Identity Manager le permite agregar a su proceso de aprobación aprobaciones firmadas en formato XMLDSIG, incluida una marca de fecha y hora digital conforme con RFC. Cuando se configura Identity Manager para utilizar aprobaciones firmadas en formato XMLDSIG, los aprobadores no perciben los cambios a no ser que visualicen la aprobación en el registro de auditoría. Sólo varía el formato de la aprobación firmada que se almacena en el registro de auditoría.
Como en el caso de las anteriores aprobaciones firmadas en Identity Manager, en la máquina cliente se ejecuta un applet y se presenta al aprobador la información de aprobación para que la firme. A continuación, elige un almacén de claves y una clave para firmar la aprobación.
Una vez que el aprobador ha firmado la aprobación, se crea un documento XMLDSIG que contiene los datos de la aprobación. Este documento se devuelve al servidor, que valida el documento firmado en XMLDSIG. Si el resultado es satisfactorio y se han configurado marcas digitales de fecha y hora RFC 3161, también se genera una marca digital de fecha y hora para este documento. La marca de fecha y hora emitida por la autoridad de marca de fecha y hora (TSA) se verifica para detectar posibles errores y se validan sus certificados. Por último, si todo es correcto, Identity Manager genera un registro de auditoría que incluye el objeto de la aprobación firmada en formato XMLDSIG dentro de la columna blob XML.
Éste es el formato de un objeto de aprobación en formato XMLDSIG:
<XMLSignedData signedContent="...base64 transaction text ..."> <XMLSignature> <TSATimestamp> ...The base64 encoded PKCS7 timestamp token returned by the TSA... </TSATimestamp <Signature> <SignedInfo>...XMLDSIG stuff...</SignedInfo> <SignatureValue>...base64 signature value</SignatureValue> <KeyInfo>...cert info for signer</KeyInfo> </Signature> </XMLSignature> </XMLSignedData>
donde:
Los datos de aprobación base64 son el texto de los datos de la aprobación real presentado al aprobador en el applet, codificado en formato base64.
El elemento <TSATimestamp> contiene la respuesta de marca de fecha y hora PKCS7 codificada en base64 procedente de la autoridad de marcas de fecha y hora (TSA).
El elemento <Signature> contiene los datos de la firma en XMLDSIG.
Este documento XMLDSIG se almacena en la columna XML del registro de aprobación del registro de auditoría.
Los requisitos de instalación y configuración para utilizar aprobaciones firmadas en formato XMLDSIG son iguales a los descritos dentro del apartado Para habilitar la configuración del lado del servidor para aprobaciones firmadas, pero con un paso más. Debe firmar el archivo xmlsec-1.4.2.jar además del archivo ts2.jar.
Puede utilizar los atributos de configuración del sistema para:
Elegir el formato SignedData o XMLSignedData . Recuerde que sólo puede configurar un único formato simultáneamente, aunque los administradores pueden cambiar este valor según convenga.
Incluir una marca digital de fecha y hora obtenida de una autoridad de marcas de fecha y hora (TSA) configurada conforme con RFC 3161.
Especificar una URL, sólo en HTTP, desde la cual obtener esta marca de fecha y hora.
Si desea editar estos atributos, utilice las páginas de depuración de Identity Manager para editar el objeto de configuración del sistema. Todos estos atributos se encuentran dentro de security.nonrepudiation, junto con otros atributos de aprobación firmada.
Los atributos XMLDSIG incluyen:
security.nonrepudiation.useXmlDigitalSignatures es un valor booleano que habilita las firmas XMLDSIG.
security.nonrepudiation.timestampXmlDigitalSignatures es un valor booleano que incluye marcas digitales de fecha y hora RFC 3161 en firmas XMLDSIG.
security.nonrepudiation.timestampServerURL es un valor de cadena donde la URL señala a la TSA basada en HTTP de la cual se obtienen marcas de fecha y hora.
Para que cualquiera de los atributos anteriores tenga efecto, antes debe configurar el atributo useSignedApprovals existente en true.
Identity Manager no admite varias firmas en una única aprobación ni aprobaciones firmadas para solicitudes de abastecimiento más genéricas.