SAML SSO 暗号化と署名用の署名キーストアの構成Issue <!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #00718f; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } この記事では、ベースシステムのキーストアまたはカスタムキーストアを使用して、SAML SSO ID プロバイダー構成で暗号化および署名用の署名キーストアを構成する方法について説明します。 ServiceNow は、SAML 暗号化と署名用の 2 つのベースシステムキーストアを提供します。詳細な構成情報については、「 SAML 2.0 configuration using Multi-Provider SSO (複数プロバイダー SSO を使用した SAML 2.0 構成)」を参照してください。 Release<!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #00718f; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } サポートされているすべてのリリース。Washington DC 以降では、署名キーストアと暗号化キーストアを分離します Resolution<!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #00718f; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } 利用可能なキーストアを表示するには、[ X.509 証明書 リストビューに移動します。次の 2 つの基本システムキーストアを使用できます。 SAML 2.0 SP キーストア (使用廃止) このキーストアは 128 ビットをサポートしますが、現在は廃止されました。 このキーストアを使用するには、[暗号化と署名] セクションで ID プロバイダーレコードを設定します。 [署名/暗号化キーのエイリアス] を saml2sp に設定します。[署名/暗号化キーのパスワード] を saml2sp に設定します。[署名アルゴリズムの署名] を [ http://www.w3.org/2000/09/xmldsig#rsa-sha1] に設定します。要件に基づいて適切なチェックボックスを選択します。 アサーションを暗号化AuthnRequest に署名LogoutRequest の署名 [保存] を選択します。 SAML 2.0 Keystore_Key2048_SHA256 SAML 2.0 Keystore_Key2048_SHA256 または SAML 2.0 Keystore_Key2048_SHA256_FIPS キーストアは 256 ビットをサポートします。 この 256 ビットキーストアを使用するには: [X.509 証明書] リストビューから: [SAML 2.0 SP Keystore Active (SAML 2.0 SP キーストアアクティブ)] を false に設定します。SAML 2.0 Keystore_Key2048_SHA256アクティブを true に設定するか、 または SAML 2.0 Keystore_Key2048_SHA256_FIPSアクティブを true に設定します。システムプロパティ glide.authenticate.sso.saml2.keystore の値をsys_certificateテーブルのキーストアレコードのsys_idに設定します。 SAML 2.0 Keystore_Key2048_SHA256ベースシステムsys_id: 3685fc22930212003c5537ae867ffb91SAML 2.0 Keystore_Key2048_SHA256_FIPSベースシステムsys_id: c60ad24b732220103a5b0dd43cf6a7db [暗号化と署名] セクションで ID プロバイダーレコードを設定します。 [署名/暗号化キーのエイリアス] を saml2sp に設定します。[署名/暗号化キーのパスワード] を saml2sp に設定します。[署名アルゴリズムの署名] を [http://www.w3.org/2001/04/xmldsig-more#rsa-sha256] に設定します。要件に基づいて適切なチェックボックスを選択します。 アサーションを暗号化AuthnRequest に署名LogoutRequest の署名 [保存] を選択します。 署名証明書のエクスポート キーストアを構成した後、署名証明書をエクスポートして ID プロバイダーに提供します。 ID プロバイダーレコードを開きます。メタデータを生成を選択します。<ds:X509Certificate> XML 要素で署名証明書を見つけます。 