SAML 2.0 인증 체계 암호화 및 서명
목차
casso128kkr
HID_saml2-auth-encryption-signing
목차
"암호화 및 서명" 대화 상자에서는 서비스 공급자가 어설션을 수신할 때 서비스 공급자 암호화 요구 사항을 구성합니다. 또한 이 페이지에서는 인증 요청과 싱글 로그아웃 요청 및 응답에 대한 서명 구성도 지정할 수 있습니다. 마지막으로 HTTP 아티팩트 Single Sign-On 및 특성 쿼리 처리를 위해 백 채널에 대한 보호를 지정합니다.
SAML 2.0 인증 체계--암호화
- 암호화서비스 공급자가 어설션을 수락하기 위한 요구 사항을 나타냅니다. 필드는 다음과 같습니다.
- 암호화된 이름 ID 필요어설션의 이름 ID를 암호화해야 함을 나타냅니다. 이름 ID가 암호화되지 않으면 어설션이 거부됩니다.
- 암호화된 어설션 필요전체 어설션을 암호화해야 함을 나타냅니다. 어설션이 암호화되지 않으면 거부됩니다.
SAML 2.0 인증 체계--암호 해독 개인 키
- 암호 해독 개인 키어설션 데이터의 암호를 해독하는 개인 키를 지정합니다.
- 별칭서비스 공급자가 암호화된 어설션 데이터의 암호를 해독하는 데 사용하는 개인 키의 별칭을 지정합니다. 개인 키는 인증서 데이터 저장소에 있어야 합니다.
SAML 2.0 인증 체계--디지털 서명 정보
D-서명 정보
디지털 서명 정보를 지정할 수 있는 필드와 컨트롤을 포함합니다. 디지털 서명 정보는 다음 기능에 필요합니다.
- Single Sign-On에 대한 HTTP-POST 프로필
- 싱글 로그아웃 요청/응답
- 서명된 인증 요청
- 특성 쿼리
이 섹션의 필드는 다음과 같습니다.
- 서명 처리 사용 안 함이 서비스 공급자에 대한 모든 서명 처리 즉, 서명 및 서명 확인이 사용되지 않도록 설정합니다.참고:프로덕션 환경에서는 서명 처리가 필요합니다. 디버깅하려는 경우에만 "서명 처리 사용 안 함" 옵션을 선택하십시오.
- 서명 옵션디지털 서명 구성을 위한 설정 특히 "서명 별칭" 및 "서명 알고리즘"이 포함된 대화 상자를 표시합니다.
- 발급자 DN아이덴티티 공급자에서 들어오는 메시지의 서명 확인에 사용되는 인증서 발급자의 고유 이름을 지정합니다. 이 값을 일련 번호와 함께 사용하여 인증서 데이터 저장소에서 인증서를 찾을 수 있습니다.참고:이 필드는 Single Sign-On에 대해 HTTP Post를 구성하거나 싱글 로그아웃에 대해 HTTP 리디렉션을 구성한 경우에만 사용할 수 있습니다. 서명 처리를 사용할 수 없는 경우 이 필드는 비활성화됩니다.
- 일련 번호아이덴티티 공급자에서 들어오는 메시지의 서명 확인에 사용되는 인증서의 일련 번호(16진수 문자열)를 지정합니다. 이 값을 발급자 DN과 함께 사용하여 인증서 데이터 저장소에서 인증서를 찾을 수 있습니다.참고:이 필드는 Single Sign-On에 대해 HTTP Post를 구성하거나 싱글 로그아웃에 대해 HTTP 리디렉션을 구성한 경우에만 사용할 수 있습니다. 서명 처리를 사용할 수 없는 경우 이 필드는 비활성화됩니다.
SAML 2.0 인증 체계--서명 처리
"서명 처리" 섹션에서는 디지털 서명에 대한 서명 별칭 및 해시 알고리즘을 지정합니다. 이 섹션에는 다음 설정이 포함되어 있습니다.
- 서명 별칭인증서 데이터 저장소의 특성 개인 키와 연결된 별칭을 지정합니다. 별칭은 서비스 공급자가 IdP로 보내는 AuthnRequest 메시지, 싱글 로그아웃 요청 및 응답, 특성 쿼리 등에 서명하는 데 사용하는 개인 키입니다."서명 별칭" 필드를 완성하기 전에 다음 태스크 중 하나 이상을 완료하십시오.
- AuthnRequest에 서명하려면 "SSO" 탭에서 "인증 요청 서명" 확인란을 선택한 다음 "서명 별칭" 및 "서명 알고리즘" 필드를 완성하십시오.
- SLO 메시지에 서명하려면 "SLO" 탭에서 "HTTP-리디렉션" 확인란을 선택한 다음 "서명 별칭" 및 "서명 알고리즘" 필드를 완성하십시오.
