서명 및 암호화 대화 상자(SAML 2.0 IdP)
목차
casso127kkr
HID_asserting-partner-sig-encrypt
목차
"서명 및 암호화" 단계에서는 SAML 어설션을 서명 및 암호화하는 옵션을 구성할 수 있습니다.
서명(SAML 2.0 IdP)
"서명" 섹션에서는 어설션, 어설션 응답, 싱글 로그아웃 요청 및 싱글 로그아웃 응답에 서명하기 위한 옵션을 구성할 수 있습니다. 이 섹션에는 다음 설정이 표시됩니다.
- 서명 처리 사용 안 함설정하는 경우 파트너 관계에 대해 모든 서명 처리(서명 및 서명 확인 모두)가 사용되지 않습니다.참고:프로덕션 환경에서는 서명 처리가 사용됩니다. 디버깅하려는 경우에만 "서명 처리 사용 안 함" 설정을 사용하십시오.
- 서명 개인 키 별칭어설션 및 SLO 응답에 서명하는 데 사용되는 인증서 데이터 저장소의 개인 키와 연결된 별칭을 지정합니다. 풀다운 메뉴 목록에서 별칭을 선택하십시오. 인증서 데이터 저장소에 키가 없는 경우 "가져오기"를 클릭하여 키를 가져오십시오. 또는 "생성"을 클릭하여 인증 기관에 보낼 수 있는 키/인증서 요청을 생성하십시오.값:드롭다운 목록의 선택 항목
- 서명 알고리즘어설션, 응답 및 SLO SOAP 메시지의 디지털 서명에 대한 해시 알고리즘을 지정합니다. 응용 프로그램에 가장 적합한 알고리즘을 선택하십시오.RSAwithSHA256이 RSAwithSHA1보다 결과 암호화 해시 값에 사용되는 비트 수가 많으므로 더 안전합니다.선택하는 알고리즘은 모든 서명 기능에 사용됩니다.기본값:RSAwithSHA1옵션:RSAwithSHA1, RSAwithSHA256
- 확인 인증서 별칭서명된 인증 요청 및 SLO 응답을 확인하는 데 사용되는 인증서(공개 키)와 연결된 별칭을 식별합니다. 풀다운 메뉴 목록에서 별칭을 선택하십시오. 인증서 데이터 저장소에 인증서가 없는 경우 "가져오기"를 클릭하여 인증서를 가져오십시오. 또는 "생성"을 클릭하여 인증 기관에 보낼 수 있는 인증서 요청을 생성하십시오.값:드롭다운 목록의 선택 항목
- 보조 확인 인증서 별칭(선택 사항) 인증서 데이터 저장소의 인증서에 대한 보조 인증서 별칭을 지정합니다. 확인 인증서 별칭을 사용하여 서명된 인증 요청을 확인하지 못할 경우 IdP는 이 보조 확인 별칭을 사용합니다. 보조 별칭을 지정하면 SP가 자체 서명 인증서를 롤오버하는 경우에 유용합니다. 롤오버는 인증서가 만료되거나 개인 키가 손상되거나 개인 키 크기가 변경되는 등의 이유로 발생할 수 있습니다. 인증서 데이터 저장소에 키가 아직 없는 경우가져오기를 클릭하여 키를 가져오십시오.값:드롭다운 목록의 선택 항목활성 파트너 관계에 대해 보조 인증서가 구성되거나 업데이트되었으면 런타임에 자동으로 해당 변경 내용이 적용됩니다. UI에서 캐시를 플러시하지 않아도 변경 내용이 적용됩니다.
- 아티팩트 서명 옵션아티팩트 싱글 사인온에 대해 어설션에 서명되는지, 응답에 서명되는지 아니면 둘 모두에 서명되는지를 나타냅니다.기본값:모두 서명 안 함옵션:서명 어설션, 서명 응답, 모두 서명, 모두 서명 안 함
- POST 서명 옵션POST 싱글 사인온에 대해 어설션에 서명되는지, 응답에 서명되는지 아니면 둘 모두에 서명되는지를 나타냅니다.기본값:서명 어설션옵션:서명 어설션, 서명 응답, 모두 서명
- SLO SOAP 서명 옵션SOAP 바인딩을 사용하는 SLO에 대해 SOAP 요청에 서명되는지, 응답에 서명되는지 또는 둘 다에 서명되는지를 나타냅니다.기본값:모두 서명 안 함옵션:로그아웃 요청 서명, 로그아웃 응답 서명, 모두 서명, 모두 서명 안 함
- 서명된 인증 요청 필요신뢰 당사자가 보내는 인증 요청 메시지에 서명됨을 나타냅니다. 그렇지 않으면 어설션 당사자가 요청을 수락하지 않습니다.
