Configuración del certificado SSL para el cifrado y la firma de la capa de aplicación
Configure certificados SSL para aplicaciones, como ThingWorx y PingFederate, con los siguientes fines:
• Firma de SAML y verificación de firma: permite establecer la confianza y verificar el origen original de la solicitud.
• Cifrado y descifrado de XML: se proporciona una comunicación segura de la respuesta de SAML.
Firma de SAML y verificación de firma
La firma se realiza mediante una clave privada y la verificación de la firma se realiza mediante una clave pública.
En el proceso de firma y verificación de firma:
◦ Las comunicaciones del proveedor de servicios al CAS se firman mediante el certificado privado del proveedor de servicios. En el CAS, la verificación de la firma la realiza el certificado público del proveedor de servicios. Además, la comunicación se vuelve a firmar en el CAS mediante el certificado privado del CAS, y en el proveedor de identidad (IdP) la verificación de la firma se realiza mediante el certificado público del CAS.
◦ Las comunicaciones del IdP al CAS se firman mediante el certificado privado del IdP. En el CAS, la verificación de la firma se realiza mediante el certificado público del IdP. Además, la comunicación se vuelve a firmar en el CAS mediante el certificado privado del CAS, y en el proveedor de servicios la verificación de la firma se realiza mediante el certificado público del CAS.
En la siguiente figura se muestra el proceso de firma y verificación de firma entre distintas aplicaciones.
En la figura:
◦ ThingWorx es el proveedor de servicios, PingFederate es el CAS.
◦ El certificado privado de ThingWorx y el certificado público de PingFederate están configurados en el fichero de keystore al que hace referencia la configuración de SSO de ThingWorx.
◦ El certificado público de ThingWorx y el certificado privado de PingFederate están configurados en la sección de configuración del IdP en el servidor de PingFederate.
◦ El certificado público del IdP y el certificado privado de PingFederate se configuran en la sección de configuración del proveedor de servicios en el servidor de PingFederate. El certificado público del IdP se incluye en el fichero Metadata.xml del IdP.
◦ El certificado público de PingFederate se configura en la configuración de la parte dependiente en el IdP. Este certificado se incluye en el fichero Metadata.xml del proveedor de servicios, que se exporta desde el servidor de PingFederate.
Cifrado y descifrado de XML
Las respuestas de SAML, que también contienen la aserción, del IdP al CAS y del CAS al proveedor de servicios se cifran y descifran. Se utilizan los mismos certificados para la firma y el cifrado.
Las comunicaciones del IdP al CAS se cifran mediante el certificado público del CAS, y en el CAS las comunicaciones se cifran mediante el certificado privado del CAS. Además, el certificado público del proveedor de servicios vuelve a cifrar la comunicación en el CAS. En el proveedor de servicios, el certificado privado del proveedor de servicios descifra la comunicación.
En la siguiente figura se muestra el cifrado y descifrado de XML.
En la figura:
◦ ThingWorx es el proveedor de servicios, PingFederate es el CAS.
◦ El certificado privado de ThingWorx se configura en un fichero keystore en el servidor de ThingWorx al que se hace referencia en el fichero sso-settings.json.
◦ El certificado público de ThingWorxy el certificado privado de PingFederate se configuran en la sección de configuración del proveedor de servicios en el servidor de PingFederate.