Verbesserte Authentifizierungssicherheit
Sie können die Anforderungssignierung, die signierte Antwort oder die verschlüsselte Assertion aktivieren, um die Authentifizierungssicherheit zu verbessern:
- Anforderungssignierung
- Eine signierte Authentifizierungsanforderung enthält eine Signatur, um die Authentizität der eigentlichen Anforderung zu überprüfen. Informatica sendet in seiner Funktion als Dienstanbieter eine Authentifizierungsanforderung an den Identitätsanbieter. Um die Integrität der Anforderung aufrechtzuerhalten, kann die Authentifizierungsanforderung signiert werden.
- Informatica signiert eine SAML-Anforderung mit einem privaten Schlüssel, und der Identitätsanbieter überprüft die Signatur mithilfe des entsprechenden öffentlichen Zertifikats.
- Informatica sendet SAML-Authentifizierungsanforderungen über HTTP-Redirect. Die Anforderungen verwenden die Deflate-Codierung, die die Signatur in einen URL-Parameter einfügt.
- Signierte Antwort
Der Identitätsanbieter antwortet auf Authentifizierungsanforderungen eines Dienstanbieters. Eine signierte Antwort enthält eine Signatur, die der Identitätsanbieter mithilfe eines vom Identitätsanbieteradministrator ausgewählten Algorithmus erstellt. Informatica überprüft dann die Signatur anhand des entsprechenden öffentlichen Zertifikats, das der Domänenadministrator in den SAML-Truststore importiert hat.
- Signierte Assertion und verschlüsselte Assertion
- Der Identitätsanbieter sendet Authentizitätsassertionen an Dienstanbieter.
- Eine signierte Assertion enthält eine Signatur, die der Identitätsanbieter mithilfe eines vom Identitätsanbieteradministrator ausgewählten Algorithmus erstellt. Informatica überprüft dann die Signatur anhand des entsprechenden öffentlichen Zertifikats, das der Domänenadministrator in den SAML-Truststore importiert hat. Informatica empfiehlt, dass Sie die signierte Assertion aktivieren.
- Informatica Administrator generiert einen asymmetrischen Schlüssel (öffentlich-privaten Schlüssel).
- Die signierte Assertion kann vom Identitäts-Provider mit einem Assertionsverschlüsselungsschlüssel verschlüsselt werden, bei dem es sich um einen vom Identitäts-Provider generierten symmetrischen Schlüssel handelt.
- Wenn Sie die verschlüsselte Assertion aktivieren, verschlüsselt der Identitätsanbieter den symmetrischen Schlüssel auch mit dem öffentlichen Zertifikat, das der Sicherheitsadministrator in den Identitätsanbieter importiert hat. Die SAML-Antwort enthält die verschlüsselte Assertion und einen verschlüsselten symmetrischen Schlüssel. Als Dienstanbieter entschlüsselt Informatica den verschlüsselten symmetrischen Schlüssel mit dem entsprechenden privaten Schlüssel, den Informatica Administrator in den SAML-Schlüsselspeicher importiert. Nach Erhalt des symmetrischen Schlüssels entschlüsselt Informatica die verschlüsselte Assertion.
Befolgen Sie die Schritte in diesem Abschnitt, um die Anforderungssignierung, die verschlüsselte Assertion oder die signierte Antwort zu aktivieren.
Anforderungssignierung
Sie können die Anforderungssignierung während des Installations-Upgrade-Vorgangs oder nach dem Installations-Upgrade mithilfe von infasetup aktivieren.
Überprüfen Sie während des Installations- oder Upgrade-Prozesses die Option Signierte Anforderung im Installationsprogramm.
Richten Sie nach dem Installations- oder Upgrade-Vorgang die Anforderungssignierung mit infasetup ein.
Sie können die Anforderungssignierung für die Webanwendungen auch mit dem Administrator Tool oder der Benutzeroberfläche der Webanwendung konfigurieren.
infasetup
Um infasetup zu verwenden, verwenden Sie die folgenden Optionen mit dem Befehl infasetup updateDomainSamlConfig:
- •[<-SignSamlRequest|-ssr> sign_smal_request]
- •[<-RequestSigningPrivateKeyAlias|-rspa> saml_request_signing_private_key_alias]
- •[<-RequestSigningPrivateKeyPassword|-rspp> saml_request_signing_private_key_password]
- •[<-RequestSigningAlgorithm|-rsa> saml_request_signing_algorithm]
Details zu diesen Befehlen finden Sie in der Informatica-Befehlsreferenz.
