SAML 2.0 認証方式の暗号化および署名

目次
casso1283
HID_saml2-auth-encryption-signing
目次
[暗号化]および[署名]ダイアログ ボックスでは、サービス プロバイダがアサーションを受信したときの暗号化要件を設定します。このページではまた、認証リクエストに対する署名設定およびシングル ログアウト リクエストおよびレスポンスを指定できます。最後に、HTTP Artifact シングル サインオンおよび属性クエリ処理用のバックチャネルに対する保護を指定します。
SAML 2.0 認証方式 - 暗号化
  • 暗号化
    サービス プロバイダのアサーションの受け入れに対する要件を示します。フィールドは以下のとおりです。
    • 暗号化した名前 ID が必要
      アサーションでの名前 ID が暗号化される必要があることを示します。名前 ID が暗号化されない場合、アサーションは拒否されます。
    • 暗号化したアサーションが必要
      アサーション全体が暗号化される必要があることを示します。アサーションが暗号化されない場合、拒否されます。
SAML 2.0 認証方式 -- 復号秘密キー
  • 復号秘密キー
    アサーション データを復号する秘密キーを指定します。
    • エイリアス
      サービス プロバイダが暗号化されたアサーション データを復号するために使用する秘密キーのエイリアスを指定します。秘密キーが証明書データ ストアに存在する必要があります。
SAML 2.0 認証方式 -- デジタル署名情報
デジタル署名情報
デジタル署名情報を指定するのを可能にするフィールドおよびコントロールが含まれます。デジタル署名情報は以下の機能で必要です。
  • シングル サインオン用の HTTP-POST プロファイル
  • シングル ログアウト リクエスト/レスポンス
  • 署名された認証リクエスト
  • 属性クエリ
セクション内のフィールドは以下のとおりです。
  • 署名の処理を無効にする
    このサービス プロバイダに対するすべての署名処理、つまり署名および署名の検証を無効にします。
    実稼働環境では署名処理が必要です。デバッグ目的でのみ[署名の処理を無効にする]オプションを選択します。
  • 署名オプション
    デジタル署名設定でのダイアログ ボックス、特に[署名エイリアス]および[署名アルゴリズム]を表示します。
  • 発行者 DN
    ID プロバイダからのメッセージの署名検証に対して使用される、証明書発行者の識別名を指定します。この値は、証明書データ ストア内の証明書を検出するためにシリアル番号と共に使用されます。
    このフィールドは、シングル サインオンに対する HTTP Post またはシングル ログアウトに対する HTTP リダイレクトが設定される場合にのみ有効になります。署名処理が無効な場合、このフィールドは非アクティブです。
  • シリアル番号
    ID プロバイダからのメッセージの署名検証に対して使用される証明書のシリアル番号(16 進文字列)を指定します。この値は、証明書データ ストア内の証明書を見付けるため発行者 DN と共に使用されます。
    注:
    このフィールドは、シングル サインオンに対する HTTP Post またはシングル ログアウトに対する HTTP リダイレクトが設定される場合にのみ有効になります。署名処理が無効な場合、このフィールドは非アクティブです。
SAML 2.0 認証方式 -- 署名処理
[署名処理]セクションは、デジタル署名に対する署名エイリアスおよびハッシュ アルゴリズムを指定します。このセクションには以下の設定項目があります。
  • 署名エイリアス
    証明書データ ストアで特定の秘密キーと関連付けられるエイリアスを指定します。エイリアスは、サービス プロバイダが AuthnRequest メッセージ、シングル ログアウト リクエストおよびレスポンス、および IdP に送信する属性クエリに署名するために使用する秘密キーを示しています。
    [署名エイリアス]フィールドに入力する前に、以下のタスクの 1 つ以上を実行します。
    • AuthnRequest に署名するには、SSO タブ上の SignAuthnRequests チェック ボックスをオンにし、次に、[署名エイリアス]および[署名アルゴリズム]フィールドに入力します。
    • SLO メッセージに署名するには、[SLO]タブ上の [HTTP-Redirect]チェック ボックスをオンにし、次に、[署名エイリアス]および[署名アルゴリズム]フィールドに入力します。
