Pokročilé možnosti podepisování certifikátů v tokenu SAML

  • Článek

Dnes Microsoft Entra ID podporuje tisíce předem integrovaných aplikací v Galerii aplikací Microsoft Entra. Více než 500 aplikací podporuje jednotné přihlašování pomocí protokolu SAML (Security Assertion Markup Language ) 2.0, například aplikace NetSuite . Když se zákazník ověří v aplikaci prostřednictvím MICROSOFT Entra ID pomocí SAML, Microsoft Entra ID odešle do aplikace token (přes HTTP POST). Aplikace pak ověří a použije token k přihlášení zákazníka místo výzvy k zadání uživatelského jména a hesla. Tyto tokeny SAML jsou podepsané jedinečným certifikátem vygenerovaným v Microsoft Entra ID a konkrétními standardními algoritmy.

Microsoft Entra ID používá některá z výchozích nastavení pro aplikace galerie. Výchozí hodnoty se nastavují na základě požadavků aplikace.

V Microsoft Entra ID můžete nastavit možnosti podepisování certifikátů a algoritmus podepisování certifikátů.

Možnosti podpisu certifikátů

Microsoft Entra ID podporuje tři možnosti podepisování certifikátů:

  • Podepište kontrolní výraz SAML. Tato výchozí možnost je nastavená pro většinu aplikací galerie. Pokud vyberete tuto možnost, Microsoft Entra ID jako zprostředkovatel identity (IdP) podepíše kontrolní výraz SAML a certifikát s certifikátem X.509 aplikace.

  • Podepište odpověď SAML. Pokud vyberete tuto možnost, Microsoft Entra ID jako zprostředkovatele identity podepíše odpověď SAML certifikátem X.509 aplikace.

  • Podepište odpověď a kontrolní výraz SAML. Pokud vyberete tuto možnost, Microsoft Entra ID jako zprostředkovatele identity podepíše celý token SAML certifikátem X.509 aplikace.

Algoritmy podepisování certifikátů

Microsoft Entra ID podporuje dva podpisové algoritmy nebo zabezpečené hashovací algoritmy (SHA) pro podepsání odpovědi SAML:

  • SHA-256. Microsoft Entra ID používá tento výchozí algoritmus k podepsání odpovědi SAML. Jedná se o nejnovější algoritmus a je bezpečnější než SHA-1. Většina aplikací podporuje algoritmus SHA-256. Pokud aplikace jako podpisový algoritmus podporuje pouze SHA-1, můžete ji změnit. V opačném případě doporučujeme k podepisování odpovědi SAML použít algoritmus SHA-256.

  • SHA-1. Tento algoritmus je starší a považuje se za méně zabezpečený než SHA-256. Pokud aplikace podporuje pouze tento podpisový algoritmus, můžete tuto možnost vybrat v rozevíracím seznamu Podpisový algoritmus . Microsoft Entra ID pak podepíše odpověď SAML pomocí algoritmu SHA-1.

Požadavky

Pokud chcete změnit možnosti podepisování certifikátů SAML aplikace a algoritmus podepisování certifikátů, potřebujete:

  • Uživatelský účet Microsoft Entra. Pokud ho ještě nemáte, můžete si zdarma vytvořit účet.
  • Jedna z následujících rolí: globální správce, správce cloudových aplikací, správce aplikací nebo vlastník instančního objektu.

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Změna možností podepisování certifikátů a podpisového algoritmu

Změna možností podepisování certifikátů SAML aplikace a algoritmus podepisování certifikátů:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň cloudová aplikace Správa istrator.

  2. Přejděte k podnikovým aplikacím>Identita>Aplikace>Všechny aplikace.

  3. Do vyhledávacího pole zadejte název existující aplikace a z výsledků hledání vyberte aplikaci. V tomto příkladu použijete aplikaci Salesforce.

    Example: Application overview page

Dále změňte možnosti podepisování certifikátu v tokenu SAML pro danou aplikaci:

  1. V levém podokně stránky přehledu aplikace vyberte jednotné přihlašování.

  2. Pokud se zobrazí stránka Nastavení jednotného přihlašování pomocí SAML , přejděte ke kroku 5.

  3. Pokud se nezobrazí stránka Nastavit jednotné přihlašování pomocí SAML , vyberte Změnit režimy jednotného přihlašování.

  4. Na stránce Vybrat metodu jednotného přihlašování vyberte SAML. Pokud SAML není k dispozici, aplikace nepodporuje SAML a můžete ignorovat zbývající část tohoto postupu a článku.

  5. Na stránce Nastavit jednotné přihlašování pomocí SAML najděte nadpis podpisového certifikátu SAML a vyberte ikonu Upravit (tužka). Zobrazí se stránka podpisového certifikátu SAML.

    Example: SAML signing certificate page

  6. V rozevíracím seznamu Možnosti podepisování zvolte Podepisovat odpověď SAML, Podepsat kontrolní výraz SAML nebo Podepsat odpověď SAML a kontrolní výraz. Popisy těchto možností se zobrazí dříve v tomto článku v možnostech podepisování certifikátů.

  7. V rozevíracím seznamu Podpisový algoritmus zvolte SHA-1 nebo SHA-256. Popisy těchto možností se zobrazí dříve v tomto článku v části Algoritmy podepisování certifikátů.

  8. Pokud jste s volbami spokojení, vyberte Uložit a použijte nové nastavení podpisového certifikátu SAML. V opačném případě vyberte X , aby se změny zahodily.

Další kroky