- 서명된 ArtifactResolve 필요아이덴티티 공급자에 메시지를 보내려면 먼저 서비스 공급자가 아티팩트 확인 메시지에 서명을 해야 함을 나타냅니다. 아티팩트 확인 메시지는 원래 SAML 메시지를 검색하기 위해 SP가 보내는 요청입니다. 이 옵션을 선택하는 경우 서비스 공급자는 아티팩트 확인 메시지에 서명해야 하며, 그렇지 않으면 아이덴티티 공급자는 요청을 거부합니다.아이덴티티 공급자가 서명된 아티팩트 확인 메시지를 요구하는 경우 서비스 공급자가 아티팩트 확인 메시지에 서명하도록 할 수 있습니다.참고:서명된 아티팩트 확인 메시지를 처리하려면 디지털 서명 처리가 사용되도록 설정합니다.
- ArtifactResponse 서명아이덴티티 공급자가 아티팩트 응답에 서명해야만 응답이 서비스 공급자에게 반환됨을 나타냅니다. 아티팩트 응답에는 어설션과 함께 원래 SAML 응답이 포함됩니다.아이덴티티 공급자가 아티팩트 응답에 서명하게 하려면 서비스 공급자가 서명된 응답을 수락하도록 구성합니다.참고:아티팩트 응답에 서명하려면 디지털 서명 처리가 사용되도록 설정합니다.
암호화(SAML 2.0 SP)
"암호화" 섹션에서는 SAML 어설션에 대한 암호화를 지정할 수 있습니다. 이 섹션에는 다음 설정이 표시됩니다.
- 암호화 옵션이름 ID 및 전체 어설션을 암호화할지 여부를 선택할 수 있습니다.옵션:이름 ID 암호화, 어설션 암호화참고: "어설션 암호화"를 선택하는 경우 "POST 서명" 및/또는 "아티팩트 서명"을서명 응답또는모두 서명으로 설정하는 것이 좋습니다.
- SOAP를 통한 SLO 옵션SOAP 메시지에서 이름 ID를 암호화해야 하는지 아니면 수신한 모든 SOAP 메시지에 암호화된 이름 ID가 포함되어 있어야 하는지를 나타냅니다.옵션:SOAP 메시지에서 이름 ID 암호화, SOAP 메시지에서 암호화된 이름 ID 필요
- 암호화 인증서 별칭어설션 데이터를 암호화하는 데 사용되는 인증서 별칭을 식별합니다. 신뢰 당사자의 해당하는 개인 키는 데이터 암호를 해독합니다. 풀다운 메뉴에서 별칭을 선택하십시오. 인증서 데이터 저장소에 인증서가 없는 경우 "가져오기"를 클릭하여 인증서를 가져옵니다. 또는 "생성"을 클릭하여 인증 기관에 보낼 수 있는 인증서 요청을 생성합니다.
- 블록 알고리즘데이터를 암호화하기 위한 블록 암호화 방법을 식별합니다. 블록 알고리즘은 입력에 대한 고정 블록을 코딩합니다.기본값:3DES옵션:3DES, AES-128, AES-256
- 키 알고리즘암호화에 대한 키 알고리즘을 지정합니다.기본값:RSA-V15옵션:RSA-V15, RSA-OAEP참고:rsa-oaep 암호화 알고리즘을 사용하기 위해 필요한 최소 키 크기는 1024비트입니다.
- 암호 해독 개인 키 별칭신뢰 당사자로부터 받은 AuthnRequest 메시지의 암호화된 데이터를 암호 해독하기 위한 키를 지정합니다. 인증서 데이터 저장소에 키가 없는 경우 "가져오기"를 클릭하여 키를 가져오십시오. 또는 "생성"을 클릭하여 인증 기관에 보낼 수 있는 요청을 생성합니다.기본값:RSA-V15옵션:RSA-V15, RSA-OAEP