SAML 서비스 공급자 암호화 및 서명 옵션
목차
casso128kkr
HID_sp-encryption-signing
목차
SAML 2.0 암호화 설정
"암호화" 섹션에서는 SAML 어설션에 대한 암호화를 구성할 수 있습니다. 암호화가 사용되도록 설정하는 경우 모든 특성 문을 비롯해 어설션의 모든 데이터가 암호화됩니다.
참고:
개별 특성 문만 암호화하려면 "특성" 설정으로 이동하고 특성을 선택하거나 생성한 다음 개별 특성의 "암호화됨" 확인란을 선택하십시오.암호화 설정은 다음과 같습니다.
- 이름 ID 암호화어설션의 이름 ID가 암호화되도록 지정합니다.
- 암호화 블록 알고리즘암호화에 대한 블록 알고리즘을 지정합니다. 다음 알고리즘 중 하나를 선택합니다.
- tripledes(기본값)
- aes-128
- aes-256
- 어설션 암호화어설션 암호화가 사용되도록 설정합니다.
- 암호화 키 알고리즘암호화에 대한 키 알고리즘을 지정합니다. 다음 중 하나를 선택하십시오.
- rsa-v15(기본값)
- rsa-oaep참고:rsa-oaep 암호화 알고리즘을 사용하기 위해 필요한 최소 메모리는 1024비트입니다.
- 암호화 공개 키 인증서이 설정은 서비스 공급자의 공개 인증서 위치를 지정합니다. SAML 2.0 서명 설정참고:"이름 ID 암호화" 또는 "어설션 암호화" 옵션을 설정했거나 어설션 특성에 암호화가 필요한 경우 두 필드를 모두 완성합니다.
SAML 2.0 서명 설정
"서명" 섹션에서는 어설션 응답에 대한 디지털 서명 처리 정보를 지정할 수 있습니다.
"D-서명 정보" 설정은 다음과 같습니다.
- 서명 처리 사용 안 함이 서비스 공급자에 대한 모든 서명 처리(서명 및 서명 확인)가 사용되지 않도록 설정합니다.참고:프로덕션 환경에서는 서명 처리가 필요합니다. 디버깅하려는 경우 "서명 처리 사용 안 함" 옵션을 선택하십시오.
- 발급자 DN서비스 공급자에서 들어오는 SAML 메시지의 서명을 확인하는 데 사용되는 인증서 발급자의 고유 이름을 지정합니다. 이 값을 일련 번호와 함께 사용하여 인증서 데이터 저장소에서 인증서를 찾을 수 있습니다.중요!"SAML 프로필" 페이지에서 "HTTP Post" 또는 "HTTP 리디렉션" 바인딩 옵션을 선택한 경우에만 "발급자 DN" 필드가 활성화됩니다.
- 서명된 AuthnRequest 필요AuthnRequest 메시지에 서명이 있어야만 아이덴티티 공급자가 요청을 수락함을 나타냅니다. 이 확인란을 선택하는 경우 아이덴티티 공급자는 원치 않는 응답을 보낼 수 없으므로 아이덴티티 공급자와 서비스 공급자 간의 트러스트가 보장됩니다.중요!이 기능이 사용되도록 설정하는 경우 AuthnRequest 서명의 유효성을 검사하기 위한 "발급자 DN" 및 "일련 번호" 설정에 데이터를 입력하십시오.
- 일련 번호서비스 공급자에서 들어오는 SAML 메시지의 서명을 확인하는 데 사용되는 인증서의 일련 번호(16진수 문자열)를 지정합니다. 이 값을 발급자 DN과 함께 사용하여 인증서 데이터 저장소에서 인증서를 찾을 수 있습니다.중요!"SAML 프로필" 페이지에서 "HTTP Post" 또는"HTTP 리디렉션" 바인딩 옵션을 선택한 경우에만 "일련 번호" 필드가 활성화됩니다.
서명 옵션은 다음과 같습니다.
- 서명 별칭인증서 데이터 저장소의 특성 개인 키와 연결된 별칭을 지정합니다. 별칭은 IdP가 어설션, SAML 응답, 아티팩트 응답, 특성 응답, 싱글 로그아웃 요청 및 응답에 서명하는 데 사용하는 개인 키를 나타냅니다.
- SLO 메시지에 서명하려면 싱글 로그아웃에 대해 "HTTP-리디렉션" 옵션을 선택한 다음 이 필드와 "서명 알고리즘" 필드를 구성합니다.
- 특성 응답에 서명하려면 "특성" 페이지에서 "특성 서비스" 설정에 대한 "서명 옵션"을 선택합니다. 또한 이 필드와 "서명 알고리즘" 필드를 구성합니다.
참고:이 필드에서 개인 키 별칭을 지정하려면 먼저 인증서 데이터 저장소에 개인 키를 추가하십시오.제한:인증서 데이터 저장소의 별칭에 해당하는 영숫자 문자열. - 서명된 ArtifactResolve 필요서비스 공급자가 IdP에 메시지를 보내려면 먼저 아티팩트 확인 메시지에 서명해야 함을 나타냅니다. 아티팩트 확인 메시지는 원래 SAML 메시지를 검색하기 위해 SP가 보내는 요청입니다. 이 옵션을 선택하는 경우 서비스 공급자는 아티팩트 확인 메시지에 서명해야 하며, 그렇지 않으면 아이덴티티 공급자는 요청을 거부합니다.IdP가 서명된 아티팩트 확인 메시지를 요구하는 경우 서비스 공급자가 아티팩트 확인 메시지에 서명하도록 할 수 있습니다.참고:서명된 아티팩트 확인 메시지를 처리하려면 디지털 서명 처리가 사용되도록 설정합니다.
- ArtifactResponse 서명아이덴티티 공급자가 아티팩트 응답에 서명해야만 응답이 서비스 공급자에게 반환됨을 나타냅니다. 아티팩트 응답에는 어설션과 함께 원래 SAML 응답이 포함됩니다.IdP가 아티팩트 응답에 서명하게 하려면 서비스 공급자가 서명된 응답을 수락하도록 구성합니다.참고:아티팩트 응답에 서명하려면 디지털 서명 처리가 사용되도록 설정합니다.
- 서명 알고리즘디지털 서명에 대한 해시 알고리즘을 지정합니다. 응용 프로그램에 가장 적합한 알고리즘을 선택하십시오. RSAwithSHA256이 SHA1보다 결과 암호화 해시 값에 사용되는 비트 수가 많으므로 더 안전합니다.CA Single Sign-on은 선택하는 알고리즘을 모든 서명 기능에 사용합니다.제한:RSAwithSHA1, RSAwithSHA256기본값:RSAwithSHA1
- 아티팩트 서명 옵션HTTP-아티팩트 싱글 사인온에 대한 인증 요청에 응답할 때 아이덴티티 공급자의 아티팩트 서명 옵션을 나타냅니다.제한:
- 서명 어설션어설션에 서명합니다.
- 서명 응답어설션을 포함하는 SAML 응답에 서명합니다.
- 모두 서명어설션과 SAML 응답에 서명합니다.
- 모두 서명 안 함어설션이나 SAML 응답에 서명하지 않습니다.
기본값:모두 서명 안 함 - Post 서명 옵션HTTP-POST 싱글 사인온에 대한 인증 요청에 응답할 때 아이덴티티 공급자의 아티팩트 서명 옵션을 나타냅니다.제한:
- 서명 어설션어설션에 서명합니다.
- 서명 응답어설션을 포함하는 SAML 응답에 서명합니다.
- 모두 서명어설션과 SAML 응답에 서명합니다.
기본값:서명 어설션