SAML SSO ID プロバイダーの暗号化と署名のための署名キーストアのセットアップ (Washington リリースの更新を含む) - Support and Troubleshooting

SAML SSO ID プロバイダーの暗号化と署名のための署名キーストアのセットアップ (Washington リリースの更新を含む) Issue SAML SSO ID プロバイダーの暗号化と署名のために署名キーストアを設定する方法を説明します。

SAML 暗号化と署名のキーストアについては 「複数プロバイダー SSO を使用した SAML 2.0 構成 」 のセクション 4 (オプション)[暗号化と署名] タブ で説明されています。

これを行うために提供されている2つの out of the box のキーストアがあり、UIの「x509証明書」に移動してこれらを見つけます。

( 廃止されたキーストア )SAML 2.0 SP Keystore:128 ビットサポートを提供 「SAML 2.0 SP Keystore」を使用するには、「暗号化と署名」セクションで ID プロバイダーレコードを次のように設定します。 署名/暗号化キーエイリアス = saml2sp 署名/暗号化キーのパスワード = saml2sp 署名アルゴリズムの署名 = http://www.w3.org/2000/09/xmldsig#rsa-sha1 暗号化する内容に適したチェックボックスをオンにします。 アサーションを暗号化 AuthnRequest に署名 LogoutRequest の署名 SAML 2.0 Keystore_Key2048_SHA256 または SAML 2.0 Keystore_Key2048_SHA256_FIPS:256 ビットのサポートを提供 この 256 ビット キーを使用するには、次の操作も行う必要があります。 [x509 証明書] リストビューから: 「SAML 2.0 SP Keystore」を設定 アクティブ = false 「SAML 2.0 Keystore_Key2048_SHA256」の設定 アクティブ = true または 「SAML 2.0 Keystore_Key2048_SHA256_FIPS」の設定 アクティブ = true システムプロパティ glide.authenticate.sso.saml2.keystore を設定 値 = (ootb sys_id 値 3685fc22930212003c5537ae867ffb91) または システムプロパティ glide.authenticate.sso.saml2.keystore を設定 値 = (ootb sys_id 値 c60ad24b732220103a5b0dd43cf6a7db) 「暗号化と署名」セクションで、ID プロバイダーレコードを次のように設定します。 署名/暗号化キーエイリアス = saml2sp 署名/暗号化キーのパスワード = saml2sp 署名アルゴリズムの署名 = http://www.w3.org/2001/04/xmldsig-more#rsa-sha256 暗号化する内容に適したチェックボックスをオンにします。 アサーションを暗号化 AuthnRequest に署名 LogoutRequest に署名 いずれかのキーストアを使用して上記のように IdP レコードを更新した後、IdP レコードに署名証明書を取得するには、IdP レコードから [メタデータを生成] ボタンを選択すると、署名証明書が X509Certificate XML タグに表示されます。例: .service-now.com"> MIIDoTCCAomgAwIBAgIERs1yFjANBgkqhkiG9w0BAQsFADCBgDELMAkGA1UEBhMCVVMxCzAJBgNV BAgTAkNBMRQwEgYDVQQHEwtTYW50YSBDbGFyYTETMBEGA1UEChMKU2VydmljZU5vdzEdMBsGA1UE CxMUUGxhdGZvcm0gRGV2ZWxvcG1lbnQxGjAYBgNVBAMTEVBsYXRmb3JtIFNlY3VyaXR5MB4XDTE2 MDMwOTIyNTYyMVoXDTI2MDMwNzIyNTYyMVowgYAxCzAJBgNVBAYTAlVTMQswCQYDVQQIEwJDQTEU MBIGA1UEBxMLU2FudGEgQ2xhcmExEzARBgNVBAoTClNlcnZpY2VOb3cxHTAbBgNVBAsTFFBsYXRm b3JtIERldmVsb3BtZW50MRowGAYDVQQDExFQbGF0Zm9ybSBTZWN1cml0eTCCASIwDQYJKoZIhvcN AQEBBQADggEPADCCAQoCggEBAMdREVxdscrxy9ap/UnDsdihJjoKxY6qpxvLUHUGKjTsSNNu/6Fd hh4y5hkYLklY0vEdXStqwvqJjqiCn1LPPo/WjWBAv1kVZXiA0pbaxRaX0wtQ2zo4ddIpCc6/UFOZ QxPTk+974KPKiA9wDa9/mSqfLfzPmDrSPGLvbiQACTHozLTXxMv+z7pJg77muWIHet5pdrUThF9w 8iANYTRie+dl+LxEyF5U5tdQXlFgRo5qBQQvSDVL+FbjiX+XllNLwP2RX7IwZChxi6B8dgkAuXTX