署名および暗号化ダイアログ ボックス(SAML 2.0 SP)
casso127jpjp
HID_relying-partner-sig-encrypt
この署名および暗号化手順では、ローカルの依存パーティーの設定時にSAML アサーションおよび認証リクエストの署名および暗号化に対するオプションを設定できます。
署名(SAML 2.0 SP)
[署名]セクションでは、認証要求、アサーション レスポンス、シングル ログアウト要求、およびシングル ログアウト レスポンスの署名に関するオプションを設定できます。
このセクションには、以下の設定項目が表示されます。
- 署名の処理を無効にする設定すると、そのパートナーシップに対するすべての署名処理(署名および署名の検証の両方)が無効になります。注:実稼働環境では署名処理が有効化されます。[署名の処理を無効にする]オプションは、デバッグ目的のみに使用してください。
- 署名秘密キー エイリアス(オプション)証明書データ ストアで特定の秘密キー/証明書ペアと関連付けられるエイリアスを指定します。このフィールドのエントリは、アサーション レスポンス、シングル ログアウト リクエスト、およびシングル ログアウト レスポンスの署名に SP が使用する秘密キー/証明書ペアを示します。証明書データ ストアにキー/証明書ペアが存在しない場合は、[インポート]をクリックしてインポートします。値:ドロップダウン リストから選択
- 署名アルゴリズム認証要求および SLO-SOAP メッセージを署名するためのハッシュ アルゴリズムを指定します。最も用途に適したアルゴリズムを選択してください。RSAwithSHA256 の方が、結果として生成される暗号化ハッシュ値に使用されるビット数が多いため、RSAwithSHA1 より安全です。選択するアルゴリズムはすべての署名機能に使用されます。デフォルト:RSAwithSHA1オプション:[RSAwithSHA1]、[RSAwithSHA256]
- 検証証明書エイリアス署名されたアサーションおよび SLO レスポンスを検証するために使用される証明書(公開キー)と関連付けられるエイリアスを識別します。プルダウン メニューからエイリアスを選択します。証明書データ ストアに証明書がない場合は、[インポート]をクリックして証明書をインポートできます。また、[生成]をクリックして証明書要求を生成し、これを認証機関に送信することもできます。値:ドロップダウン リストから選択
- セカンダリ検証証明書エイリアス(オプション)証明書データ ストアで証明書の 2 つ目のエイリアスを指定します。検証証明書エイリアスを使用して、署名されたアサーション検証に失敗した場合、SP はこのセカンダリ検証証明書エイリアスを使用します。セカンダリ エイリアスの指定は、IdP が証明書をロールオーバーする場合に有用です。証明書の有効期限切れ、秘密キーの侵害、秘密キーのサイズ変更があった場合など、ロール オーバーは何らかの理由で発生します。値:ドロップダウン リストから選択。セカンダリ証明書がアクティブなパートナーシップに対して設定または更新された場合は、実行時に自動的に変更が取得されます。変更を有効にするために、UI からキャッシュをクリアする必要はありません。
- SLO SOAP 署名オプションSOAP 要求、レスポンス、またはそれらの両方が SOAP バインドを使用して SLO に対して署名されるかを示します。デフォルト:どちらにも署名しないオプション:[ログアウト リクエストに署名]、[ログアウト レスポンスに署名]、[両方に署名]、[どちらも署名しない]
- 認証要求の署名認証要求メッセージがアサーティング パーティに送信される前に署名されることを示します。
- 署名されたアーチファクト レスポンスが必要サービス プロバイダがアーチファクト レスポンスのみを受け入れることを示します。レスポンスには、元の署名済み SAML メッセージが含まれます。このチェック ボックスをオンにすると、ID プロバイダはアーチファクト レスポンスに署名ができます。注:デジタル署名処理は、署名されたレスポンスを処理するために有効化されます。
- アーチファクト解決の署名アーチファクト解決メッセージが署名されていることを示します。アーチファクト解決メッセージが署名されているか、ID プロバイダがそれを拒否しています。このチェック ボックスをオンにすると、ID プロバイダは署名されたアーチファクト解決メッセージを要求します。注:デジタル署名処理はアーチファクト解決メッセージに署名するために有効化されます。
暗号化(SAML 2.0 SP)
[暗号化]は、このローカル エンティティがアサーションを受理するための暗号化の要件を示します。このセクションには、以下の設定項目が表示されます。
- 暗号化された名前 ID を必要とするリモート アサーティング パーティによる名前 ID の暗号化を依存側が要求することを示します。
- 暗号化されたアサーションを必要とするリモート アサーティング パーティによるアサーション全体の暗号化を依存側が要求することを示します。
- SLO over SOAP オプションSOAP メッセージ内の名前 ID を暗号化するか、受信されるすべての SOAP メッセージに暗号化された名前 ID が含まれることを要求するかを決定します。オプション:[SOAP メッセージ内の名前 ID の暗号化]、[SOAP メッセージ内の暗号化された名前 ID が必要]
- 暗号化証明書エイリアス認証要求を暗号化するために使用される証明書のエイリアスを識別します。アサーティング パーティの対応する秘密キーがデータを復号します。プルダウン メニューからエイリアスを選択します。証明書データ ストアに証明書がない場合は、[インポート]をクリックして証明書をインポートできます。また、[生成]をクリックして証明書要求を生成し、これを認証機関に送信することもできます。
- ブロック アルゴリズムデータを暗号化するためのブロック暗号方法を識別します。ブロック アルゴリズムは、入力の固定ブロックをコード化します。デフォルト:3DESオプション:[3DES]、[AES-128]、[AES-256]
- キー アルゴリズム暗号化キー アルゴリズムを指定します。デフォルト:RSA-V15オプション:[RSA-V15]、[RSA-OAEP]rsa-oaep 暗号化アルゴリズムを使用するために必要な最小キー サイズは 1024 ビットです。
- 復号秘密キー エイリアス暗号化されたアサーション内のデータの復号に使用される秘密キーと関連付けられたエイリアスを指定します。プルダウン リストからエイリアスを選択します。証明書データ ストアにキーが存在しない場合は、[インポート]をクリックしてキーをインポートできます。また、[生成]をクリックしてキー/証明書要求を生成し、これを認証機関に送信することもできます。値:英数字文字列