Konfigurieren des Single Sign-On für „ SAML “ im Identitätsanbieter

Online bearbeiten

VerifyVerwenden Sie „ SAML “ für Single Sign-On, damit Anwendungen die Identität ihrer Benutzer auf der Grundlage der von [Name] durchgeführten Authentifizierung überprüfen können. Die Benutzer werden zur Verify Anmeldung weitergeleitet. Verify überprüft die Identität der Benutzer, übermittelt die Informationen mittels einer „ SAML “-Assertion und bestätigt gegenüber dem Dienstanbieter, dass die Benutzer zum Zugriff auf die Ressource und zu deren Nutzung berechtigt sind.

Vorbereitende Schritte

  • Zur Ausführung dieser Task müssen Sie über Verwaltungsberechtigung verfügen.
  • Öffnen Sie mindestens zwei Browserfenster, um die Konfiguration durchzuführen. Eine für die Verify Verwaltungskonsole und die andere für die Verwaltungskonsole der Zielanwendung.
    • Melden Sie sich als Administrator bei der IBM® Verify Verwaltungskonsole an.
    • Melden Sie sich bei der Verwaltungskonsole der Zielanwendung mit Ihrem Administratoraccount an.
  • Sie müssen die grundlegenden Informationen für die Anwendungsinstanz auf der Registerkarte „Allgemein“ einrichten. Siehe „Grundlegende Anwendungsdetails festlegen “.

Informationen zu dieser Task

Verify kann als Single - Sign-On-Identitätsanbieter oder als Dienstanbieter fungieren. In dieser Aufgabe ist der Identitätsanbieter, Verify und die Zielanwendung ist der Dienstanbieter.

Wenn Sie eine Vorlage für eine benutzerdefinierte Anwendung verwenden, lesen Sie bitte den Abschnitt „Benutzerdefinierte Anwendung“, bevor Sie fortfahren.

Konfigurieren Sie Verify und den Dienstanbieter so, dass sie miteinander kommunizieren können. Um das Single Sign-On für „ SAML “ zu aktivieren, müssen Sie Folgendes angeben:
  • Verify mit bestimmten Daten des Dienstanbieters.
  • Der Dienstleister mit bestimmten Daten von Verify.

Wenn der Dienstanbieter seine Authentifizierungsanfrage unter „ SAML “ signiert, müssen Sie zunächst das Zertifikat des Unterzeichners auf der Seite „Sicherheit > Zertifikate“ hinzufügen. Siehe „Zertifikate verwalten “.

Falls der Dienstanbieter neben den integrierten Attributen weitere Attribute aus der „ SAML “-Assertion benötigt, fügen Sie die erforderlichen Attributquellen auf der Seite „Verzeichnis > Attribute“ hinzu. Siehe „Attribute verwalten “.

/v1.0/saml/federations/{federationName}Hinweis: Mandantenadministratoren können bestimmte Konfigurationen der „ SAML “-Verbundfunktion über den neuen API-Endpunkt einsehen und aktualisieren, sofern manageFederations sie über die entsprechenden readFederations API-Berechtigungen verfügen.
Für die Identitätsquellen werden die folgenden Konfigurationseigenschaften verwendet:
clockSkew
Die Toleranz in Sekunden, wenn die empfangene SAML-Zusicherung NotBefore und NotOnOrAfter validiert wird.
messageValidTime
Die Toleranz in Sekunden, wenn die empfangene SAML-Nachricht IssueInstant validiert wird.
skipTargetUrlValidation
Gibt an, ob eine targetURL-Validierung in SAML übersprungen werden soll.

Der Standardwert lautet false.

allowedTargetUrls
Gibt die zulässigen Ziel-URLs für SAML an.

Der Wert dieser Konfigurationseigenschaft ist ein String-Array. Jedes Array-Element ist eine URL. Der URL-Hostname unterstützt Platzhalterzeichen. Beispiel: *.ibmcloud.com.

