署名処理の有効化
目次
casso127jpjp
目次
2
SAML 2.0 POST シングル サインオンではアサーションにデジタル署名を付ける必要があります。
Single Sign-On
は、署名および検証タスクに秘密キー/証明書ペアを使用します。トランザクションまたはランタイム アクションの前に、IdP1 の管理者は、証明書(公開キー)が含まれるファイルを SP1 に送信します。このキーは秘密キーに関連付けられています。IdP1 は公開キーを使用してアサーションに署名します。SP1 の管理者は、証明書を証明書データ ストアに追加します。
シングル サインオン トランザクションが発生した場合、IdP1 は秘密キーでアサーションに署名します。SP1 はアサーションを受け取って、証明書データ ストアの証明書を使用してアサーション署名を確認します。
IdP での署名処理の設定
HTTP-POST シングル サインオンの場合、Idp1 はアサーションに署名する必要があります。IdP は、証明書データ ストアに格納された秘密キーを使用してアサーションに署名する必要があります。
注:
例では、キー/証明書ペアをインポートできるファイルがあると仮定します。または、秘密キー/証明書ペアがすでに証明書データ ストア内にあります。署名を設定する方法
- [フェデレーション]-[パートナーシップ フェデレーション]-[パートナーシップ]を選択します。
- TestPartnership のエントリ(IdP から SP へのパートナーシップ)の横の[アクション]-[非アクティブ化]を選択します。編集する前に非アクティブ化する必要があります。
- TestPartnership エントリの横の[アクション]-[変更]をクリックします。パートナーシップ ウィザードが開きます。
- [署名および暗号化]手順を選択します。
- [署名]セクションで、以下のタスクを完了します。
- [署名の処理を無効にする]をクリアします。
- [署名秘密キー エイリアス]フィールドの横の[インポート]をクリックします。[証明書/秘密キーのインポート]ウィンドウが開きます。
- 以下のようにインポート ウィザードを完了します。
- 秘密キー/証明書ペアのインポート元のファイルを選択します。
- pkcs#12 ファイルについては、ファイルを暗号化するパスワードを入力します。このパスワードはすでにあります。
- インポートするファイルから証明書エントリを選択して、[エイリアス]に「cert1」などの値を入力します。
- 選択内容を確認して[完了]をクリックします。
- パートナーシップ エントリの[アクション]-[変更]を選択します。
- [署名および暗号化]手順に進みます。ダイアログ ボックスで、インポートしたキー/証明書が[署名秘密キー エイリアス]ドロップダウン リストから選択できるようになったことに注目します。
- 別名[cert1]を選択して[次へ]をクリックします。
- [確認]ダイアログ ボックスで設定を確認し、[完了]をクリックします。[パートナーシップ]ウィンドウに戻ります。
- TestPartnership エントリの横の[アクション]-[アクティブ化]を選択することによって、パートナーシップを再度アクティブ化します。
署名処理が IdP で設定されました。
SP での署名処理の設定
SP1 はアサーション署名を確認する必要があります。トランザクションの前に、SP1 は IdP1 から証明書(公開キー)を受信しています。この証明書は IdP1 がアサーションに署名するために使用した秘密キー用です。この証明書は SP1 証明書データ ストアにインポートされます。
署名検証を設定する方法
- [フェデレーション]-[パートナーシップ フェデレーション]-[パートナーシップ]を選択します。[パートナーシップ]ウィンドウが開きます。
- DemoPartnership のエントリの横の[アクション]-[非アクティブ化]を選択します。編集する前に非アクティブ化する必要があります。
- DemoPartnership エントリの横の[アクション]-[変更]をクリックします。パートナーシップ ウィザードが開きます。
- [署名および暗号化]手順を選択します。
- [署名]セクションで、以下のタスクを完了します。
- [署名の処理を無効にする]をクリアします。
- [検証証明書エイリアス]フィールドの横の[インポート]をクリックします。[証明書/秘密キーのインポート]ウィンドウが開きます。
- 以下のようにインポート ウィザードを完了します。
- 証明書のインポート元のファイルを選択します。
- インポートするファイルから証明書エントリを選択して、[エイリアス]に「cert1」などの値を入力します。
- 選択内容を確認して[完了]をクリックします。
- パートナーシップ エントリの[アクション]-[変更]を選択します。
- [署名および暗号化]手順に進みます。ダイアログ ボックスで。インポートしたキー/証明書が[署名秘密キー エイリアス]ドロップダウン リストから選択できるようになったことに注目します。
- 証明書の別名[cert1]を選択して[次へ]をクリックします。
- [確認]ダイアログ ボックスで設定を確認し、[完了]をクリックします。[パートナーシップ]ウィンドウに戻ります。
- DemoPartnership エントリの横の[アクション]-[アクティブ化]を選択することによって、パートナーシップを再度アクティブ化します。
署名検証が SP で設定されました。