SAML サービス プロバイダ暗号化および署名オプション

目次
casso1283
HID_sp-encryption-signing
[暗号化および署名]ページには、デジタル署名および暗号化の設定が含まれます。
目次
SAML 2.0 暗号化設定
[暗号化]セクションでは、SAML アサーションの暗号化を設定できます。暗号化を有効にすると、すべての属性ステートメントを含めた、アサーション内のすべてのデータが暗号化されます。
個別の属性ステートメントのみを暗号化するには、[属性]設定で属性を選択または作成し、個別の属性に対して[暗号化済み]チェック ボックスを選択します。
暗号化設定は以下のとおりです。
  • 名前 ID の暗号化
    アサーション内の名前 ID が暗号化されることを指定します。
  • 暗号化ブロック アルゴリズム
    暗号化のブロック アルゴリズムを指定します。以下のいずれかのアルゴリズムを選択します。
    • tripledes(デフォルト)
    • aes-128
    • aes-256
  • アサーションの暗号化
    アサーションの暗号化を有効にします。
  • 暗号化キー アルゴリズム
    暗号化キー アルゴリズムを指定します。以下のいずれかを選択します。
    • rsa-v15(デフォルト)
    • rsa-oaep
      rsa-oaep 暗号化アルゴリズムを使用するのに必要な最小メモリは 1024 ビットです。
  • 暗号化公開キー証明書
    これらの設定は、サービス プロバイダ SAML 2.0 の署名設定の公開証明書の場所を指定します。
    [名前 ID の暗号化]または[アサーションの暗号化]オプションが設定されるか、いずれかのアサーション属性が暗号化を必要とする場合、両方のフィールドに入力します。
SAML 2.0 署名設定
[署名]セクションでは、アサーション レスポンスに対してデジタル署名処理情報を指定することができます。
D-Sig Info 設定は以下のとおりです。
  • 署名の処理を無効にする
    このサービス プロバイダに対するすべての署名処理(署名および署名の検証)を無効にします。
    実稼働環境では署名処理が必要です。デバッグに対して[署名の処理を無効にする]オプションを選択します。
  • 発行者 DN
    サービス プロバイダから来る SAML メッセージの署名を確認するために使用される証明書の発行者の識別名を指定します。この値は、証明書データ ストア内の証明書を検出するためにシリアル番号と共に使用されます。
    [発行者 DN]フィールドは、HTTP Post または HTTP リダイレクト バインディング オプションが[SAML プロファイル]ページ上で設定されるときにのみ有効です。
  • 署名された認証リクエストが必要
    AuthnRequest メッセージが、リクエストを受け入れるために ID プロバイダに署名する必要があることを示します。このチェック ボックスをオンにすると、ID プロバイダは未承認応答を送信することができず、ID プロバイダとサービス プロバイダ間の信頼が確保されます。
    この機能を有効にする場合、[発行者 DN]および[シリアル番号]設定に入力して、AuthnRequest の署名を検証します。
  • シリアル番号
    サービス プロバイダから来る SAML メッセージの署名を確認するために使用される証明書のシリアル番号(16 進の文字列)を指定します。この値は、証明書データ ストア内の証明書を見付けるため発行者 DN と共に使用されます。
    [シリアル番号]フィールドは、HTTP Post または HTTP リダイレクト バインディング オプションが[SAML プロファイル]ページ上で設定されるときにのみ有効です。
使用可能なオプションは以下のとおりです。
  • 署名エイリアス
    証明書データ ストアで特定の秘密キーと関連付けられるエイリアスを指定します。エイリアスは、アサーション、SAML レスポンス、Artifact レスポンス、属性レスポンス、シングル ログアウト リクエスト、およびレスポンスの署名に IdP がどの秘密キーを使用するかを示します。
    • SLO メッセージに署名するには、シングル ログアウトに対して[HTTP-Redirect]オプションを選択し、このフィールドと[署名アルゴリズム]フィールドを設定します。
    • 属性レスポンスに署名するには、[属性]ページ上で[属性サービス]設定に対して[署名オプション]を選択します。さらに、このフィールドおよび[署名アルゴリズム]フィールドを設定します。
    このフィールドで関連エイリアスを指定する前に、秘密キーを証明書データ ストアに追加します。
    制限:
    証明書データ ストア内のエイリアスに対応する英数字の文字列です。
  • 署名された ArtifactResolve が必要
    メッセージを IdP に送る前に、サービス プロバイダが Artifact 解決メッセージに署名する必要があることを示します。Artifact 解決メッセージは、元の SAML メッセージを取得するための SP からのリクエストです。このオプションを選択する場合、サービス プロバイダは Artifact 解決メッセージに署名する必要があります。これ以外の場合は ID プロバイダはリクエストを拒否します。
    IdP が署名済みの Artifact 解決メッセージを必要とする場合、サービス プロバイダが Artifact 解決メッセージに署名するために有効化されます。
    デジタル署名処理は、署名済みの Artifact 解決メッセージを処理するために有効化されます。
  • ArtifactResponse への署名
    サービス プロバイダに返す前に、ID プロバイダが Artifact レスポンスに署名する必要があることを示します。Artifact レスポンスには、アサーションを伴う元の SAML レスポンスが含まれます。
    IdP が Artifact レスポンスに署名することが必要な場合、サービス プロバイダは署名されたレスポンスを受け入れるように設定されます。
    デジタル署名処理は、Artifact レスポンスに署名するために有効化されます。
  • 署名アルゴリズム
    デジタル署名用のハッシュ アルゴリズムを指定します。最も用途に適したアルゴリズムを選択してください。RSAwithSHA256 は、結果として生成される暗号化ハッシュ値に使用されるビット数が多いため、SHA1 より安全です。
    SiteMinder
    では、選択したアルゴリズムがすべての署名機能に使用されます。
    制限:
    RSAwithSHA1、RSAwithSHA256
    デフォルト:
    RSAwithSHA1
  • Artifact 署名オプション
    HTTP-Artifact シングル サインオンに対する認証リクエストに応答する場合に ID プロバイダの Artifact 署名オプションを示します。
    制限:
    • アサーションに署名
      アサーションに署名します。
    • レスポンスに署名
      アサーションが含まれる SAML レスポンスに署名します。
    • 両方に署名
      アサーションおよび SAML レスポンスに署名します。
    • どちらにも署名しない
      アサーションにも SAML レスポンスにも署名しません。
    デフォルト:
    どちらにも署名しない
  • POST 署名オプション
    HTTP-POST シングル サインオンへの認証リクエストに対して応答する場合の ID プロバイダ署名のポスト署名オプションを示します。
    制限:
    • アサーションに署名
      アサーションに署名します。
    • レスポンスに署名
      アサーションが含まれる SAML レスポンスに署名します。
    • 両方に署名
      アサーションおよび SAML レスポンスに署名します。
    デフォルト:
    アサーションの署名