Der Wert ist standardmäßig leer.

signatureAlgorithm
Zur Signierung signiert ein Algorithmus die Nachricht „ SAML “ digital unter „ AuthnRequest “. Unterstützte Werte sind: „ RSA-SHA1 “, „ RSA-SHA256 “, „ RSA-SHA512 “, „ ECDSA-SHA256 “, „ ECDSA-SHA384 “, „ ECDSA-SHA512 “. Wenn das Feld leer ist, wird die Standard RSA-SHA256 verwendet.
Der Wert ist standardmäßig leer.
signingKeyLabel
Zum Signieren wird dieses Zertifikat verwendet, um die URL SAML AuthnRequest im Rahmen des Single Sign-On zu signieren. Die Standardauswahl bezieht sich auf das standardmäßige persönliche Zertifikat, das Sie unter „Sicherheit > Zertifikate > Persönliche Zertifikate“ konfiguriert haben.
Das standardmäßige persönliche Zertifikat ist ausgewählt.
decryptionKeyLabel
Verwenden Sie dieses Zertifikat, um die empfangene „ SAML “-Antwortnachricht zu entschlüsseln, falls diese beim Single Sign-On verschlüsselte Elemente enthält. Die standardmäßigen persönlichen Zertifikate, die Sie unter „Sicherheit > Zertifikate > Persönliche Zertifikate“ konfiguriert haben.
Das standardmäßige persönliche Zertifikat ist ausgewählt.
Für die Anwendungen werden die folgenden Konfigurationseigenschaften verwendet:
assertionSettings.assertionValidAfter
Die Toleranz in Sekunden, die NotOnOrAfter hinzugefügt wird, wenn die SAML-Zusicherung ausgegeben wird.
assertionSettings.assertionValidBefore
Die Toleranz in Sekunden, die NotBefore hinzugefügt wird, wenn die SAML-Zusicherung ausgegeben wird.
messageValidTime
Die Toleranz in Sekunden, wenn die empfangene SAML-Nachricht IssueInstant validiert wird.
Die folgenden Konfigurationseigenschaften werden sowohl für Identitätsquellen als auch für Anwendungen verwendet:
crlEnabled
Prüft die Zertifikatswiderrufsliste. Die Prüfung erfolgt für alle Funktionen, die ein externes Zertifikat verwenden. Wenn Ihre Konfiguration keine CRL-Prüfung erfordert, können Sie diese Prüfung inaktivieren. Wenn Sie beispielsweise eine interne Zertifizierungsstelle (CA) verwenden, können Sie die CRL-Prüfung, falls gewünscht, inaktivieren. DercrlEnabledDie Eigenschaft ist standardmäßig auftrue.
keySelectionCriteria
Geben Sie an, welcher Schlüssel oder welches Zertifikat für das Signieren, Validieren, Verschlüsseln oder Entschlüsseln verschiedener Nachrichten verwendet werden soll. Wenn mehrere Schlüssel oder Zertifikate denselben SubjectDN Namen wie der Schlüssel oder das Zertifikat mit dem angegebenen Alias haben, legt diese Einstellung fest, welcher davon verwendet werden soll. Verwenden Sie eine der folgenden Auswahlmethoden:
only.alias
Wählen Sie den Schlüssel oder das Zertifikat mit dem angegebenen Aliasnamen aus. Diese Methode ist die Standardmethode.
longest.lifetime
Zum Signieren wird ein gültiger Schlüssel mit der längsten verfügbaren Lebensdauer verwendet. Für die Validierung werden Schlüssel, die denselben Wert für SubjectDN aufweisen, auf der Basis der Laufzeitverfügbarkeit sortiert. Die Schlüssel werden nacheinander bis zur erfolgreichen Validierung ausprobiert, wobei es sich bei dem ersten Schlüssel um den Schlüssel mit der längsten Lebensdauerverfügbarkeit handelt.
shortest.lifetime
Zum Signieren wird ein gültiger Schlüssel mit der kürzesten verfügbaren Lebensdauer verwendet. Für die Validierung werden Schlüssel, die denselben Wert für SubjectDN aufweisen, auf der Basis der Laufzeitverfügbarkeit sortiert. Die Schlüssel werden nacheinander bis zur erfolgreichen Validierung ausprobiert, wobei es sich bei dem ersten Schlüssel um den Schlüssel mit der kürzesten Lebensdauerverfügbarkeit handelt.
  • Datentyp: Zeichenfolge
  • Beispiel: only.alias

