在 AppScan Enterprise 中啟用 SAML 型 SSO 的加密

當使用者登入 SP(在此情況下指的是 AppScan Enterprise)時,系統會將要求傳送至 IdP 以鑑別使用者。您可以在 AppScan Enterprise Server 中安裝自簽憑證,以加密在 SP 與 IdP 之間所發生的這個鑑別和核准要求程序。

開始之前

  • 您必須是 AppScan Enterprise 管理員,才能啟用 SAML 的加密。
  • 您必須已在 AppScan Enterprise 中配置 SAML SSO 服務提供者。

執行這項作業的原因和時機

本節說明如何在 AppScan Enterprise 中啟用 SAML 型 SSO 的加密。

程序

  1. openssl-1.0.2j-fips-x86_64 下載至已安裝 AppScan Enterprise 應用程式的電腦。
  2. 停止 HCL Appscan Enterprise Server 服務。
  3. 開啟終端機,並將目錄從根目錄切換為已下載檔案的 <openssl directory>\ openssl-1.0.2j-fips-x86_64\OpenSSL\bin 目錄。
  4. 執行下列指令,以產生應用程式的自簽憑證及私密金鑰。
    • 設定 OPENSSL_CONF=D:\Downloads\openssl-1.0.2j-fips-x86_64\OpenSSL\bin\openssl.cnf
    • openssl req -newkey rsa:2048 -x509 -keyout cakey.pem -out cacert.pem -days 3650 - 此指令會產生憑證值。
    • openssl pkcs12 -export -in cacert.pem -inkey cakey.pem -out identity.p12 -name "<password provided during certification generation>"
    • openssl pkcs8 -topk8 -inform pem -nocrypt -in cakey.pem -outform pem -out sp.pem - 此指令會產生包含私密金鑰值的 sp.pem 檔案。
    系統會產生憑證和私密金鑰值。
  5. 使用 HTTPs://www.samltool.com/format_x509cert.php 工具,將憑證和私密金鑰值轉換為單行字串。
  6. 將已轉換的憑證字串值和私密金鑰複製到記事本。
  7. 移至已安裝 AppScan Enterprise 應用程式的伺服器。
  8. 導覽至安裝 AppScan Enterprise 軟體套件之安裝目錄中的配置檔資料夾。例如:<installation directory>\AppScan Enterprise\Liberty\usr\servers\ase\config
  9. 在文字編輯器中找出並開啟 SAML 配置內容檔,即 onelogin.saml.properties
  10. 依照下表所述,更新自訂內容值的產生值:
    SAML 內容要更新的內容值
    onelogin.saml2.sp.x509cert 以所產生及轉換的自簽憑證值來更新值。
    onelogin.saml2.sp.privatekey 以所轉換的私密金鑰值來更新。
    onelogin.saml2.strict 將值設為 true
    onelogin.saml2.security.nameid_encrypted 將值設為 true
    onelogin.saml2.security.authnrequest_signed 將值設為 true
    onelogin.saml2.security.want_assertions_signed 將值設為 true
    onelogin.saml2.security.want_xml_validation 將值設為 true
  11. 更新 onelogin.saml.properties 檔案之後,請儲存並關閉該檔案。
  12. 執行「配置精靈」,然後選取為了供 Liberty Server 使用而產生的自簽憑證。
  13. 重新啟動 HCL Appscan Enterprise Server 服務。