Administrator-Tool
Konfigurieren Sie die Anforderungssignierung im Administrator-Tool.
1Wählen Sie die Domäne im Domänennavigator aus.
2Klicken Sie in den Knoteneigenschaften im Abschnitt SAML-Konfiguration auf das Symbol Bearbeiten.
3Wählen Sie Signaturanforderung aktivieren aus.
4Füllen Sie die folgenden Eigenschaften aus:
- - Alias des privaten Schlüssels für Signatur
- - Passwort des privaten Schlüssels für Signatur
- - Signieralgorithmus
5Klicken Sie auf OK.
6Starten Sie die Domäne neu.
Signierte Antwort
Aktivieren Sie die signierte Antwort, damit der Identitätsanbieter die Antworten der Authentifizierungsanforderung vom Dienstanbieter signieren kann.
Sie können die Antwortsignierung während des Installations-Upgrade-Vorgangs oder nach dem Installations-Upgrade mithilfe von infasetup aktivieren.
Überprüfen Sie während des Installations- oder Upgrade-Prozesses die Option Signierte Antwort im Installationsprogramm.
Richten Sie nach dem Installations- oder Upgrade-Vorgang die Antwortsignierung mit infasetup ein.
Sie können die signierte Antwort für die Webanwendungen auch mithilfe des Administrator Tools oder der Benutzeroberfläche der Webanwendung konfigurieren.
HINWEIS: Der Okta SSO-Identitätsanbieter unterstützt keine signierte Antwort.
infasetup
Um infasetup zu verwenden, verwenden Sie die folgenden Optionen mit dem Befehl infasetup updateDomainSamlConfig:
- •[<-SamlResponseSigned|-srs> saml_response_signed]
- •[<-ResponseSigningCertificateAlias|-rsca> idp_response_signing_certificate_alias]
Informationen zu den Befehlen finden Sie in der Informatica-Befehlsreferenz.
Administrator-Tool
Konfigurieren Sie die Anforderungssignierung im Administrator-Tool.
1Wählen Sie die Domäne im Domänennavigator aus.
2Klicken Sie in den Knoteneigenschaften im Abschnitt SAML-Konfiguration auf das Symbol Bearbeiten.
3Wählen Sie Antwortsignatur aktivieren aus.
4Füllen Sie die Eigenschaft „Alias für Antwortsignaturzertifikat“ aus.
5Klicken Sie auf OK.
6Starten Sie die Domäne neu.
Verschlüsselte Assertion
Aktivieren Sie die verschlüsselte Assertion, damit der Identitätsanbieter die Assertionen der Authentizität mit einem symmetrischen Schlüssel verschlüsseln kann.
Sie können die Assertion-Signierung oder die verschlüsselte Assertion während des Installations-Upgrade-Vorgangs oder nach dem Installations-Upgrade mithilfe von infasetup aktivieren.
Überprüfen Sie während des Installations- oder Upgrade-Prozesses die Option Assertion verschlüsseln im Installationsprogramm.
Richten Sie nach dem Installations- oder Upgrade-Vorgang die verschlüsselte Assertion mit infasetup ein.
Sie können die signierte Antwort für die Webanwendungen auch mithilfe des Administrator Tools oder der Benutzeroberfläche der Webanwendung konfigurieren.
infasetup
Um infasetup zu verwenden, verwenden Sie die folgenden Optionen mit dem Befehl infasetup updateDomainSamlConfig:
- •[<-SamlAssertionEncrypted|-sae> saml_assertion_encrypted]
- •[<-EncryptedAssertionPrivateKeyAlias|-eapa> saml_encrypted_assertion_private_key_alias]
- •[<-EncryptedAssertionPrivateKeyPassword|-eapp> saml_encrypted_assertion_private_key_password]
Informationen zu den Befehlen finden Sie in der Informatica-Befehlsreferenz.
Administrator-Tool
Konfigurieren Sie die verschlüsselte Assertion im Administrator-Tool.
1Wählen Sie den Domänenknoten im Domänennavigator aus.
2Klicken Sie in den Knoteneigenschaften im Abschnitt SAML-Konfiguration auf das Symbol Bearbeiten.
3Wählen Sie Assertion-Verschlüsselung aktivieren aus.
4Füllen Sie die folgenden Eigenschaften aus:
- - Alias des privaten Schlüssels der Verschlüsselungs-Assertion
- - Passwort des privaten Schlüssels der Verschlüsselungs-Assertion
5Klicken Sie auf OK.
6Starten Sie die Domäne neu.