Vorgehensweise

  1. Wählen Sie aus, ob die Anwendung mithilfe von Metadaten konfiguriert werden soll.
    Tabelle 1. Metadaten-Optionen
    Information Beschreibung
    Metadaten verwenden Gibt an, ob die Anwendung mithilfe von Metadaten konfiguriert werden soll. Bei der Erstellung einer Anwendung ist der Standardwert „true“, bei der Aktualisierung einer bestehenden Anwendung „false“.
    Importtyp Gibt den Typ der Metadaten an. Die Quelle kann entweder eine Metadatendatei oder eine öffentlich zugängliche URL sein ( URL ).
    Metadatendatei Die Schaltfläche zum Hochladen von Dateien wird angezeigt, wenn als Importtyp die Option „Metadaten aus Datei importieren“ ausgewählt wurde. Klicken Sie darauf, um eine Metadatendatei hochzuladen.
    Metadaten-URL Das Feld „ URL “ wird angezeigt, wenn als Importtyp „Metadaten von URL importieren“ ausgewählt wurde. Geben Sie die URL ein, von der Sie die Metadatendatei herunterladen möchten.
    Hinweis: Wenn das Kontrollkästchen „Metadaten verwenden“ aktiviert ist, sind einige Felder in den folgenden Tabellen möglicherweise ausgeblendet.
  2. Ermitteln Sie den Dienstanbieter und die URLs, die für die Einrichtung des Single Sign-On zwischen den Anbietern erforderlich sind.
    Tabelle 2. ID und URLs
    Information Beschreibung
    Provider-ID

    VerifyEs handelt sich um die ID des Zielanwendungsanbieters, die die Zielanwendung eindeutig identifiziert.

    Sie können diese Informationen aus der Anwendung eines anderen Anbieters abrufen. Abhängig von der Zielanwendung können diese Informationen aus jeder der folgenden zutreffenden Quellen stammen:
    • Von der Seite SSO-Konfiguration der Verwaltungskonsole der Zielanwendung.

      Anweisungen zum Aufrufen der Seite finden Sie unter „Konfiguration des Single Sign-On “.

    • Aus den Metadaten des Service-Providers.
    • In der Dokumentation zur Einrichtung von Single Sign-On in der Zielanwendung „ SAML “.
    • Vom Support-Team der Zielanwendung.
    Der Wert ist von der Anwendung des anderen Anbieters abhängig. Dabei kann es sich um Folgendes handeln:
    • 'Statisch' oder eines der folgenden Formate:
      • https://{@domainName}.<application>.com
      • {@domainName}.<application>.com

      Dabei entspricht {@Domänenname} der einzigen dynamischen Komponente in der Provider-ID; er wird zur Laufzeit automatisch durch den auf der Registerkarte Allgemein angegebenen Wert ersetzt.

      Wichtig: Wenn Sie die Anbieter-ID aktualisieren und anschließend den Domainnamen auf der Registerkarte „Allgemein“ ändern, wird der Wert der Anbieter-ID auf den Standardwert zurückgesetzt, der auf dem angegebenen Domainnamen basiert.
    • Dynamisch

      Die Provider-ID verfügt über mehrere dynamische Komponenten. Demzufolge wird der Feldwert nicht automatisch eingesetzt.

    Hinweis: Es werden nur ASCII-Zeichen unterstützt. Weitere Informationen finden Sie unter https://ascii.cl/.
    Eindeutige ID verwenden Dieses Kontrollkästchen ist in einigen Anwendungen verfügbar.

