在 AppScan Enterprise 中啟用 SAML 型 SSO 的加密
當使用者登入 SP(在此情況下指的是 AppScan Enterprise)時,系統會將要求傳送至 IdP 以鑑別使用者。您可以在 AppScan Enterprise Server 中安裝自簽憑證,以加密在 SP 與 IdP 之間所發生的這個鑑別和核准要求程序。
開始之前
- 您必須是 AppScan Enterprise 管理員,才能啟用 SAML 的加密。
- 您必須已在 AppScan Enterprise 中配置 SAML SSO 服務提供者。
執行這項作業的原因和時機
本節說明如何在 AppScan Enterprise 中啟用 SAML 型 SSO 的加密。
程序
- 將 openssl-1.0.2j-fips-x86_64 下載至已安裝 AppScan Enterprise 應用程式的電腦。
- 停止 HCL Appscan Enterprise Server 服務。
- 開啟終端機,並將目錄從根目錄切換為已下載檔案的 <openssl directory>\ openssl-1.0.2j-fips-x86_64\OpenSSL\bin 目錄。
-
執行下列指令,以產生應用程式的自簽憑證及私密金鑰。
- 設定 OPENSSL_CONF=D:\Downloads\openssl-1.0.2j-fips-x86_64\OpenSSL\bin\openssl.cnf
- openssl req -newkey rsa:2048 -x509 -keyout cakey.pem -out cacert.pem -days 3650 - 此指令會產生憑證值。
- openssl pkcs12 -export -in cacert.pem -inkey cakey.pem -out identity.p12 -name "<password provided during certification generation>"
- openssl pkcs8 -topk8 -inform pem -nocrypt -in cakey.pem -outform pem -out sp.pem - 此指令會產生包含私密金鑰值的 sp.pem 檔案。
系統會產生憑證和私密金鑰值。 - 使用 HTTPs://www.samltool.com/format_x509cert.php 工具,將憑證和私密金鑰值轉換為單行字串。
- 將已轉換的憑證字串值和私密金鑰複製到記事本。
- 移至已安裝 AppScan Enterprise 應用程式的伺服器。
- 導覽至安裝 AppScan Enterprise 軟體套件之安裝目錄中的配置檔資料夾。例如:<installation directory>\AppScan Enterprise\Liberty\usr\servers\ase\config。
- 在文字編輯器中找出並開啟 SAML 配置內容檔,即 onelogin.saml.properties。
-
依照下表所述,更新自訂內容值的產生值:
SAML 內容 要更新的內容值 onelogin.saml2.sp.x509cert 以所產生及轉換的自簽憑證值來更新值。 onelogin.saml2.sp.privatekey 以所轉換的私密金鑰值來更新。 onelogin.saml2.strict 將值設為 true。 onelogin.saml2.security.nameid_encrypted 將值設為 true。 onelogin.saml2.security.authnrequest_signed 將值設為 true。 onelogin.saml2.security.want_assertions_signed 將值設為 true。 onelogin.saml2.security.want_xml_validation 將值設為 true。 - 更新 onelogin.saml.properties 檔案之後,請儲存並關閉該檔案。
- 執行「配置精靈」,然後選取為了供 Liberty Server 使用而產生的自簽憑證。
- 重新啟動 HCL Appscan Enterprise Server 服務。