Tutorial: Verwalten von Zertifikaten für die einmalige Verbundanmeldung

In diesem Artikel werden häufig gestellte Fragen sowie Informationen zu den Zertifikaten behandelt, die Microsoft Entra ID erstellt, um die einmalige Verbundanmeldung (Single Sign-On, SSO) für Ihre Software-as-a-Service-Anwendungen (SaaS-Anwendungen) einzurichten. Fügen Sie Anwendungen aus dem Microsoft Entra-Anwendungskatalog oder über Anwendungsvorlagen hinzu, die nicht aus dem Katalog stammen. Konfigurieren der Anwendung mit der Option für Verbund-SSO.

Dieses Tutorial gilt nur für Apps, die für die Verwendung von Microsoft Entra-SSO über den Verbund mit Security Assertion Markup Language (SAML) konfiguriert sind.

In diesem Tutorial lernen Administratoren der Anwendung Folgendes:

• Generieren von Zertifikaten für Katalog- und Nicht-Kataloganwendungen
• Anpassen der Ablaufdatumsangaben für Zertifikate
• Hinzufügen von E-Mail-Adressen für Benachrichtigungen zu Ablaufdatumsangaben von Zertifikaten
• Erneuern von Zertifikaten

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Erstellen Sie ein kostenloses Konto, falls Sie noch keines besitzen.
• Eine der folgenden Rollen: Globaler Administrator, Administrator für privilegierte Rollen, Cloudanwendungsadministrator oder Anwendungsadministrator.
• Eine Unternehmensanwendung, die in Ihrem Microsoft Entra-Mandanten konfiguriert wurde.

Automatisch generiertes Zertifikat für Katalog- und andere Anwendungen

Wenn Sie eine neue Anwendung aus dem Katalog hinzufügen und eine SAML-basierte Anmeldung konfigurieren (indem Sie auf der Anwendungsübersichtsseite die Optionen Einmaliges Anmelden>SAML auswählen), generiert Microsoft Entra ID für die Anwendung ein selbstsigniertes Zertifikat, das drei Jahre lang gültig ist. Wenn Sie das aktive Zertifikat als Sicherheitszertifikatsdatei (CER-Datei) herunterladen möchten, kehren Sie zu dieser Seite (SAML-basierte Anmeldung) zurück, und wählen Sie unter der Überschrift SAML-Signaturzertifikat einen Downloadlink aus. Sie können das Rohzertifikat (binär) oder das Base64-Zertifikat (in Base64-codiertem Textformat) auswählen. Bei Kataloganwendungen wird in diesem Abschnitt möglicherweise auch ein Link angezeigt, über den Sie je nach Anforderung der Anwendung das Zertifikat als Verbundmetadaten-XML (XML-Datei) herunterladen können.

Sie können auch ein aktives oder inaktives Zertifikat herunterladen, indem Sie neben der Überschrift SAML-Signaturzertifikat das Symbol Bearbeiten (Stiftsymbol) auswählen, wodurch die Seite SAML-Signaturzertifikat angezeigt wird. Wählen Sie die Auslassungspunkte (...) neben dem Zertifikat aus, das Sie herunterladen möchten, und wählen Sie dann das gewünschte Zertifikatformat aus. Als weitere Option können Sie das Zertifikat im Privacy Enhanced Mail-(PEM-)Format herunterladen. Dieses Format ist mit Base64 identisch, weist jedoch die Dateinamenerweiterung PEM auf, die in Windows nicht als Zertifikatformat erkannt wird.

Anpassen des Ablaufdatums für das Verbundzertifikat und Rollover zu einem neuen Zertifikat

Standardmäßig konfiguriert Azure ein Zertifikat so, dass es nach drei Jahren abläuft, wenn es automatisch während der SAML-SSO-Konfiguration erstellt wird. Weil Sie das Datum eines Zertifikats nach dem Speichern des Zertifikats nicht ändern können, müssen Sie die folgenden Schritte ausführen:

1. Erstellen Sie ein neues Zertifikat mit dem gewünschten Datum.
2. Speichern Sie das neue Zertifikat.
3. Laden Sie das neue Zertifikat im richtigen Format herunter.
4. Laden Sie das neue Zertifikat in die Anwendung hoch.
5. Aktivieren Sie das neue Zertifikat im Microsoft Entra Admin Center.

Die zwei folgenden Abschnitte unterstützen Sie beim Ausführen dieser Schritte.