dII309L9NXy3E8pefhAJgSe5FnkGaQk/HlqOBtgKdp9/Rf5Uy6fz0ZJmEqKzM+8CAwEAAaMhMB8w HQYDVR0OBBYEFNF7CaQY7kZQM5ulSV8bOAl2mgdNMA0GCSqGSIb3DQEBCwUAA4IBAQC+f3HXbp/2 IaF/bmUICCkVragGpX4IslJPxjdShUA7qwIZ8YNZZHT9R8bRrcOIRy83fKiXDmlWYSgiuA3cckH4 WSvwCHOCSi0H72/L9QRjqcrlzpzoCFP1v57tzGOPyAsRr/kU7v01g6bCKlnXPhXpX6EA5m0h37vQ rV++9aXSiThRbatOkRVow4NohbkVZA8zhn6kxSI3nwM1xRO30dtb8iQGo/2/J9d2pzLKnvC3pFVF W7GRabHJ8Zv5k/9f45/9F8l/9+v8g+OaqEdQuAdymHbeFQ732vd/4MuJWHylQGcyQz7ytJUqr7j4 epX6Li/sQdXGaLxLM+rEKFMY7uB/ .service-now.com/navpage.do"/> urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress .service-now.com/navpage.do"/> .service-now.com/consumer.do"/> :これを PEM 証明書としてフォーマットするには (IdP で必要になる場合があります)、次の例のように 値を -----BEGIN CERTIFICATE----- および -----END CERTIFICATE----- タグでカプセル化します。 -----証明書を開始します----- MIIDoTCCAomgAwIBAgIERs1yFjANBgkqhkiG9w0BAQsFADCBgDELMAkGA1UEBhMCVVMxCzAJBgNV BAgTAkNBMRQwEgYDVQQHEwtTYW50YSBDbGFyYTETMBEGA1UEChMKU2VydmljZU5vdzEdMBsGA1UE CxMUUGxhdGZvcm0gRGV2ZWxvcG1lbnQxGjAYBgNVBAMTEVBsYXRmb3JtIFNlY3VyaXR5MB4XDTE2 MDMwOTIyNTYyMVoXDTI2MDMwNzIyNTYyMVowgYAxCzAJBgNVBAYTAlVTMQswCQYDVQQIEwJDQTEU MBIGA1UEBxMLU2FudGEgQ2xhcmExEzARBgNVBAoTClNlcnZpY2VOb3cxHTAbBgNVBAsTFFBsYXRm b3JtIERldmVsb3BtZW50MRowGAYDVQQDExFQbGF0Zm9ybSBTZWN1cml0eTCCASIwDQYJKoZIhvcN AQEBBQADggEPADCCAQoCggEBAMdREVxdscrxy9ap/UnDsdihJjoKxY6qpxvLUHUGKjTsSNNu/6Fd hh4y5hkYLklY0vEdXStqwvqJjqiCn1LPPo/WjWBAv1kVZXiA0pbaxRaX0wtQ2zo4ddIpCc6/UFOZ QxPTk+974KPKiA9wDa9/mSqfLfzPmDrSPGLvbiQACTHozLTXxMv+z7pJg77muWIHet5pdrUThF9w 8iANYTRie+dl+LxEyF5U5tdQXlFgRo5qBQQvSDVL+FbjiX+XllNLwP2RX7IwZChxi6B8dgkAuXTX dII309L9NXy3E8pefhAJgSe5FnkGaQk/HlqOBtgKdp9/Rf5Uy6fz0ZJmEqKzM+8CAwEAAaMhMB8w HQYDVR0OBBYEFNF7CaQY7kZQM5ulSV8bOAl2mgdNMA0GCSqGSIb3DQEBCwUAA4IBAQC+f3HXbp/2 IaF/bmUICCkVragGpX4IslJPxjdShUA7qwIZ8YNZZHT9R8bRrcOIRy83fKiXDmlWYSgiuA3cckH4 WSvwCHOCSi0H72/L9QRjqcrlzpzoCFP1v57tzGOPyAsRr/kU7v01g6bCKlnXPhXpX6EA5m0h37vQ rV++9aXSiThRbatOkRVow4NohbkVZA8zhn6kxSI3nwM1xRO30dtb8iQGo/2/J9d2pzLKnvC3pFVF W7GRabHJ8Zv5k/9f45/9F8l/9+v8g+OaqEdQuAdymHbeFQ732vd/4MuJWHylQGcyQz7ytJUqr7j4 epX6Li/sQdXGaLxLM+rEKFMY7uB/ -----証明書を終了----- 独自のキーストアを作成し、すぐに利用可能なバージョンを使用しないオプションもあります。以下を参照してください。 SAML のサービスプロバイダーキーストアの作成 SAML 要求に署名するためのサービスプロバイダーキーストアのインストール Washington リリースの変更: 新しいシステムプロパティ「glide.authenticate.sso.saml2.encryption.keystore」が導入され、「glide.authenticate.sso.saml2.keystore」と共存します。