    Es dient zum Erstellen einer eindeutigen ID für die Anwendung, um Konflikte in Bezug auf doppelte Provider-IDs zu verhindern.
    Assertion Consumer Service-URL (HTTP-POST)

    Gibt den Endpunkt beim Dienst anbieter an, der die AuthentifizierungsantwortSAML “ empfängt.

    Der Identitätsanbieter leitet die Authentifizierungsantwort von SAML an diese Adresse weiter: URL. Dieser Endpunkt empfängt und verarbeitet die „ SAML “-Assertion.

    Der Dienstanbieter kann bei der Übermittlung seiner Authentifizierungsanfrage an SAML seine bevorzugte URL angeben.

    Der Wert ist von der Anwendung des anderen Anbieters abhängig. Dabei kann es sich um Folgendes handeln:
    • 'Statisch' oder eines der folgenden Formate:
      • https://{@domainName}.<application>.com/saml/consume
      • https://{@domainName}.<application>.com/saml/callback

      Dabei entspricht {@Domänenname} der einzigen dynamischen Komponente in der Assertion Consumer Service-URL; er wird zur Laufzeit automatisch durch den auf der Registerkarte Allgemein angegebenen Wert ersetzt.

    • Dynamisch

      Die Assertion Consumer Service-URL verfügt über mehrere dynamische Komponenten. Demzufolge wird der Feldwert nicht automatisch eingesetzt.

    Sie können diese Informationen aus der Anwendung eines anderen Anbieters abrufen. Abhängig von der Zielanwendung können diese Informationen aus jeder der folgenden zutreffenden Quellen stammen:
    • Von der Seite SSO-Konfiguration der Verwaltungskonsole der Zielanwendung.

      Anweisungen zum Aufrufen der Seite finden Sie unter „Konfiguration des Single Sign-On “.

    • Aus den Metadaten des Service-Providers.
    • In der Dokumentation zur Einrichtung von Single Sign-On in der Zielanwendung „ SAML “.
    • Vom Support-Team der Zielanwendung.
    Hinweis:

    Für angepasste Anwendungen können mehrere Assertion Consumer Service-URLs vorhanden sein. Sie können bis zu 1500 URLs angeben. Sie können den Indexwert der URL ändern, jeder Wert muss jedoch eindeutig sein. Es ist auch möglich, die URL auszuwählen, die als Standard-URL verwendet werden soll.
    Name Identifier Management-URL (HTTP-POST)
    Not SpecifiedHinweis: Diese Option ist nur in einer benutzerdefinierten Anwendungsvorlage verfügbar, die mit Persistent dem Format „ NameID “ konfiguriert ist und deren Name „“ lautet.

    Gibt den Endpunkt beim Service-Provider an, der die SAMLManage Name ID-Anforderung und die SAMLManage Name ID -Antwort empfängt.

    Der Identitätsprovider leitet die SAMLManage Name ID-Anforderung und die SAMLManage Name ID-Antwort an diese URL um. Dieser Endpunkt empfängt und verarbeitet die SAMLManage Name ID-Anforderung und SAMLManage Name ID-Antwort.

    Der Wert ist von der Anwendung des anderen Anbieters abhängig.

    Sie können diese Informationen aus der Anwendung eines anderen Anbieters abrufen. Abhängig von der Zielanwendung können diese Informationen aus jeder der folgenden zutreffenden Quellen stammen:

    • Von der Seite 'SSO-Konfiguration' der Verwaltungskonsole der Zielanwendung. Die Anweisungen für die SSO-Konfiguration der Anwendung enthalten Informationen dazu, wie auf die Seite zugegriffen werden kann.

    • Aus den Metadaten des Service-Providers.
    • Aus der Dokumentation zur SAML-SSO-Konfiguration der Zielanwendung.
    • Vom Support-Team der Zielanwendung.
    Vom Identitätsprovider initiierte einmalige Anmeldung verwenden
    Hinweis: Diese Option ist nur in einer benutzerdefinierten Anwendungsvorlage verfügbar.

