Konfigurieren der Microsoft Entra SAML-Tokenverschlüsselung

Hinweis

Die Tokenverschlüsselung ist eine Microsoft Entra ID P1- oder P2-Funktion. Weitere Informationen zu Microsoft Entra-Editionen, -Features und -Preisen finden Sie unter Microsoft Entra-Preise.

Die SAML-Tokenverschlüsselung ermöglicht die Verwendung von verschlüsselten SAML-Assertionen mit einer Anwendung, die diese unterstützt. Sofern für eine Anwendung konfiguriert, verschlüsselt Microsoft Entra ID die für diese Anwendung ausgegebenen SAML-Assertionen mit dem öffentlichen Schlüssel, der aus einem in Microsoft Entra ID gespeicherten Zertifikat abgerufen wurde. Die Anwendung muss das Token mit dem zugehörigen privaten Schlüssel entschlüsseln, bevor es als Nachweis der Authentifizierung für den angemeldeten Benutzer verwendet werden kann.

Die Verschlüsselung der SAML-Assertionen zwischen Microsoft Entra ID und der Anwendung bietet zusätzlichen Schutz vor dem Abfangen von Tokeninhalten, sodass personenbezogene Daten oder Geschäftsdaten nicht gefährdet werden.

Selbst ohne Tokenverschlüsselung werden Microsoft Entra-SAML-Token niemals als Klartext über das Netzwerk weitergegeben. In Microsoft Entra ID muss die Tokenanforderung/-antwort über verschlüsselte HTTPS/TLS-Kanäle durchgeführt werden, sodass die Kommunikation zwischen Identitätsanbieter, Browser und Anwendung über verschlüsselte Verbindungen erfolgt. Wägen Sie die Vorteile der Tokenverschlüsselung und den Aufwand für die Verwaltung weiterer Zertifikate gegeneinander ab.

Um die Tokenverschlüsselung zu konfigurieren, müssen Sie eine X.509-Zertifikatsdatei mit dem öffentlichen Schlüssel in das Microsoft Entra-Anwendungsobjekt hochladen, das die Anwendung repräsentiert. Um das X.509-Zertifikat zu erhalten, können Sie es aus der Anwendung selbst herunterladen oder vom Anwendungsanbieter beziehen, sofern der Anwendungsanbieter Verschlüsselungsschlüssel bereitstellt. Falls die Anwendung die Bereitstellung eines privaten Schlüssels anfordert, kann dieser mithilfe eines Kryptografietools erstellt werden. Hierbei wird der private Schlüssel in den Schlüsselspeicher der Anwendung hochgeladen, und das zugehörige Zertifikat mit dem öffentlichen Schlüssel wird in Microsoft Entra ID hochgeladen.

Microsoft Entra ID verwendet AES-256 zum Verschlüsseln der SAML-Assertionendaten.

Voraussetzungen

Zum Konfigurieren der SAML-Tokenverschlüsselung benötigen Sie Folgendes:

• Ein Microsoft Entra-Benutzerkonto. Falls Sie noch über keins verfügen, können Sie ein kostenloses Konto erstellen.
• Eine der folgenden Rollen: Globaler Administrator, Cloudanwendungsadministrator, Anwendungsadministrator oder Besitzer des Dienstprinzipals.

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Konfigurieren der SAML-Tokenverschlüsselung für Unternehmensanwendungen

In diesem Abschnitt wird beschrieben, wie Sie die SAML-Tokenverschlüsselung der Unternehmensanwendung konfigurieren. Anwendungen, die über das Blatt Unternehmensanwendungen im Microsoft Entra Admin Center eingerichtet wurden, sowohl Apps aus dem Anwendungskatalog als auch nicht aus dem Katalog stammende Apps. Für Anwendungen, die über die Funktion App-Registrierungen registriert wurden, befolgen Sie die Anleitung zum Konfigurieren der SAML-Tokenverschlüsselung für registrierte Anwendungen.

Führen Sie zum Konfigurieren der SAML-Tokenverschlüsselung für Unternehmensanwendungen die folgenden Schritte aus:

1. Rufen Sie ein Zertifikat mit einem öffentlichen Schlüssel ab, das einem in der Anwendung konfigurierten privaten Schlüssel entspricht.

   Erstellen Sie ein asymmetrisches Schlüsselpaar für die Verschlüsselung. Wenn die Anwendung einen öffentlichen Schlüssel für die Verschlüsselung bereitstellt, befolgen Sie stattdessen die Anwendungsanweisungen zum Herunterladen des X.509-Zertifikats.

   Der öffentliche Schlüssel sollte in einer X.509-Zertifikatsdatei im CER-Format gespeichert sein. Sie können den Inhalt der Zertifikatdatei in einen Text-Editor kopieren und als CER-Datei speichern. Die Zertifikatdatei sollte nur den öffentlichen Schlüssel und nicht den privaten Schlüssel enthalten.

