.NET-Fedlet-Verschlüsselung und Entschlüsselung von Abfragen und Antworten (CR 6939005)

Das .NET-Fedlet kann ausgehende XML-Abfragen verschlüsseln und eingehende Antworten auf die Elemente NameID, Attribut und Behauptung abfragen.

So konfigurieren Sie das .NET-Fedlet zum Verschlüsseln und Entschlüsseln von Anforderungen und Antworten:

1. Importieren Sie mithilfe des Snap-Ins Certificates (Zertifikate) für die Microsoft Management Console das X.509-Zertifikat in den Ordner Personal (Persönlich) im Konto Local Computer (Lokaler Computer). Zur Verwendung dieses Snap-Ins beachten Sie den folgenden Microsoft-Artikel:

   http://msdn.microsoft.com/en-us/library/ms788967.aspx

2. Geben Sie einen Anzeigenamen für dieses Zertifikat an, indem Sie den Dialog Eigenschaften aufrufen und einen Wert eingeben. (Speichern Sie diesen Wert für Schritt 4.)

3. Stellen Sie die entsprechenden Genehmigungen ein, um den Lesezugriff auf das Zertifikat für das Benutzerkonto zuzulassen, das vom Internet Information Server (IIS) verwendet wird, wie im Microsoft-Artikel beschrieben. Beispiel:

   1. Im Snap-In Certificates navigieren Sie zu Action (Aktion), All Tasks (Alle Aufgaben) und anschließend zu Manage Private Keys (Private Schlüssel verwalten).

   2. Geben Sie Leseberechtigungen für das Benutzerkonto an, die IIS ausführen (normalerweise NETWORK SERVICE).

4. Geben Sie in der erweiterten Metadatendatei (sp.xml) des .NET-Fedlets den Anzeigenamen an, der in Schritt 2 als Wert für das Attribut encryptionCertAlias angegeben ist. Beispiel:

   <Attribute name="encryptionCertAlias">
   <Value>MyFedlet</Value>

5. Fügen Sie in der Dienstanbieter-Metadatendatei (sp.xml) des .NET-Fedlets den KeyDescriptor für den Verschlüsselungsschlüssel ein.

   Verwenden Sie das Snap-In Certificates für die Microsoft Management Console, das Sie zuvor verwendet haben, um den öffentlichen Schlüssel Ihres Zertifikates in Base64-Codierung im XML-Block KeyDescriptor einzubeziehen. Dieser KeyDescriptor muss das erste untergeordnete Element im SPSSODescriptor sein. Beispiel:

   <KeyDescriptor use="encryption">
              <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
                <ds:X509Data>
                  <ds:X509Certificate>
   MIICQDCCAakCBEeNB0swDQYJKoZIhvcNAQEEBQAwZzELMAkGA1UEBhMCVVMxEzARBgNVBAgTCkNh
   bGlmb3JuaWExFDASBgNVBAcTC1NhbnRhIENsYXJhMQwwCgYDVQQKEwNTdW4xEDAOBgNVBAsTB09w
   ZW5TU08xDTALBgNVBAMTBHRlc3QwHhcNMDgwMTE1MTkxOTM5WhcNMTgwMTEyMTkxOTM5WjBnMQsw
   CQYDVQQGEwJVUzETMBEGA1UECBMKQ2FsaWZvcm5pYTEUMBIGA1UEBxMLU2FudGEgQ2xhcmExDDAK
   BgNVBAoTA1N1bjEQMA4GA1UECxMHT3BlblNTTzENMAsGA1UEAxMEdGVzdDCBnzANBgkqhkiG9w0B
   AQEFAAOBjQAwgYkCgYEArSQc/U75GB2AtKhbGS5piiLkmJzqEsp64rDxbMJ+xDrye0EN/q1U5Of\+
   RkDsaN/igkAvV1cuXEgTL6RlafFPcUX7QxDhZBhsYF9pbwtMzi4A4su9hnxIhURebGEmxKW9qJNY
   Js0Vo5+IgjxuEWnjnnVgHTs1+mq5QYTA7E6ZyL8CAwEAATANBgkqhkiG9w0BAQQFAAOBgQB3Pw/U
   QzPKTPTYi9upbFXlrAKMwtFf2OW4yvGWWvlcwcNSZJmTJ8ARvVYOMEVNbsT4OFcfu2/PeYoAdiDA
   cGy/F2Zuj8XJJpuQRSE6PtQqBuDEHjjmOQJ0rV/r8mO1ZCtHRhpZ5zYRjhRC9eCbjx9VrFax0JDC
   /FfwWigmrW0Y0Q==
                  </ds:X509Certificate>
                </ds:X509Data>
              </ds:KeyInfo>
              <EncryptionMethod
   Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc">
              <KeySize
   xmlns="http://www.w3.org/2001/04/xmlenc#">128</KeySize>
              </EncryptionMethod>
   </KeyDescriptor>

6. Starten Sie den Anwendungspool erneut, der mit Ihrer .NET-Anwendung verknüpft ist.

Nächste Schritte

Verwenden Sie die Musteranwendung, um diese Konfiguration zu testen. Legen Sie auch die folgenden Attribute fest, um mit dem Identity-Anbieter und den entsprechenden Änderungen an den konfigurierten Metadaten Abfragen zu verschlüsseln und Antworten zu entschlüsseln.

• Behauptung: Stellen Sie das Attribut wantAssertionEncrypted in der Metadatendatei sp-extended.xml auf true ein, damit das .NET-Fedlet das Element EncryptedAssertion in eingehenden Antworten des Identity-Anbieters entschlüsseln kann.

• Attribut: Stellen Sie das Attribut wantAttributeEncrypted in der Metadatendatei sp-extended.xml auf true ein, damit das .NET-Fedlet das Element EncryptedAttribute in eingehenden Antworten vom Identity-Anbieter entschlüsseln kann.

• NameID: Stellen Sie das Attribut wantNameIDEncrypted in der Metadatendatei idp-extended.xml auf true ein, damit das .NET-Fedlet das Element NameID in ausgehenden Anforderungen verschlüsseln kann. Stellen Sie das gleiche Attribut in sp-extended.xml ein, damit das .NET-Fedlet das Element EncryptedID in eingehenden Antworten vom Identity-Anbieter entschlüsselt.