    Wählen Sie diese Option aus, wenn der Service-Provider die vom Identitätsprovider initiierte Anmeldung unterstützt. In diesem Szenario meldet sich der Benutzer direkt bei der Site des Identitätsproviders an und greift dann auf den Service-Provider zu.

    Wenn diese Option aktiviert ist, wird die vom Identitätsanbieter initiierte Single-Sign-On- URL automatisch erstellt. Der SSO-Ablauf wird vom Identitätsanbieter durch den „ URL “ initiiert. Sie müssen die SSO- URL des Dienstanbieters nicht angeben.

    Wenn diese Option nicht aktiviert ist, muss die SSO- URL s des Dienstanbieters angegeben werden. Der SSO-Ablauf wird vom Dienstanbieter über den „ URL “ initiiert.
    Ziel-URL

    Dies ist die Landing-Page (Zielseite) des Benutzers in der Zielanwendung, zu der der Benutzer nach der Anmeldung umgeleitet wird.

    Dies bezieht sich nicht unbedingt auf die Administratorkonsole der Zielanwendung. Dabei kann es sich um jede der geschützten Ressourcen des Service-Providers handeln, die das Endziel einer einmaligen Anmeldung ist.

    Dieses Feld wird nur unter den folgenden Bedingungen angezeigt:
    • Die Zielanwendung unterstützt den Relay-Status.
    • Die Zielanwendung unterstützt die vom Identitätsprovider initiierte einmalige Anmeldung. Diese URL URL wird nur verwendet, wenn das Single Sign-On vom Identitätsanbieter SAML 2.0 initiiert wird.
    • Das Ziel „ URL “ ist dynamisch oder kann mehrere Werte annehmen.
    Sie können diese Informationen aus der Anwendung eines anderen Anbieters abrufen. Abhängig von der Zielanwendung können diese Informationen aus jeder der folgenden zutreffenden Quellen stammen:
    • Von der Seite SSO-Konfiguration der Verwaltungskonsole der Zielanwendung.

      Anweisungen zum Aufrufen der Seite finden Sie unter „Konfiguration des Single Sign-On “.

    • Von der Website der Zielanwendung.
      1. Navigieren Sie zur Landing-Page (Zielseite).
      2. Fügen Sie die URL mit 'Kopieren und Einfügen' in dieses Feld ein.
    Service-Provider-SSO-URL

    Es ist der Endpunkt des Dienstanbieters, der die AuthentifizierungsanfrageSAML “ vom Browser eines Benutzers aus initiiert und eine AuthentifizierungsantwortSAML “ zurücksendet, um den Benutzer zu verifizieren.

    Dieses Feld wird nur unter den folgenden Bedingungen angezeigt:
    • Die Zielanwendung unterstützt die vom Service-Provider initiierte einmalige Anmeldung.
    • Die Service-Provider-SSO-URL ist dynamisch oder hat mehr als einen gültigen Wert.
    Sie können diese Informationen aus der Anwendung eines anderen Anbieters abrufen. Abhängig von der Zielanwendung können diese Informationen aus jeder der folgenden zutreffenden Quellen stammen:
    • Von der Seite SSO-Konfiguration der Verwaltungskonsole der Zielanwendung.

      Anweisungen zum Aufrufen der Seite finden Sie unter „Konfiguration des Single Sign-On “.

