SAML 서비스 공급자 암호화 및 서명 옵션

목차
casso128kkr
HID_sp-encryption-signing
"암호화 및 서명" 페이지에는 디지털 서명 및 암호화 구성에 대한 설정이 포함되어 있습니다.
목차
SAML 2.0 암호화 설정
"암호화" 섹션에서는 SAML 어설션에 대한 암호화를 구성할 수 있습니다. 암호화가 사용되도록 설정하는 경우 모든 특성 문을 비롯해 어설션의 모든 데이터가 암호화됩니다.
참고:
개별 특성 문만 암호화하려면 "특성" 설정으로 이동하고 특성을 선택하거나 생성한 다음 개별 특성의 "암호화됨" 확인란을 선택하십시오.
암호화 설정은 다음과 같습니다.
  • 이름 ID 암호화
    어설션의 이름 ID가 암호화되도록 지정합니다.
  • 암호화 블록 알고리즘
    암호화에 대한 블록 알고리즘을 지정합니다. 다음 알고리즘 중 하나를 선택합니다.
    • tripledes(기본값)
    • aes-128
    • aes-256
  • 어설션 암호화
    어설션 암호화가 사용되도록 설정합니다.
  • 암호화 키 알고리즘
    암호화에 대한 키 알고리즘을 지정합니다. 다음 중 하나를 선택하십시오.
    • rsa-v15(기본값)
    • rsa-oaep
      참고:
      rsa-oaep 암호화 알고리즘을 사용하기 위해 필요한 최소 메모리는 1024비트입니다.
  • 암호화 공개 키 인증서
    이 설정은 서비스 공급자의 공개 인증서 위치를 지정합니다. SAML 2.0 서명 설정
    참고:
    "이름 ID 암호화" 또는 "어설션 암호화" 옵션을 설정했거나 어설션 특성에 암호화가 필요한 경우 두 필드를 모두 완성합니다.
SAML 2.0 서명 설정
"서명" 섹션에서는 어설션 응답에 대한 디지털 서명 처리 정보를 지정할 수 있습니다.
"D-서명 정보" 설정은 다음과 같습니다.
  • 서명 처리 사용 안 함
    이 서비스 공급자에 대한 모든 서명 처리(서명 및 서명 확인)가 사용되지 않도록 설정합니다.
    참고:
    프로덕션 환경에서는 서명 처리가 필요합니다. 디버깅하려는 경우 "서명 처리 사용 안 함" 옵션을 선택하십시오.
  • 발급자 DN
    서비스 공급자에서 들어오는 SAML 메시지의 서명을 확인하는 데 사용되는 인증서 발급자의 고유 이름을 지정합니다. 이 값을 일련 번호와 함께 사용하여 인증서 데이터 저장소에서 인증서를 찾을 수 있습니다.
    중요!
    "SAML 프로필" 페이지에서 "HTTP Post" 또는 "HTTP 리디렉션" 바인딩 옵션을 선택한 경우에만 "발급자 DN" 필드가 활성화됩니다.
  • 서명된 AuthnRequest 필요
    AuthnRequest 메시지에 서명이 있어야만 아이덴티티 공급자가 요청을 수락함을 나타냅니다. 이 확인란을 선택하는 경우 아이덴티티 공급자는 원치 않는 응답을 보낼 수 없으므로 아이덴티티 공급자와 서비스 공급자 간의 트러스트가 보장됩니다.
    중요!
    이 기능이 사용되도록 설정하는 경우 AuthnRequest 서명의 유효성을 검사하기 위한 "발급자 DN" 및 "일련 번호" 설정에 데이터를 입력하십시오.
  • 일련 번호
    서비스 공급자에서 들어오는 SAML 메시지의 서명을 확인하는 데 사용되는 인증서의 일련 번호(16진수 문자열)를 지정합니다. 이 값을 발급자 DN과 함께 사용하여 인증서 데이터 저장소에서 인증서를 찾을 수 있습니다.
    중요!
    "SAML 프로필" 페이지에서 "HTTP Post" 또는"HTTP 리디렉션" 바인딩 옵션을 선택한 경우에만 "일련 번호" 필드가 활성화됩니다.