    • 属性クエリに署名するには、[属性]タブ上の[属性クエリの署名]を選択し、[署名エイリアス]および[署名アルゴリズム]フィールドに入力します。
    このフィールドで関連するエイリアスを指定する前に、キー データベースに秘密キーを追加します。
    値:
    証明書データ ストア内の既存のエイリアスを識別する英数字文字列。
  • 署名アルゴリズム
    デジタル署名用のハッシュ アルゴリズムを指定します。最も用途に適したアルゴリズムを選択してください。RSAwithSHA256 は、暗号化ハッシュ値に使用されるビット数が多いため、SHA1 より安全です。
    SiteMinder
    では、選択したアルゴリズムがすべての署名機能に使用されます。
    オプション:
    [RSAwithSHA1]、[RSAwithSHA256]
    デフォルト:
    RSAwithSHA1
SAML 2.0 認証方式 - バックチャネル
[バックチャネル]セクションでは、セキュアなバックチャネルの構成を定義します。バックチャネルには 2 つの機能があります。
  • サービス プロバイダおよび ID プロバイダ間のシングル サインオン。
  • SAML リクエスタと属性権限の間の属性クエリおよびレスポンス。
以下の必須フィールドは、両方の目的に対して同じ機能を持ちます。
  • Authentication
    バックチャネルにわたって使用される認証メソッドを指定します。認証方式は、サービス プロバイダがアサーションを取得するために ID プロバイダに提示する必要があるクレデンシャルのタイプを決定します。
    以下のオプションがあります。
    • クライアント証明書
      Artifact 解決サービスまたは属性サービスがレルムの一部であることを示します。X.509 クライアント証明書認証方式はこのレルムを保護します。このオプションを選択する場合は、クライアント証明書を使用して、Artifact 解決サービスへのアクセスを設定します。
      [SP 名]フィールドで、[一般]設定から SP ID の値を入力します。SP 名およびパスワードはアサーションを取得するためにサービス プロバイダが示す必要があるクレデンシャルです。これらのクレデンシャルはキー ストア内での証明書の検索に使用されます。
      アイデンティティ プロバイダの管理者は、クライアント証明書認証方式を使用して Artifact 解決サービスを保護する必要があります。
      ポリシー サーバが FIPS 専用モードで作動している場合にも、FIPS 140 以外で暗号化された証明書を使用してバックチャネル セキュリティのセキュリティを保護することができます。ただし、FIPS のみのインストールは、FIPS 140 と互換性を持つアルゴリズムで暗号化された証明書のみを使用します。
    • 基本
      シングル サインオンまたは属性サービスがレルムの一部であることを示します。[基本]または[SSL を介した基本]認証方式はこのレルムを保護します。
      (デフォルト)このオプションを選択すると、残りの必須フィールドの入力以外は追加の設定は必要ありません。[SP 名]フィールドで、[一般]設定から SP ID の値を入力します。SP 名およびパスワードはアサーションを取得するためにサービス プロバイダが示す必要があるクレデンシャルです。
      SSL を介した基本を使用するには、SSL 接続の有効化に使用された認証機関の証明書が、証明書データ ストア内に存在する必要があります。これ以外の場合は、証明書データ ストアへ証明書をインポートします。
    • 認証なし
      シングル サインオンまたは[属性サービス]が保護されないことを示します。このオプションを選択する場合、認証は必要ではありません。
  • Password
    ID プロバイダまたは属性権限がバックチャネルを通してサービス プロバイダまたは SAML リクエスタにアクセスするために使用するパスワードを指定します。3 から 255 文字の有効な文字列を入力します。
  • SP 名
    サービス プロバイダ オブジェクトを識別します。この名前は、ID プロバイダまたは属性機関で指定されている、サービス プロバイダ名または SAML リクエスタ名と一致する必要があります。
    バックチャネルに対する認証方式として基本認証を使用している場合、このフィールドの値はサービス プロバイダの名前です。クライアント証明書認証を使用している場合、SP 名は、証明書データ ストア内のクライアント証明書のエイリアスである必要があります。
  • パスワードの確認入力
    [パスワード]フィールドのエントリを確認します。