    [RSAwithSHA1]、[RSAwithSHA256]
  • 検証証明書エイリアス
    署名されたアサーションおよび SLO レスポンスを検証するために使用される証明書(公開キー)と関連付けられるエイリアスを識別します。プルダウン メニューからエイリアスを選択します。証明書データ ストアに証明書がない場合は、[インポート]をクリックして証明書をインポートできます。また、[生成]をクリックして証明書要求を生成し、これを認証機関に送信することもできます。
    値:
    プルダウン リストから選択。
  • SLO SOAP 署名オプション
    SOAP 要求、レスポンス、またはそれらの両方が SOAP バインドを使用して SLO に対して署名されるかを示します。
    デフォルト:
    どちらにも署名しない
    オプション:
    [ログアウト リクエストに署名]、[ログアウト レスポンスに署名]、[両方に署名]、[どちらも署名しない]
  • 認証要求の署名
    認証要求メッセージがアサーティング パーティに送信される前に署名されることを示します。
  • 署名されたアーチファクト レスポンスが必要
    サービス プロバイダがアーチファクト レスポンスのみを受け入れることを示します。レスポンスには、元の署名済み SAML メッセージが含まれます。
    このチェック ボックスをオンにすると、ID プロバイダはアーチファクト レスポンスに署名ができます。
    注:
    デジタル署名処理は、署名されたレスポンスを処理するために有効化されます。
  • アーチファクト解決の署名
    アーチファクト解決メッセージが署名されていることを示します。アーチファクト解決メッセージが署名されているか、ID プロバイダがそれを拒否しています。
    このチェック ボックスをオンにすると、ID プロバイダは署名されたアーチファクト解決メッセージを要求します。
    注:
    デジタル署名処理はアーチファクト解決メッセージに署名するために有効化されます。
暗号化(SAML 2.0 SP)
[暗号化]は、このローカル エンティティがアサーションを受理するための暗号化の要件を示します。このセクションには、以下の設定項目が表示されます。
  • 暗号化された名前 ID を必要とする
    リモート アサーティング パーティによる名前 ID の暗号化を依存側が要求することを示します。
  • 暗号化されたアサーションを必要とする
    リモート アサーティング パーティによるアサーション全体の暗号化を依存側が要求することを示します。
  • SLO over SOAP オプション
    SOAP メッセージ内の名前 ID を暗号化するか、受信されるすべての SOAP メッセージに暗号化された名前 ID が含まれることを要求するかを決定します。
    オプション:
    [SOAP メッセージ内の名前 ID の暗号化]、[SOAP メッセージ内の暗号化された名前 ID が必要]
  • 暗号化証明書エイリアス
    認証要求を暗号化するために使用される証明書のエイリアスを識別します。アサーティング パーティの対応する秘密キーがデータを復号します。プルダウン メニューからエイリアスを選択します。証明書データ ストアに証明書がない場合は、[インポート]をクリックして証明書をインポートできます。また、[生成]をクリックして証明書要求を生成し、これを認証機関に送信することもできます。
  • ブロック アルゴリズム
    データを暗号化するためのブロック暗号方法を識別します。ブロック アルゴリズムは、入力の固定ブロックをコード化します。
    デフォルト:
    3DES
    オプション:
    [3DES]、[AES-128]、[AES-256]
  • キー アルゴリズム
    暗号化キー アルゴリズムを指定します。
    デフォルト:
    RSA-V15
    オプション:
    [RSA-V15]、[RSA-OAEP]
    注:
    rsa-oaep 暗号化アルゴリズムを使用するために必要な最小キー サイズは 1024 ビットです。
  • 復号秘密キー エイリアス
    暗号化されたアサーション内のデータの復号に使用される秘密キーと関連付けられたエイリアスを指定します。プルダウン リストからエイリアスを選択します。証明書データ ストアにキーが存在しない場合は、[インポート]をクリックしてキーをインポートできます。また、[生成]をクリックしてキー/証明書要求を生成し、これを認証機関に送信することもできます。
    値:
    英数字文字列