   Wenn die Anwendung einen Schlüssel verwendet, den Sie für Ihre Instanz erstellen, folgen Sie den Anwendungsanweisungen zum Installieren des privaten Schlüssels, mit dem die Anwendung Token von Ihrem Microsoft Entra-Mandanten entschlüsselt.

2. Fügen Sie das Zertifikat der Anwendungskonfiguration in Microsoft Entra ID hinzu.

Konfigurieren der Tokenverschlüsselung im Microsoft Entra Admin Center

Sie können Ihrer Anwendungskonfiguration das öffentliche Zertifikat im Microsoft Entra Admin Center hinzufügen.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen>Alle Anwendungen.

3. Geben Sie den Namen einer vorhandenen Anwendung in das Suchfeld ein, und wählen Sie die Anwendung in den Ergebnissen aus.

4. Wählen Sie auf der Anwendungsseite die Option Tokenverschlüsselung aus.

   

   Hinweis

   Die Option Tokenverschlüsselung ist nur für SAML-Anwendungen verfügbar, die über das Blatt Unternehmensanwendungen im Microsoft Entra Admin Center eingerichtet wurden, sowohl Apps aus dem Anwendungskatalog als auch nicht aus dem Katalog stammende Apps. Für andere Anwendungen ist diese Menüoption deaktiviert.

5. Wählen Sie auf der Seite Tokenverschlüsselung die Option Zertifikat importieren aus, um die CER-Datei mit Ihrem öffentlichen X.509-Zertifikat zu importieren.

   

6. Nachdem das Zertifikat importiert und der private Schlüssel zur Verwendung auf Anwendungsseite konfiguriert wurde, aktivieren Sie die Verschlüsselung, indem Sie neben dem Fingerabdruckstatus auf ... klicken und anschließend aus dem Dropdownmenü die Option Tokenverschlüsselung aktivieren auswählen.

7. Wählen Sie Ja aus, um die Aktivierung des Zertifikats zur Tokenverschlüsselung zu bestätigen.

8. Bestätigen Sie, dass die für die Anwendung ausgegebenen SAML-Assertionen verschlüsselt sind.

So deaktivieren Sie die Tokenverschlüsselung im Microsoft Entra Admin Center

1. Wechseln Sie im Microsoft Entra Admin Center zu Identität>Anwendungen>Unternehmensanwendungen>Alle Anwendungen, und wählen Sie dann die Anwendung aus, für die die SAML-Tokenverschlüsselung aktiviert ist.

2. Wählen Sie auf der Anwendungsseite die Option Tokenverschlüsselung aus, suchen Sie nach dem Zertifikat, und wählen Sie die Option ... aus, um das Dropdownmenü anzuzeigen.

3. Wählen Sie Tokenverschlüsselung deaktivieren aus.

Konfigurieren der SAML-Tokenverschlüsselung für registrierte Anwendungen

In diesem Abschnitt wird beschrieben, wie Sie die SAML-Tokenverschlüsselung für registrierte Anwendungen konfigurieren. Anwendungen, die über das Blatt App-Registrierungen im Microsoft Entra Admin Center eingerichtet wurden. Befolgen Sie für Unternehmensanwendungen den Leitfaden zum Konfigurieren der SAML-Tokenverschlüsselung für Unternehmensanwendungen.

Verschlüsselungszertifikate werden im Anwendungsobjekt in Microsoft Entra ID mit einem encrypt-Nutzungstag gespeichert. Sie können mehrere Verschlüsselungszertifikate konfigurieren. Das für die Verschlüsselung von Token aktive Zertifikat wird durch das Attribut tokenEncryptionKeyID identifiziert.

Sie benötigen die Anwendungsobjekt-ID, um die Tokenverschlüsselung mit Microsoft Graph-API oder PowerShell zu konfigurieren. Sie können diesen Wert programmgesteuert abrufen, oder Sie wechseln zur Seite Eigenschaften für die Anwendung im Microsoft Entra Admin Center und notieren sich den Wert für Objekt-ID.

Wenn Sie ein keyCredential-Objekt mit Graph, PowerShell oder im Anwendungsmanifest konfigurieren, müssen Sie eine GUID zur Verwendung für die keyId generieren.

Führen Sie die folgenden Schritte aus, um die Tokenverschlüsselung für eine Anwendungsregistrierung zu konfigurieren:

Portal

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Cloudanwendungsadministrator an.

2. Browsen Sie zu Identität>Anwendungen>App-Registrierungen>Alle Anwendungen.

3. Geben Sie den Namen einer vorhandenen Anwendung in das Suchfeld ein, und wählen Sie die Anwendung in den Ergebnissen aus.

4. Wählen Sie auf der Anwendungsseite Manifest aus, um das Anwendungsmanifest zu bearbeiten.

   Das folgende Beispiel zeigt ein Anwendungsmanifest, das mit zwei Verschlüsselungszertifikaten konfiguriert ist. Hierbei wurde das zweite Zertifikat mithilfe des tokenEnryptionKeyId-Attributs als aktives Zertifikat festgelegt.