Erstellen eines neuen Zertifikats

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Zuerst müssen Sie das neue Zertifikat mit einem anderen Ablaufdatum erstellen und speichern:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen>Alle Anwendungen.
3. Geben Sie den Namen einer vorhandenen Anwendung in das Suchfeld ein, und wählen Sie die Anwendung in den Ergebnissen aus.
4. Wählen Sie im Abschnitt Verwalten die Option Einmaliges Anmelden aus.
5. Wenn die Seite SSO-Methode auswählen angezeigt wird, wählen Sie SAML aus.
6. Navigieren Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten zur Überschrift SAML-Signaturzertifikat, und wählen Sie das Symbol Bearbeiten (Bleistift) aus. Die Seite SAML-Signaturzertifikat wird geöffnet. Auf dieser Seite werden der Status (Aktiv oder Inaktiv), das Ablaufdatum und der Fingerabdruck (eine Hashzeichenfolge) für jedes Zertifikat angezeigt.
7. Wählen Sie Neues Zertifikat aus. Unterhalb der Zertifikatliste wird eine neue Zeile angezeigt, in der das Ablaufdatum standardmäßig auf genau drei Jahre nach dem aktuellen Datum festgelegt ist. (Da Ihre Änderungen noch nicht gespeichert wurden, können Sie das Ablaufdatum noch ändern.)
8. Zeigen Sie in der neuen Zertifikatzeile mit dem Mauszeiger auf die Spalte „Ablaufdatum“, und wählen Sie das Symbol Datum auswählen (einen Kalender) aus. Daraufhin wird ein Kalendersteuerelement mit den Tagen eines Monats des aktuellen Ablaufdatums in der neuen Zeile angezeigt.
9. Verwenden Sie das Kalendersteuerelement, um ein neues Datum festzulegen. Sie können ein beliebiges Datum zwischen dem aktuellen Datum und drei Jahre nach dem aktuellen Datum festlegen.
10. Wählen Sie Speichern aus. Das neue Zertifikat wird jetzt mit dem Status Inaktiv, dem von Ihnen ausgewählten Ablaufdatum und einem Fingerabdruck angezeigt.

    Hinweis

    Wenn Ihr vorhandenes Zertifikat abgelaufen ist und Sie ein neues Zertifikat generieren, dann wird dieses neue Zertifikat beim Signieren von Token berücksichtigt, auch wenn Sie es noch nicht aktiviert haben.

11. Wählen Sie das X aus, um zur Seite Einmaliges Anmelden (SSO) mit SAML einrichten zurückzukehren.

Hochladen und Aktivieren eines Zertifikats

Als Nächstes müssen Sie das neue Zertifikat im richtigen Format herunterladen, in die Anwendung hochladen und in Microsoft Entra ID als aktiv festlegen:

1. Mit einer der folgenden Optionen können Sie für die Anwendung weitere Konfigurationsanweisungen für die SAML-Anmeldung einblenden.

   • Wählen Sie den Link Konfigurationsleitfaden aus, um die Anleitung in einem separaten Browserfenster oder -tab zu öffnen.
   • Rufen Sie die Überschrift Einrichten auf, und wählen Sie Schritt-für-Schritt-Anleitung anzeigen aus, um die Anleitung in einer Randleiste anzuzeigen.

2. Beachten Sie in den Anweisungen das für den Zertifikatupload erforderliche Codierungsformat.

3. Folgen Sie den Anweisungen, die weiter oben im Abschnitt Automatisch generiertes Zertifikat für Katalog- und andere Anwendungen beschrieben werden. In diesem Schritt wird das Zertifikat in dem für den Upload durch die Anwendung erforderlichen Codierungsformat heruntergeladen.

4. Wenn Sie einen Rollover auf das neue Zertifikat ausführen möchten, wechseln Sie zurück zur Seite SAML-Signaturzertifikat, und wählen Sie in der neu gespeicherten Zertifikatzeile die Auslassungspunkte (...) aus, und wählen Sie dann Zertifikat als aktiv festlegen aus. Der Status des neuen Zertifikats ändert sich in Aktiv, und der Status des zuvor aktiven Zertifikats ändert sich in Inaktiv.

5. Fahren Sie mit den zuvor angezeigten Konfigurationsanweisungen für die SAML-basierte Anmeldung für die Anwendung fort, um das SAML-Signaturzertifikat im richtigen Codierungsformat hochzuladen.

Wenn ihre Anwendung keine Funktion zur Überprüfung der Zertifikatgültigkeit hat und das Zertifikat mit Microsoft Entra ID und Ihrer Anwendung übereinstimmt, bleibt es auch nach Ablauf weiterhin abrufbar. Stellen Sie sicher, dass Ihre Anwendung das Ablaufdatum des Zertifikats überprüfen kann.

Wenn Sie die Validierung des Zertifikatablaufs weiterhin deaktiviert lassen möchten, sollte das neue Zertifikat erst erstellt werden, wenn Ihr geplantes Wartungsfenster für den Zertifikatrollover erfolgt. Wenn in der Anwendung sowohl ein abgelaufenes als auch ein inaktives gültiges Zertifikat vorhanden ist, verwendet Microsoft Entra ID automatisch das gültige Zertifikat. In diesem Fall kann es bei Benutzern zu einem Anwendungsausfall kommen.