メタデータ出力の例: <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://<instance-name>.service-now.com"> <SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol"> <KeyDescriptor use="signing" > <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#"><ds:X509Data><ds:X509Certificate>MIIDoTCCAomgAwIBAgIERs1yFjANBgkqhkiG9w0BAQsFADCBgDELMAkGA1UEBhMCVVMxCzAJBgNV BAgTAkNBMRQwEgYDVQQHEwtTYW50YSBDbGFyYTETMBEGA1UEChMKU2VydmljZU5vdzEdMBsGA1UE CxMUUGxhdGZvcm0gRGV2ZWxvcG1lbnQxGjAYBgNVBAMTEVBsYXRmb3JtIFNlY3VyaXR5MB4XDTE2 MDMwOTIyNTYyMVoXDTI2MDMwNzIyNTYyMVowgYAxCzAJBgNVBAYTAlVTMQswCQYDVQQIEwJDQTEU MBIGA1UEBxMLU2FudGEgQ2xhcmExEzARBgNVBAoTClNlcnZpY2VOb3cxHTAbBgNVBAsTFFBsYXRm b3JtIERldmVsb3BtZW50MRowGAYDVQQDExFQbGF0Zm9ybSBTZWN1cml0eTCCASIwDQYJKoZIhvcN AQEBBQADggEPADCCAQoCggEBAMdREVxdscrxy9ap/UnDsdihJjoKxY6qpxvLUHUGKjTsSNNu/6Fd hh4y5hkYLklY0vEdXStqwvqJjqiCn1LPPo/WjWBAv1kVZXiA0pbaxRaX0wtQ2zo4ddIpCc6/UFOZ QxPTk+974KPKiA9wDa9/mSqfLfzPmDrSPGLvbiQACTHozLTXxMv+z7pJg77muWIHet5pdrUThF9w 8iANYTRie+dl+LxEyF5U5tdQXlFgRo5qBQQvSDVL+FbjiX+XllNLwP2RX7IwZChxi6B8dgkAuXTX dII309L9NXy3E8pefhAJgSe5FnkGaQk/HlqOBtgKdp9/Rf5Uy6fz0ZJmEqKzM+8CAwEAAaMhMB8w HQYDVR0OBBYEFNF7CaQY7kZQM5ulSV8bOAl2mgdNMA0GCSqGSIb3DQEBCwUAA4IBAQC+f3HXbp/2 IaF/bmUICCkVragGpX4IslJPxjdShUA7qwIZ8YNZZHT9R8bRrcOIRy83fKiXDmlWYSgiuA3cckH4 WSvwCHOCSi0H72/L9QRjqcrlzpzoCFP1v57tzGOPyAsRr/kU7v01g6bCKlnXPhXpX6EA5m0h37vQ rV++9aXSiThRbatOkRVow4NohbkVZA8zhn6kxSI3nwM1xRO30dtb8iQGo/2/J9d2pzLKnvC3pFVF W7GRabHJ8Zv5k/9f45/9F8l/9+v8g+OaqEdQuAdymHbeFQ732vd/4MuJWHylQGcyQz7ytJUqr7j4 epX6Li/sQdXGaLxLM+rEKFMY7uB/</ds:X509Certificate></ds:X509Data></ds:KeyInfo> </KeyDescriptor> <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://<instance-name>.service-now.com/navpage.do"/> <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat> <AssertionConsumerService isDefault="true" index="0" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://<instance-name>.service-now.com/navpage.do" /> <AssertionConsumerService isDefault="false" index="1" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://<instance-name>.service-now.com/consumer.do" /> </SPSSODescriptor> </EntityDescriptor> urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress これを (IdP で必要とされる場合あり) PEM 証明書として書式設定するには、次の例のように <ds:X509Certificate>値を -----BEGIN CERTIFICATE----- タグと -----END CERTIFICATE----- タグでカプセル化します。 -----BEGIN CERTIFICATE----- MIIDoTCCAomgAwIBAgIERs1yFjANBgkqhkiG9w0BAQsFADCBgDELMAkGA1UEBhMCVVMxCzAJBgNV BAgTAkNBMRQwEgYDVQQHEwtTYW50YSBDbGFyYTETMBEGA1UEChMKU2VydmljZU5vdzEdMBsGA1UE CxMUUGxhdGZvcm0gRGV2ZWxvcG1lbnQxGjAYBgNVBAMTEVBsYXRmb3JtIFNlY3VyaXR5MB4XDTE2 MDMwOTIyNTYyMVoXDTI2MDMwNzIyNTYyMVowgYAxCzAJBgNVBAYTAlVTMQswCQYDVQQIEwJDQTEU MBIGA1UEBxMLU2FudGEgQ2xhcmExEzARBgNVBAoTClNlcnZpY2VOb3cxHTAbBgNVBAsTFFBsYXRm b3JtIERldmVsb3BtZW50MRowGAYDVQQDExFQbGF0Zm9ybSBTZWN1cml0eTCCASIwDQYJKoZIhvcN AQEBBQADggEPADCCAQoCggEBAMdREVxdscrxy9ap/UnDsdihJjoKxY6qpxvLUHUGKjTsSNNu/6Fd hh4y5hkYLklY0vEdXStqwvqJjqiCn1LPPo/WjWBAv1kVZXiA0pbaxRaX0wtQ2zo4ddIpCc6/UFOZ QxPTk+974KPKiA9wDa9/mSqfLfzPmDrSPGLvbiQACTHozLTXxMv+z7pJg77muWIHet5pdrUThF9w 8iANYTRie+dl+LxEyF5U5tdQXlFgRo5qBQQvSDVL+FbjiX+XllNLwP2RX7IwZChxi6B8dgkAuXTX dII309L9NXy3E8pefhAJgSe5FnkGaQk/HlqOBtgKdp9/Rf5Uy6fz0ZJmEqKzM+8CAwEAAaMhMB8w HQYDVR0OBBYEFNF7CaQY7kZQM5ulSV8bOAl2mgdNMA0GCSqGSIb3DQEBCwUAA4IBAQC+f3HXbp/2 IaF/bmUICCkVragGpX4IslJPxjdShUA7qwIZ8YNZZHT9R8bRrcOIRy83fKiXDmlWYSgiuA3cckH4 WSvwCHOCSi0H72/L9QRjqcrlzpzoCFP1v57tzGOPyAsRr/kU7v01g6bCKlnXPhXpX6EA5m0h37vQ rV++9aXSiThRbatOkRVow4NohbkVZA8zhn6kxSI3nwM1xRO30dtb8iQGo/2/J9d2pzLKnvC3pFVF W7GRabHJ8Zv5k/9f45/9F8l/9+v8g+OaqEdQuAdymHbeFQ732vd/4MuJWHylQGcyQz7ytJUqr7j4 epX6Li/sQdXGaLxLM+rEKFMY7uB/ -----END CERTIFICATE----- カスタムキーストア ベースシステムのオプションを使用する代わりに、カスタムキーストアを作成できます。次を参照してください。 SAML のサービスプロバイダーキーストアの作成SAML 要求に署名するためのサービスプロバイダーキーストアのインストール Washington DC リリース以降 Washington DC リリース以降では、署名と暗号化に個別の証明書を設定できるようになりました。新しいシステムプロパティ glide.authenticate.sso.saml2.encryption.keystore は、既存の glide.authenticate.sso.saml2.keystore プロパティと一緒に機能します。 新しいキーストアを利用できます:SAML 2.0 Keystore_Key2048_SHA256_Encryption このキーストアのデフォルト値: 署名/暗号化キーエイリアス: saml2sp署名/暗号化キーのパスワード: saml2sp署名アルゴリズム: http://www.w3.org/2001/04/xmldsig-more#rsa-sha256 プロパティの連携方法 Washington DC: より前 署名と暗号化はどちらも、 glide.authenticate.sso.saml2.keystore で指定されているものと同じ証明書を使用します。 Washington DC 以降:個別の証明書を使用できます。 glide.authenticate.sso.saml2.keystore:署名証明書のsys_idが含まれますglide.authenticate.sso.saml2.encryption.keystore:暗号化証明書のsys_idが含まれます アップグレード動作 Washington DC へのアップグレード中に、システムによって glide.authenticate.sso.saml2.keystore から glide.authenticate.sso.saml2.encryption.keystore に値が自動的にコピーされます。これにより、既存の暗号化および署名構成は、アップグレード後も引き続き機能します。 Washington DC にアップグレードした後、適切な証明書sys_idを指すように各システムプロパティを設定することで、署名と暗号化にさまざまな証明書を構成できます。 システムプロパティリファレンス プロパティ Washington DC 以前 Washington DC 以降 glide.authenticate.sso.saml2.keystore 署名と暗号化のための証明書のsys_id 署名専用の証明書のsys_id glide.authenticate.sso.saml2.encryption.keystore 利用不可 暗号化専用の証明書のsys_id Related Links<!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #00718f; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } SAML 要求に署名するためのサービスプロバイダーキーストアのインストール