オンプレミス展開の SAML 応答を暗号化する

このページでは、オンプレミスでセキュリティ アサーション マークアップ言語(SAML)応答の暗号化を構成する手順について説明します。

IdP からサービスプロバイダー(コントローラ)への SAML 応答を暗号化することで、SAML 認証のセキュリティを向上させることができます。コントローラは IdP と公開キーを共有し、公開キーを復号するための秘密キーを保存します。

重要: 暗号化された SAML 応答を受け入れるようにコントローラを設定するには、アカウントの所有者である必要があります。

OpenSSL のインストール

暗号および SSL/TLS ツールキットの OpenSSL をインストールして、SAML 応答の暗号化に必要な秘密キーと証明書を生成する必要があります。

x509 証明書の生成

  1. 秘密キーを生成します。
    CODE 
    o penssl genrsa -out privatekey.pem 2048
  2. 秘密キーを PKCS8 キーに変換
    CODE 
    openssl pkcs8 -in privatekey.pem -topk8 -nocrypt -out privatekey.p8
  3. 秘密キーから証明書を生成します。
    CODE 
    openssl req -new -x509 -key privatekey.pem -out ssocert.pem

SAML 暗号化の有効化

pkcs8 形式の秘密キーと x509 証明書を生成した後は、次の手順を実行します。

  1. AppDynamics > Administrator > Authentication Provider > SAML にアクセスします。
  2. [SAML Encryption] の [Enable] をオンにします。

コントローラへの暗号化された証明書と秘密キーの追加

IDP と共有できるように、生成された x509 証明書を追加する必要があります。また、コントローラが IdP からの SAML 応答を復号できるように、秘密キーも必要です。

  1. [SAML Encryption Certificate] テキスト領域の「-----BEGIN CERTIFICATE-----」セクションと「-----END CERTIFICATE----」セクションの間に x509 証明書の内容を貼り付けます。
    CODE 
    -----BEGIN CERTIFICATE-----
// Insert x509 certificate content here
-----END CERTIFICATE----
  2. [SAML Encryption Key] テキスト領域の「-----BEGIN PRIVATE KEY-----」セクションと「-----END PRIVATE KEY-----」セクションの間に p8 キーファイルの内容を貼り付けます。
    CODE 
    -----BEGIN PRIVATE KEY-----
// Insert p8 key content here
-----END PRIVATE KEY-----
  3. Save をクリックします。

応答を暗号化するための IdP の設定

各 IdP には、応答を暗号化するための設定がそれぞれ必要です。次の手順の概要に従います。

  1. IdP で SAML 暗号化を有効にします。一部の IdP では、これはアサーション暗号化と呼ばれています。
  2. 暗号化アルゴリズムを選択します。任意の暗号化方式を選択できます。または、一部の IdP では自動的に選択されます。
  3. x509 証明書の生成」で生成した x509 証明書をアップロードします。

SAML 応答が暗号化されていることの確認

コントローラで SAML の暗号化を有効にしていて、IdP からの SAML 応答が暗号化されていない場合、SAML 認証を使用してコントローラにログインするときに、コントローラが SAML 認証を拒否します。

SAML 応答が暗号化されていることを確認するには、次の手順を実行します。

  1. SAML 認証設定の確認」で説明されているサービスプロバイダー(コントローラ)の SAML フローを使用してコントローラにサインインします。
  2. ブラウザの開発者コンソールの [ネットワーク(Networks)] タブで、<controller_domain_name> <account_name> のようなネットワーク要求を見つけます。
    CODE 
    http://<controller_domain_name>:8090/controller/saml-auth?accountName=<account_name>
  3. このネットワーク要求を選択し、パラメータ SAMLResponse を特定します。
    CODE 
    SAMLResponse=PD94bWwgdmVyc2lvbj0iMS4wIiBlbmNvZGluZz0iVVRGLTgiPz48c2FtbDJwOlJlc3BvbnNlIERlc3RpbmF0aW9uPSJodHRwOi8vZWMyLTU0LTIxMi0wLTIxNi51cy13ZXN0LTIuY29tcHV0ZS5hbWF6b25hd3MuY29tOjgwODA]gRm9yb...
  4. SAML 応答が暗号化されている場合は、base64 を使用して暗号化された SAML 応答を復号および展開できます。復号および展開された文字列には SAML XML 応答が含まれている必要があります。
    CODE 
    base64 --decode SAMLResponse=PD94bWwgdmVyc2lvbj0iMS4wIiBlbmNvZGluZz0iVVRGLTgiPz48c2FtbDJwOlJlc3BvbnNlIERlc3RpbmF0aW9uPSJodHRwOi8vZWMyLTU0LTIxMi0wLTIxNi51cy13ZXN0LTIuY29tcHV0ZS5hbWF6b25hd3MuY29tOjgwODA]gRm9yb...