- 특성 쿼리에 서명하려면 "특성" 탭에서 "서명 특성 쿼리"를 선택한 다음 "서명 별칭" 및 "서명 알고리즘" 필드를 완성하십시오.
참고:키 데이터베이스에 개인 키를 추가한 다음에 이 필드에 관련 별칭을 지정하십시오.값:인증서 데이터 저장소의 기존 별칭을 식별하는 영숫자 - 서명 알고리즘디지털 서명에 대한 해시 알고리즘을 지정합니다. 응용 프로그램에 가장 적합한 알고리즘을 선택하십시오. RSAwithSHA256이 SHA1보다 암호화 해시 값에 사용되는 비트 수가 많으므로 더 안전합니다.CA Single Sign-on은 선택하는 알고리즘을 모든 서명 기능에 사용합니다.옵션:RSAwithSHA1, RSAwithSHA256기본값:RSAwithSHA1
SAML 2.0 인증 체계--백 채널
"백 채널" 섹션에서는 보안 백 채널에 대한 구성을 정의합니다. 백 채널에는 다음 두 가지 기능이 있습니다.
- 서비스 공급자와 아이덴티티 공급자 간의 Single Sign-On
- SAML 요청자와 특성 기관 간의 특성 쿼리 및 응답
아래의 필수 필드는 다음과 같은 두 가지 용도로 동일하게 기능합니다.
- 인증백 채널에서 사용되는 인증 방법을 지정합니다. 인증 체계에 따라 서비스 공급자가 어설션을 검색하기 위해 아이덴티티 공급자에 제공해야 하는 자격 증명 유형이 결정됩니다.옵션은 다음과 같습니다.
- 클라이언트 인증서아티팩트 레졸루션 서비스 또는 특성 서비스가 영역의 일부임을 나타냅니다. X.509 클라이언트 인증서 인증 체계가 이 영역을 보호합니다. 이 옵션을 선택하는 경우 클라이언트 인증서를 사용하여 아티팩트 레졸루션 서비스에 대한 액세스를 구성하십시오."SP 이름" 필드에 "일반" 설정의 SP ID 값을 입력하십시오. SP 이름 및 암호는 서비스 공급자가 어설션을 검색하기 위해 제공해야 하는 자격 증명입니다. 이러한 자격 증명은 키 저장소에서 인증서를 조회하는 데 사용됩니다.참고:아이덴티티 공급자의 관리자는 클라이언트 인증서 인증 체계를 사용하여 아티팩트 레졸루션 서비스를 보호해야 합니다.정책 서버가 FIPS 전용 모드로 작동하고 있는 경우에도 비 FIPS 140으로 암호화된 인증서를 사용하여 백 채널의 보안을 유지할 수 있습니다. 그러나 FIPS 전용 설치의 경우 FIPS 140 호환 알고리즘으로 암호화된 인증서만 사용하십시오.
- 기본Single Sign-On 또는 특성 서비스가 영역의 일부임을 나타냅니다. 기본 또는 SSL을 통한 기본 인증 체계가 이 영역을 보호합니다.(기본값) 이 옵션을 선택하는 경우 나머지 필수 필드를 완성하는 것 외의 추가 구성이 필요하지 않습니다. "SP 이름" 필드에 "일반" 설정의 SP ID 값을 입력하십시오. SP 이름 및 암호는 서비스 공급자가 어설션을 검색하기 위해 제공해야 하는 자격 증명입니다.SSL을 통한 기본 인증을 사용하려면 SSL 연결을 활성화하는 데 사용된 인증 기관 인증서가 인증서 데이터 저장소에 있어야 합니다. 그렇지 않으면 인증서를 인증서 데이터 저장소로 가져오십시오.
- 인증 없음Single Sign-On 또는 특성 서비스가 보호되지 않음을 나타냅니다. 이 옵션을 선택하면 인증이 필요하지 않습니다.
- 암호아이덴티티 공급자 또는 특성 기관이 백 채널을 통해 서비스 공급자 또는 SAML 요청자에 액세스하는 데 사용하는 암호를 지정합니다. 3~255자의 유효한 문자열을 입력하십시오.
- SP 이름서비스 공급자 개체를 식별합니다. 이 이름은 아이덴티티 공급자 또는 특성 기관에서 지정된 서비스 공급자 또는 SAML 요청자 이름과 일치해야 합니다.백 채널에 대한 인증 체계로 기본 인증을 사용하는 경우 이 필드의 값은 서비스 공급자의 이름입니다. 클라이언트 인증서 인증을 사용하는 경우 SP 이름은 인증서 데이터 저장소에 있는 클라이언트 인증서의 별칭이어야 합니다.
- 암호 확인"암호" 필드의 항목을 확인합니다.