서명 옵션은 다음과 같습니다.
  • 서명 별칭
    인증서 데이터 저장소의 특성 개인 키와 연결된 별칭을 지정합니다. 별칭은 IdP가 어설션, SAML 응답, 아티팩트 응답, 특성 응답, 싱글 로그아웃 요청 및 응답에 서명하는 데 사용하는 개인 키를 나타냅니다.
    • SLO 메시지에 서명하려면 싱글 로그아웃에 대해 "HTTP-리디렉션" 옵션을 선택한 다음 이 필드와 "서명 알고리즘" 필드를 구성합니다.
    • 특성 응답에 서명하려면 "특성" 페이지에서 "특성 서비스" 설정에 대한 "서명 옵션"을 선택합니다. 또한 이 필드와 "서명 알고리즘" 필드를 구성합니다.
    참고:
    이 필드에서 개인 키 별칭을 지정하려면 먼저 인증서 데이터 저장소에 개인 키를 추가하십시오.
    제한:
    인증서 데이터 저장소의 별칭에 해당하는 영숫자 문자열.
  • 서명된 ArtifactResolve 필요
    서비스 공급자가 IdP에 메시지를 보내려면 먼저 아티팩트 확인 메시지에 서명해야 함을 나타냅니다. 아티팩트 확인 메시지는 원래 SAML 메시지를 검색하기 위해 SP가 보내는 요청입니다. 이 옵션을 선택하는 경우 서비스 공급자는 아티팩트 확인 메시지에 서명해야 하며, 그렇지 않으면 아이덴티티 공급자는 요청을 거부합니다.
    IdP가 서명된 아티팩트 확인 메시지를 요구하는 경우 서비스 공급자가 아티팩트 확인 메시지에 서명하도록 할 수 있습니다.
    참고:
    서명된 아티팩트 확인 메시지를 처리하려면 디지털 서명 처리가 사용되도록 설정합니다.
  • ArtifactResponse 서명
    아이덴티티 공급자가 아티팩트 응답에 서명해야만 응답이 서비스 공급자에게 반환됨을 나타냅니다. 아티팩트 응답에는 어설션과 함께 원래 SAML 응답이 포함됩니다.
    IdP가 아티팩트 응답에 서명하게 하려면 서비스 공급자가 서명된 응답을 수락하도록 구성합니다.
    참고:
    아티팩트 응답에 서명하려면 디지털 서명 처리가 사용되도록 설정합니다.
  • 서명 알고리즘
    디지털 서명에 대한 해시 알고리즘을 지정합니다. 응용 프로그램에 가장 적합한 알고리즘을 선택하십시오. RSAwithSHA256이 SHA1보다 결과 암호화 해시 값에 사용되는 비트 수가 많으므로 더 안전합니다.
    CA Single Sign-on
    은 선택하는 알고리즘을 모든 서명 기능에 사용합니다.
    제한:
    RSAwithSHA1, RSAwithSHA256
    기본값:
    RSAwithSHA1
  • 아티팩트 서명 옵션
    HTTP-아티팩트 싱글 사인온에 대한 인증 요청에 응답할 때 아이덴티티 공급자의 아티팩트 서명 옵션을 나타냅니다.
    제한:
    • 서명 어설션
      어설션에 서명합니다.
    • 서명 응답
      어설션을 포함하는 SAML 응답에 서명합니다.
    • 모두 서명
      어설션과 SAML 응답에 서명합니다.
    • 모두 서명 안 함
      어설션이나 SAML 응답에 서명하지 않습니다.
    기본값:
    모두 서명 안 함
  • Post 서명 옵션
    HTTP-POST 싱글 사인온에 대한 인증 요청에 응답할 때 아이덴티티 공급자의 아티팩트 서명 옵션을 나타냅니다.
    제한:
    • 서명 어설션
      어설션에 서명합니다.
    • 서명 응답
      어설션을 포함하는 SAML 응답에 서명합니다.
    • 모두 서명
      어설션과 SAML 응답에 서명합니다.
    기본값:
    서명 어설션