新しいキーストア「SAML 2.0 Keystore_Key2048_SHA256_Encryption」が提供されます。

署名/暗号化キーエイリアス = saml2sp 署名/暗号化キーのパスワード = saml2sp 署名アルゴリズムの署名 = http://www.w3.org/2001/04/xmldsig-more#rsa-sha256 「glide.authenticate.sso.saml2.keystore」は「glide.authenticate.sso.saml2.encryption.keystore」に置き換えられません。 ワシントンより前、署名と暗号化では、glide.authenticate.sso.saml2.keystore で指定されたものと同じ証明書が使用されます。 ワシントンへのアップグレード後、glide.authenticate.sso.saml2.keystore は証明書の署名用sys_idを格納するように設計されていますが、glide.authenticate.sso.saml2.encryption.keystore は証明書の暗号化sys_idを格納するように設計されています。 デフォルトでは、glide.authenticate.sso.saml2.encryption.keystore には Washington アップグレード後に glide.authenticate.sso.saml2.keystore の値が含まれます。顧客が glide.authenticate.sso.saml2.keystore を介して既存の暗号化および署名設定を持っている場合、アップグレード中に、glide.authenticate.sso.saml2.encryption.keystore は glide.authenticate.sso.saml2.keystore 内の値をコピーします。これにより、アップグレード後も既存の機能が一貫して機能するようになります。 ワシントンへのアップグレード後、お客様は glide.authenticate.sso.saml2.keystore(Signing) および glide.authenticate.sso.saml2.encryption.keystore(暗号化) 内で署名と暗号化に異なる証明書を指定し、上記の手順に従って各システムプロパティを設定し、証明書を IDP にアップロードできます。 また、次のシステムプロパティが正しく設定されていることも忘れないでください。

プロパティ名: glide.authenticate.sso.saml2.keystore Washington 前

値 = 署名/暗号化 に使用されている X.509 証明書のsys_id>

Washington 以降

値 = 署名のみ に使用されている X.509 証明書のsys_id>

プロパティ名: glide.authenticate.sso.saml2.encryption.keystore

Washington での新機能

値 = 暗号化のみ に使用されている X.509 証明書のsys_id>