    • In der Dokumentation zur Einrichtung von Single Sign-On in der Zielanwendung „ SAML “.
    • Vom Support-Team der Zielanwendung.
  3. Wenn der Service-Provider die einmalige Abmeldung unterstützt, konfigurieren Sie die entsprechenden Einstellungen.
    IBM VerifyHinweis: Wenn eine Anwendung innerhalb der aktuellen Sitzung nicht auf eine von gesendete Abmeldeanforderung reagiert, wird der einheitliche Abmeldevorgang bei dieser Anwendung beendet. Um die einmalige Abmeldung von der nächsten Anwendung aus wieder aufzunehmen, muss der Benutzer die einmalige Abmeldung erneut ausführen.
    Tabelle 3. Einstellungen für die einmalige Abmeldung
    Information Beschreibung
    URL für einmalige Abmeldung (HTTP-POST)

    Gibt den Endpunkt beim Dienstanbieter an, der die Abmeldeanforderung „ SAML “ und die Abmeldeantwort „ SAML “ empfängt.

    Der Identitätsanbieter leitet die Abmeldeanfrage an SAML und die Abmeldeantwort von SAML an diese Adresse weiter: URL. Dieser Endpunkt empfängt und verarbeitet die Abmeldeanforderung SAML sowie die Abmeldeantwort SAML.

    Der Wert ist von der Anwendung des anderen Anbieters abhängig.

    Sie können diese Informationen aus der Anwendung eines anderen Anbieters abrufen. Abhängig von der Zielanwendung können diese Informationen aus jeder der folgenden zutreffenden Quellen stammen:

    • Von der Seite 'SSO-Konfiguration' der Verwaltungskonsole der Zielanwendung. Anweisungen für den Zugriff auf die Seite finden Sie in den Anweisungen zur Konfiguration der einmaligen Anmeldung (SSO-Konfiguration) für die Anwendung.
    • Aus den Metadaten des Service-Providers.
    • Aus der Dokumentation zur SAML-SSO-Konfiguration der Zielanwendung.
    • Vom Support-Team der Zielanwendung.
  4. Konfigurieren Sie die Signaturoptionen. Verwenden Sie eine digitale Signatur, um Vertrauen zwischen Verify Ihnen und dem Dienstanbieter aufzubauen.
    Tabelle 4. Signaturoptionen
    Information Beschreibung
    Authentifizierungsantwort signieren
    Hinweis: Diese Option ist nur in einer benutzerdefinierten Anwendungsvorlage verfügbar.
    Gibt an, ob der Identitätsanbieter die „ SAML “-Assertion und die Authentifizierungsantwort signiert.
    Hinweis: Einige Dienstanbieter können keine signierte Authentifizierungsantwort akzeptieren.

    Wenn diese Option ausgewählt ist, werden sowohl die „ SAML “-Bestätigung als auch die Authentifizierungsantwort signiert.

    Wenn diese Option nicht ausgewählt ist, wird nur die „ SAML “-Assertion signiert. Die Aussage „ SAML “ ist immer mit einem Minuszeichen versehen, unabhängig davon, ob das Kontrollkästchen aktiviert ist oder nicht.
    Signaturalgorithmus
    Hinweis: Diese Option ist nur in einer benutzerdefinierten Anwendungsvorlage verfügbar.

    Der Signaturalgorithmus signiert digital das SAML Behauptung oder das SAML Authentifizierungsantwort.

    Verwenden Sie einen Algorithmus für digitale Signatur, um die Daten zu einem Digest zu verarbeiten und dieses Digest dann zu verschlüsseln. Treffen Sie eine Auswahl aus den folgenden unterstützten Algorithmen:
    • RSA-SHA1
    • RSA-SHA256
    • RSA-SHA512
    • ECDSA-SHA256
    • ECDSA-SHA384
    • ECDSA-SHA512

    Die meisten Anwendungen verwenden „ RSA-SHA256 “ als Standardalgorithmus für die Signatur der „ SAML “-Assertion oder der Authentifizierungsantwort.

    RSA-SHA1 ist veraltet und wird nur für die Verwendung mit traditionellen Anwendungen bereitgestellt, die keine stärkere Verschlüsselung unterstützen.
    Signierzertifikat

    Listet alle persönlichen Zertifikate auf, die über die Seite „Einstellungen > Zertifikate > Persönliche Zertifikate“ hochgeladen wurden.