Hinzufügen von E-Mail-Adressen für Benachrichtigungen für den Zertifikatablauf

Microsoft Entra ID sendet 60, 30 und 7 Tage vor Ablauf des SAML-Zertifikats eine Benachrichtigung per E-Mail. Sie können mehrere E-Mail-Adressen für den Empfang von Benachrichtigungen hinzufügen. Gehen Sie wie folgt vor, um die E-Mail-Adressen anzugeben, an die die Benachrichtigungen gesendet werden sollen:

1. Navigieren Sie auf der Seite SAML-Signaturzertifikat zur Überschrift E-Mail-Adressen für Benachrichtigungen. Für diese Überschrift wird standardmäßig nur die E-Mail-Adresse des Administrators verwendet, der die Anwendung hinzugefügt hat.
2. Geben Sie unter der letzten E-Mail-Adresse die E-Mail-Adresse ein, an die eine Benachrichtigung über den Ablauf des Zertifikats gesendet werden soll, und drücken Sie dann die EINGABETASTE.
3. Wiederholen Sie den vorherigen Schritt für jede E-Mail-Adresse, die Sie hinzufügen möchten.
4. Wählen Sie für jede zu löschende E-Mail-Adresse das Symbol Löschen (den Papierkorb) neben der jeweiligen E-Mail-Adresse aus.
5. Wählen Sie Speichern aus.

Sie können der Benachrichtigungsliste bis zu fünf E-Mail-Adressen hinzufügen (einschließlich der E-Mail-Adresse des Administrators, der die Anwendung hinzugefügt hat). Wenn Sie mehr Personen Benachrichtigen möchten, verwenden Sie die E-Mail-Verteilerliste.

Sie erhalten die Benachrichtigungs-E-Mail von azure-noreply@microsoft.com. Um zu verhindern, dass die E-Mail in Ihrem Spamordner landet, müssen Sie die E-Mail-Adresse zu Ihren Kontakten hinzufügen.

Verlängern eines Zertifikats, das bald abläuft

Wenn ein Zertifikat in Kürze abläuft, können Sie es mithilfe eines Verfahrens erneuern, das zu keinen wesentlichen Ausfallzeiten für Ihre Benutzer führt. Gehen Sie wie folgt vor, um ein ablaufendes Zertifikat zu erneuern:

1. Befolgen Sie die weiter oben im Abschnitt Erstellen eines neuen Zertifikats aufgeführten Anweisungen, und verwenden Sie dabei ein Datum, das sich mit dem des vorhandenen Zertifikats überschneidet. Das Datum beschränkt die durch den Ablauf des Zertifikats verursachten Ausfallzeiten.

2. Wenn die Anwendung einen automatischen Rollover für ein Zertifikat ausführen kann, führen Sie die folgenden Schritte aus, um das neue Zertifikat zu aktivieren.

   1. Wechseln Sie zurück zur Seite SAML-Signaturzertifikat.
   2. Wählen Sie in der neu gespeicherten Zertifikatzeile die Auslassungspunkte (...) aus, und wählen Sie dann Zertifikat als aktiv festlegen aus.
   3. Überspringen Sie die nächsten zwei Schritte.

3. Wenn die Anwendung jeweils nur ein Zertifikat verarbeiten kann, wählen Sie ein Intervall für Ausfallzeiten aus, um den nächsten Schritt ausführen zu können. (Wenn die Anwendung das neue Zertifikat nicht automatisch übernimmt, aber mehrere Signaturzertifikate gleichzeitig verarbeiten kann, können Sie den nächsten Schritt jederzeit auszuführen.)

4. Führen Sie vor Ablauf des alten Zertifikats die weiter oben im Abschnitt Hochladen und Aktivieren eines Zertifikats beschriebenen Schritte aus. Wenn Sie das Zertifikat Ihrer Anwendung nach dem Aktualisieren eines neuen Zertifikats in Microsoft Entra ID nicht ebenfalls aktualisieren, schlägt die Authentifizierung in Ihrer Anwendung möglicherweise fehl.

5. Melden Sie sich bei der Anwendung an, um sicherzustellen, dass das Zertifikat ordnungsgemäß funktioniert.

Wenn ihre Anwendung keine Funktion zur Überprüfung der Zertifikatgültigkeit hat und das Zertifikat mit Microsoft Entra ID und Ihrer Anwendung übereinstimmt, bleibt es auch nach Ablauf weiterhin abrufbar. Stellen Sie sicher, dass Ihre Anwendung das Ablaufdatum des Zertifikats überprüft.

Verwandte Artikel

• Anwendungsverwaltung in Microsoft Entra ID
• Einmaliges Anmelden bei Anwendungen in Microsoft Entra ID
• Debuggen des SAML-basierten einmaligen Anmeldens bei Anwendungen in Microsoft Entra ID