SAML SSO ID プロバイダーの暗号化と署名のための署名キーストアのセットアップ (Washington リリースの更新を含む)DescriptionSAML SSO ID プロバイダーの暗号化と署名のために署名キーストアを設定する方法を説明します。 SAML 暗号化と署名のキーストアについては「複数プロバイダー SSO を使用した SAML 2.0 構成」のセクション 4 (オプション)[暗号化と署名] タブ で説明されています。 これを行うために提供されている2つの out of the box のキーストアがあり、UIの「x509証明書」に移動してこれらを見つけます。 (廃止されたキーストア)SAML 2.0 SP Keystore:128 ビットサポートを提供 「SAML 2.0 SP Keystore」を使用するには、「暗号化と署名」セクションで ID プロバイダーレコードを次のように設定します。 署名/暗号化キーエイリアス = saml2sp署名/暗号化キーのパスワード = saml2sp署名アルゴリズムの署名 = http://www.w3.org/2000/09/xmldsig#rsa-sha1暗号化する内容に適したチェックボックスをオンにします。 アサーションを暗号化AuthnRequest に署名LogoutRequest の署名 SAML 2.0 Keystore_Key2048_SHA256 または SAML 2.0 Keystore_Key2048_SHA256_FIPS:256 ビットのサポートを提供 この 256 ビット キーを使用するには、次の操作も行う必要があります。 [x509 証明書] リストビューから: 「SAML 2.0 SP Keystore」を設定 アクティブ = false「SAML 2.0 Keystore_Key2048_SHA256」の設定 アクティブ = true または 「SAML 2.0 Keystore_Key2048_SHA256_FIPS」の設定 アクティブ = trueシステムプロパティ glide.authenticate.sso.saml2.keystore を設定 値 = <sys_certificateテーブル内の「SAML 2.0 Keystore_Key2048_SHA256」レコードのsys_idのsys_id>(ootb sys_id 値 3685fc22930212003c5537ae867ffb91) または システムプロパティ glide.authenticate.sso.saml2.keystore を設定 値 = <sys_certificateテーブル内の「SAML 2.0 Keystore_Key2048_SHA256_FIPS」レコードのsys_id sys_id>(ootb sys_id 値 c60ad24b732220103a5b0dd43cf6a7db) 「暗号化と署名」セクションで、ID プロバイダーレコードを次のように設定します。 署名/暗号化キーエイリアス = saml2sp署名/暗号化キーのパスワード = saml2sp署名アルゴリズムの署名 = http://www.w3.org/2001/04/xmldsig-more#rsa-sha256暗号化する内容に適したチェックボックスをオンにします。 アサーションを暗号化AuthnRequest に署名LogoutRequest に署名 いずれかのキーストアを使用して上記のように IdP レコードを更新した後、IdP レコードに署名証明書を取得するには、IdP レコードから [メタデータを生成] ボタンを選択すると、署名証明書が X509Certificate XML タグに表示されます。例: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://<instance-name>.service-now.com"><SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol"><KeyDescriptor use="signing" ><ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#"><ds:X509Data><ds:X509Certificate>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</ds:X509Certificate></ds:X509Data></ds:KeyInfo></KeyDescriptor><SingleLogoutService binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" location="https://<instance-name>.service-now.com/navpage.do"/><NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat><AssertionConsumerService isDefault="true" index="0" binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" location="https://<instance-name>.service-now.com/navpage.do"/><AssertionConsumerService isDefault="false" index="1" binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" location="https://<instance-name>.service-now.com/consumer.do"/></SPSSODescriptor></EntityDescriptor> :これを PEM 証明書としてフォーマットするには (IdP で必要になる場合があります)、次の例のように <ds:X509Certificate> 値を -----BEGIN CERTIFICATE----- および -----END CERTIFICATE----- タグでカプセル化します。 -----証明書を開始します-----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-----証明書を終了----- 独自のキーストアを作成し、すぐに利用可能なバージョンを使用しないオプションもあります。以下を参照してください。 SAML のサービスプロバイダーキーストアの作成SAML 要求に署名するためのサービスプロバイダーキーストアのインストール Washington リリースの変更: 新しいシステムプロパティ「glide.authenticate.sso.saml2.encryption.keystore」が導入され、「glide.authenticate.sso.saml2.keystore」と共存します。 新しいキーストア「SAML 2.0 Keystore_Key2048_SHA256_Encryption」が提供されます。 署名/暗号化キーエイリアス = saml2sp署名/暗号化キーのパスワード = saml2sp署名アルゴリズムの署名 = http://www.w3.org/2001/04/xmldsig-more#rsa-sha256 「glide.authenticate.sso.saml2.keystore」は「glide.authenticate.sso.saml2.encryption.keystore」に置き換えられません。 ワシントンより前、署名と暗号化では、glide.authenticate.sso.saml2.keystore で指定されたものと同じ証明書が使用されます。 ワシントンへのアップグレード後、glide.authenticate.sso.saml2.keystore は証明書の署名用sys_idを格納するように設計されていますが、glide.authenticate.sso.saml2.encryption.keystore は証明書の暗号化sys_idを格納するように設計されています。デフォルトでは、glide.authenticate.sso.saml2.encryption.keystore には Washington アップグレード後に glide.authenticate.sso.saml2.keystore の値が含まれます。顧客が glide.authenticate.sso.saml2.keystore を介して既存の暗号化および署名設定を持っている場合、アップグレード中に、glide.authenticate.sso.saml2.encryption.keystore は glide.authenticate.sso.saml2.keystore 内の値をコピーします。これにより、アップグレード後も既存の機能が一貫して機能するようになります。ワシントンへのアップグレード後、お客様は glide.authenticate.sso.saml2.keystore(Signing) および glide.authenticate.sso.saml2.encryption.keystore(暗号化) 内で署名と暗号化に異なる証明書を指定し、上記の手順に従って各システムプロパティを設定し、証明書を IDP にアップロードできます。 また、次のシステムプロパティが正しく設定されていることも忘れないでください。 プロパティ名: glide.authenticate.sso.saml2.keystore Washington 前 値 = <sys_certificateテーブルからの署名/暗号化に使用されている X.509 証明書のsys_id> Washington 以降 値 = <sys_certificateテーブルからの署名のみに使用されている X.509 証明書のsys_id> プロパティ名: glide.authenticate.sso.saml2.encryption.keystore Washington での新機能 値 = <sys_certificateテーブルからの暗号化のみに使用されている X.509 証明書のsys_id>