    Wählen Sie das persönliche Zertifikat aus, das Sie für die ausgewählte Anwendung hochgeladen haben.
    SAML-Anforderungssignatur validieren

    Gibt an, ob der Dienstanbieter die AuthentifizierungsanfrageSAML “ signiert, wenn er den Single-Sign-On-Ablauf „ SAML “ initiiert.

    Die Unterzeichnung des SAML Dokuments Authentifizierungsanfrage kann für einige Dienstleister obligatorisch und für andere freiwillig sein.

    Wenn diese Option ausgewählt ist, müssen Sie die persönlichen Zertifikate auswählen.

    Hinweis: Diese Option steht Dienstanbietern nicht zur Verfügung, die ihre Authentifizierungsanfrage für „ SAML “ nicht signieren.
    SAML-Abmeldeanforderungssignatur validieren Gibt an, ob die eingehende Abmeldeanforderungsnachricht eine Signatur erfordert.

    Wenn diese Option ausgewählt ist, müssen Sie die persönlichen Zertifikate auswählen.
    SAML-Abmeldeantwortsignatur validieren Gibt an, ob die eingehende Abmeldeantwortnachricht eine Signatur erfordert.

    Wenn diese Option ausgewählt ist, müssen Sie die persönlichen Zertifikate auswählen.
  5. Konfigurieren Sie die Verschlüsselungsoptionen. Aktivieren Sie die Verschlüsselung, um den Inhalt der „ SAML “-Assertion zu schützen, sodass nur der beabsichtigte Empfänger darauf zugreifen kann.
    Tabelle 5. Verschlüsselungsoptionen
    Information Beschreibung
    Zusicherung verschlüsseln
    Verschlüsselt die gesamte „ SAML “-Anfrage, die an den Dienstanbieter gesendet wird. Nur der vorgesehene Service-Provider kann den Inhalt entschlüsseln und verstehen.
    Hinweis: Diese Option steht nur Dienstanbietern zur Verfügung, die Verschlüsselung unterstützen.
    Verschlüsselungsalgorithmus für SAML-Zusicherungen

    Der Algorithmus verschlüsselt den Inhalt der „ SAML “-Anweisung.

    Treffen Sie eine Auswahl aus den folgenden Advanced Encryption Standard-(AES-) oder Data Encryption Standard-(DES-)Algorithmen:
    AES-128
    Verwendet einen 128-Bit-Schlüssel im AES-CBC-Modus. Die Datentransformation wird über 10 Zyklen wiederholt.
    AES-192
    Verwendet einen 192-Bit-Schlüssel im AES-CBC-Modus. Die Datentransformation wird über 12 Zyklen wiederholt.
    AES-256
    Verwendet einen 256-Bit-Schlüssel im AES-CBC-Modus. Die Datentransformation wird über 14 Zyklen wiederholt. Dies ist der Standardverschlüsselungsalgorithmus bzw. der gängige Verschlüsselungsalgorithmus.
    Triple DES
    Verwendet einen Datenschlüssel, dessen Länge dreimal so groß wie bei DES ist und aus drei 8-Byte-DES-Schlüsseln für die Verschlüsselung von 8 Byte an Daten besteht. Er verwendet die folgende Methode:
    • Die Daten werden unter Verwendung des ersten Schlüssels verschlüsselt.
    • Das Ergebnis wird unter Verwendung des zweiten Schlüssels entschlüsselt.
    • Das zweite Ergebnis wird unter Verwendung des dritten Schlüssels verschlüsselt.
    AES-128-GCM
    Verwendet einen 128-Bit-Schlüssel im AES- GCM -Modus.
    AES-192-GCM
    Verwendet einen 192-Bit-Schlüssel im AES- GCM -Modus.
    AES-256-GCM
    Verwendet einen 256-Bit-Schlüssel im AES- GCM -Modus.
    Hinweis: Diese Option ist für alle Anwendungen verfügbar, die Verschlüsselung unterstützen.
    Transportalgorithmus für Verschlüsselungsschlüssel Mit dem Algorithmus wird der Verschlüsselungsschlüssel der Zusicherung verschlüsselt. Treffen Sie eine Auswahl aus den folgenden Algorithmen.
    RSA-OAEP

    Verschlüsselungsschema mit öffentlichem Schlüssel. Es dient ausschließlich zum Verschlüsseln von Kurznachrichten, in der Regel von geheimen Schlüsseln für die symmetrische Verschlüsselung.

