Vynucení podepsaných žádostí o ověření SAML
Ověření podpisu požadavku SAML je funkce, která ověřuje podpis podepsaných žádostí o ověření. Správce aplikace teď může povolit a zakázat vynucení podepsaných požadavků a nahrát veřejné klíče, které by se měly použít k ověření.
Pokud je povolené Microsoft Entra ID ověří požadavky na nakonfigurované veřejné klíče. V některých scénářích můžou požadavky na ověřování selhat:
- Protokol není povolený pro podepsané požadavky. Podporuje se pouze protokol SAML.
- Požadavek není podepsaný, ale je povoleno ověření.
- Pro ověření podpisu požadavku SAML není nakonfigurovaný žádný ověřovací certifikát. Další informace o požadavcích na certifikát naleznete v tématu Možnosti podepisování certifikátů.
- Ověření podpisu se nezdařilo.
- Chybí identifikátor klíče v požadavku a dva naposledy přidané certifikáty se neshodovaly s podpisem žádosti.
- Požadavek podepsaný, ale chybí algoritmus.
- Žádný certifikát odpovídající zadanému identifikátoru klíče.
- Algoritmus podpisu není povolený. Podporuje se jenom RSA-SHA256.
Poznámka:
Prvek Signature
v AuthnRequest
prvcích je volitelný. Pokud Require Verification certificates
není zaškrtnuté, Microsoft Entra ID neověřuje podepsané žádosti o ověření, pokud existuje podpis. Ověření žadatele je poskytováno pouze reagováním na registrované adresy URL služby Assertion Consumer Service.
Pokud
Require Verification certificates
je kontrola zaškrtnutá, ověřování podpisů žádostí SAML bude fungovat pouze u žádostí o ověření iniciovaných poskytovatelem služeb nebo předávající stranou. Přístup k privátním a veřejným klíčům pro podepisování příchozích žádostí o ověření SAML z aplikace bude mít pouze aplikace nakonfigurovaná poskytovatelem služeb. Veřejný klíč by se měl nahrát, aby se povolilo ověření žádosti. V takovém případě bude mít ID Microsoft Entra přístup pouze k veřejnému klíči.
Povolení
Require Verification certificates
nepovolí ověření žádostí o ověřování iniciované protokolem IDP (jako je funkce testování jednotného přihlašování, MyApps nebo spouštěč aplikací M365), protože protokol IDP nebude mít stejné privátní klíče jako zaregistrovaná aplikace.
Požadavky
Pokud chcete nakonfigurovat ověření podpisu požadavku SAML, potřebujete:
- Uživatelský účet Microsoft Entra. Pokud ho ještě nemáte, můžete si zdarma vytvořit účet.
- Jedna z následujících rolí: Správce cloudových aplikací, Správce aplikací nebo vlastník instančního objektu.
Tip
Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.
Konfigurace ověření podpisu žádosti SAML
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
Přejděte k podnikovým aplikacím>Identita>Aplikace>Všechny aplikace.
Do vyhledávacího pole zadejte název existující aplikace a z výsledků hledání vyberte aplikaci.
Přejděte na jednotné přihlašování.
Na obrazovce jednotného přihlašování přejděte k pododdílu s názvem Ověřovací certifikáty v rámci certifikátů SAML.
Vyberte položku Upravit.
V novém podokně můžete povolit ověření podepsaných požadavků a vyjádřit výslovný souhlas s ověřováním slabých algoritmů v případě, že vaše aplikace stále používá RSA-SHA1 k podepsání žádostí o ověření.
Pokud chcete povolit ověření podepsaných požadavků, vyberte Vyžadovat ověřovací certifikáty a nahrajte ověřovací veřejný klíč, který odpovídá privátnímu klíči použitému k podepsání žádosti.
Po nahrání ověřovacího certifikátu vyberte Uložit.
Pokud je povolené ověření podepsaných požadavků, testovací prostředí je zakázané, protože poskytovatel služeb musí žádost podepsat.
Pokud chcete zobrazit aktuální konfiguraci podnikové aplikace, můžete přejít na obrazovku jednotného přihlašování a zobrazit souhrn konfigurace v části Certifikáty SAML. Uvidíte, jestli je povolené ověření podepsaných požadavků a počet aktivních a prošlých ověřovacích certifikátů.
Další kroky
- Zjistěte, jak Microsoft Entra ID používá protokol SAML.
- Informace o formátu, vlastnostech zabezpečení a obsahu tokenů SAML v Microsoft Entra ID