Configuration des approbations signées au format XMLDSIG

Identity Manager vous permet d'ajouter des approbations signées au format XMLDSIG, incluant un horodatage numérique conforme RFC 316, au processus d'approbation d'Identity Manager. Lorsque vous configurez Identity Manager pour utiliser les approbations signées XMLDSIG, aucun changement n'est visible des approbateurs à moins qu'ils n'affichent l'approbation dans le journal d'audit. Seul le format de l'approbation signée stockée dans l'enregistrement du journal d'audit est changé.

Comme avec les approbations signées préalables d'Identity Manager, un applet est lancé sur la machine cliente et l'approbateur se voit présenter les informations d'approbation à signer. Il choisit ensuite un keystore et une clé avec laquelle signer l'approbation.

Une fois que l'approbateur a signé l'approbation, un document XMLDSIG contenant les données de l'approbation est créé. Ce document est renvoyé au serveur qui valide le document signé XMLDSIG. En cas de réussite et si les horodatages numériques RFC 3161 ont été configurés, un horodatage numérique est également généré pour ce document. L'horodatage récupéré de l'autorité d'horodatage (TSA) est contrôlé pour voir s'il ne présente pas d'erreurs et ses certificats sont validés. Enfin, en cas de réussite, Identity Manager génère un enregistrement de journal système qui inclut l'objet approbation signé au format XMLDSIG dans la colonne XML blob.

Format des données d'approbation

Le format d'un objet Approbation au format XMLDSIG est le suivant :

<XMLSignedData signedContent="...base64 transaction text ...">
   <XMLSignature>
      <TSATimestamp>
         ...The base64 encoded PKCS7 timestamp token returned by the TSA...
      </TSATimestamp
      <Signature>
        <SignedInfo>...XMLDSIG stuff...</SignedInfo>
        <SignatureValue>...base64 signature value</SignatureValue>
        <KeyInfo>...cert info for signer</KeyInfo>
      </Signature>
   </XMLSignature>
</XMLSignedData>

Où :

• Les données d'approbation base64 consistent en le texte de données d'approbation réel qui est présenté à l'approbateur dans l'applet, codé au format base64.

• L'élément <TSATimestamp> contient la réponse d'horodatage PKCS7 codée en base64 de l'autorité d'horodatage (Timestamp Authority, TSA).

• L'ensemble de la <Signature> englobe les données de signature XMLDSIG.

Ce document XMLDSIG est stocké dans la colonne XML de l'enregistrement d'approbation du journal d'audit.

Installation et configuration

Les exigences d'installation et de configuration pour l'utilisation des approbations signées XMLDSIG sont identiques à celles décrites dans Pour activer la configuration côté serveur pour les approbations signées, exception faite d'une étape supplémentaire. Vous devez signer le fichier xmlsec-1.4.2.jar en plus de signer le fichier ts2.jar.

Configuration des approbations

Vous pouvez utiliser les attributs de configuration pour :

• Choisir le format SignedData ou le format XMLSignedData. Vous remarquerez que vous ne pouvez configurer qu'un format à la fois, bien que les administrateurs puissent changer ce paramètre si besoin est.

• Inclure un horodatage numérique récupéré d'une autorité d'horodatage RFC configurée.

• Spécifier un URL, HTTP uniquement, duquel récupérer cet horodatage.

Pour éditer ces attributs, utilisez les pages de débogage d'Identity Manager pour éditer l'objet Configuration système. Ces attributs figurent tous sous security.nonrepudiation, avec les autres attributs d'approbation signée.

Les attributs XMLDSIG sont les suivants :

• security.nonrepudiation.useXmlDigitalSignatures est une valeur booléenne qui active les signatures XMLDSIG.

• security.nonrepudiation.timestampXmlDigitalSignatures est une valeur booléenne qui inclut les horodatages numériques RFC 3161 dans les signatures XMLDSIG.

• security.nonrepudiation.timestampServerURL est une valeur de chaîne où l'URL pointe sur la TSA basée sur HTTP de laquelle sont récupérés les horodatages.

• Vous devez d'abord définir l'attribut useSignedApprovals existant sur true pour que les attributs précédents aient un effet.

• Identity Manager ne prend pas en charge les signatures multiples sur une approbation ni les approbations signées pour des demandes de provisioning plus générales.