    Siehe http://www.w3.org/2001/04/xmlenc#rsa-oaep-mgf1p.

    RSA-v1.5
    Signaturschema

    Siehe http://www.w3.org/2001/04/xmlenc#rsa-1_5

    Hinweis: Der Verschlüsselungsschlüssel-Transportalgorithmus „ RSA-v1.5 “ wird ab März 2024 nicht mehr unterstützt.
    Hinweis: Diese Option ist für alle Anwendungen verfügbar, die Verschlüsselung unterstützen.
    Verschlüsselungszertifikat des Service-Providers

    Listet alle Verschlüsselungszertifikate von Dienstanbietern auf, die unter „Sicherheit > Zertifikate > Signaturzertifikate“ importiert wurden.

    Wählen Sie das Verschlüsselungszertifikat aus, das Verify zusammen mit dem ausgewählten „ SAML “-Assertion-Verschlüsselungsalgorithmus verwendet werden soll, um den Inhalt der „ SAML “-Assertion zu verschlüsseln.
  6. Ermitteln Sie die Attributquellen des Identitätsanbieters für die „ SAML “-Assertion. Siehe „ SAML “ konfigurieren und Attribute zuordnen.
  7. Wählen Sie die Richtlinie aus, die festlegt, wie Benutzer auf die Anwendung zugreifen können.

    Sie können weiterhin die zugeordnete Standardzugriffsrichtlinie, Zugriff über alle Geräte ermöglichen, verwenden. Alternativ können Sie das Kontrollkästchen deaktivieren und auf Bearbeiten klicken, um eine Option aus der Liste der vordefinierten Zugriffsrichtlinien auszuwählen. Weitere Informationen finden Sie unter Zugriffsrichtlinien.

  8. Klicken Sie auf „Speichern “.

Nächste Schritte

  • Stellen Sie dem Dienstanbieter die Informationen zur Verfügung, Verify die erforderlich sind, um die Single-Sign-On-Konfiguration zwischen Verify SAML und dem Dienstanbieter abzuschließen. Siehe die in der Benutzerschnittstelle zur Verfügung gestellten Anweisungen.

    Wenn die Anwendung „ SAML “ so konfiguriert ist, dass als Signaturzertifikat das „Standard-persönliche Zertifikat“ verwendet wird, können Sie die Metadaten von „ SAML “ unter „Verify at“ https://{tenantName}/v1.0/saml/federations/saml20ip/metadataherunterladen. Wenn die Anwendung „ SAML “ mit einem nicht standardmäßigen persönlichen Zertifikat konfiguriert ist, das die Bezeichnung „ {actualKeyLabel} “ als Signaturzertifikat trägt, können Sie die Metadaten von https://{tenantName}/v1.0/saml/federations/saml20ip/metadata?keyLabel={actualKeyLabel}„ SAML “ unter [Link] herunterladen.

  • Fügen Sie Benutzer- oder Gruppennutzungsrechte hinzu, um Zugriff auf die konfigurierten Anwendungen zu ermöglichen. Siehe „Verwalten von Anwendungsberechtigungen“ (durch den Administrator oder den Anwendungsinhaber).
  • Setzen Sie die Zwei-Faktor-Authentifizierung durch, um die Sicherheitssteuerung von Benutzern zu verbessern, wenn sie sich bei den konfigurierten Anwendungen anmelden. Siehe „Konfigurieren von Authentifizierungsfaktoren “.