   { 
     "id": "3cca40e2-367e-45a5-8440-ed94edd6cc35",
     "accessTokenAcceptedVersion": null,
     "allowPublicClient": false,
     "appId": "cb2df8fb-63c4-4c35-bba5-3d659dd81bf1",
     "appRoles": [],
     "oauth2AllowUrlPathMatching": false,
     "createdDateTime": "2017-12-15T02:10:56Z",
     "groupMembershipClaims": "SecurityGroup",
     "informationalUrls": { 
        "termsOfService": null, 
        "support": null, 
        "privacy": null, 
        "marketing": null 
     },
     "identifierUris": [ 
       "https://testapp"
     ],
     "keyCredentials": [ 
       { 
         "customKeyIdentifier": "Tog/O1Hv1LtdsbPU5nPphbMduD=", 
         "endDate": "2039-12-31T23:59:59Z", 
         "keyId": "8be4cb65-59d9-404a-a6f5-3d3fb4030351", 
         "startDate": "2018-10-25T21:42:18Z", 
         "type": "AsymmetricX509Cert", 
         "usage": "Encrypt", 
         "value": <Base64EncodedKeyFile> 
         "displayName": "CN=SAMLEncryptTest" 
       }, 
       {
         "customKeyIdentifier": "U5nPphbMduDmr3c9Q3p0msqp6eEI=",
         "endDate": "2039-12-31T23:59:59Z", 
         "keyId": "6b9c6e80-d251-43f3-9910-9f1f0be2e851",
         "startDate": "2018-10-25T21:42:18Z", 
         "type": "AsymmetricX509Cert", 
         "usage": "Encrypt", 
         "value": <Base64EncodedKeyFile> 
         "displayName": "CN=SAMLEncryptTest2" 
       } 
     ], 
     "knownClientApplications": [], 
     "logoUrl": null, 
     "logoutUrl": null, 
     "name": "Test SAML Application", 
     "oauth2AllowIdTokenImplicitFlow": true, 
     "oauth2AllowImplicitFlow": false, 
     "oauth2Permissions": [], 
     "oauth2RequirePostResponse": false, 
     "orgRestrictions": [], 
     "parentalControlSettings": { 
        "countriesBlockedForMinors": [], 
        "legalAgeGroupRule": "Allow" 
       }, 
     "passwordCredentials": [], 
     "preAuthorizedApplications": [], 
     "publisherDomain": null, 
     "replyUrlsWithType": [], 
     "requiredResourceAccess": [], 
     "samlMetadataUrl": null, 
     "signInUrl": "https://127.0.0.1:444/applications/default.aspx?metadata=customappsso|ISV9.1|primary|z" 
     "signInAudience": "AzureADMyOrg",
     "tags": [], 
     "tokenEncryptionKeyId": "6b9c6e80-d251-43f3-9910-9f1f0be2e851" 
   }  
   

Azure AD PowerShell

1. Verwenden Sie das neueste Azure AD PowerShell-Modul, um eine Verbindung mit Ihrem Mandanten herzustellen. Sie müssen sich mindestens als Cloudanwendungsadministrator anmelden.

2. Legen Sie die Tokenverschlüsselungseinstellungen mit dem Befehl Set-AzureApplication fest.

   Set-AzureADApplication -ObjectId <ApplicationObjectId> -KeyCredentials "<KeyCredentialsObject>"  -TokenEncryptionKeyId <keyID>
   

3. Lesen Sie die Tokenverschlüsselungseinstellungen mithilfe der folgenden Befehle.

   $app=Get-AzureADApplication -ObjectId <ApplicationObjectId>
   $app.KeyCredentials
   $app.TokenEncryptionKeyId
   

Microsoft Graph PowerShell

1. Verwenden Sie das PowerShell-Modul von Microsoft Graph, um eine Verbindung mit Ihrem Mandanten herzustellen. Sie müssen sich mindestens als Cloudanwendungsadministrator anmelden.

2. Legen Sie die Tokenverschlüsselungseinstellungen mit dem Befehl Update-MgApplication fest.

   
   Update-MgApplication -ApplicationId <ApplicationObjectId> -KeyCredentials "<KeyCredentialsObject>"  -TokenEncryptionKeyId <keyID>
   
   

3. Lesen Sie die Tokenverschlüsselungseinstellungen mithilfe der folgenden Befehle.

   
   $app=Get-MgApplication -ApplicationId <ApplicationObjectId>
   
   $app.KeyCredentials
   
   $app.TokenEncryptionKeyId
   
   

Microsoft Graph

1. Aktualisieren Sie die keyCredentials der Anwendung mit einem X.509-Zertifikat für die Verschlüsselung. Im folgenden Beispiel sehen Sie eine Microsoft Graph-JSON-Nutzlast mit einer Sammlung von Schlüsselanmeldeinformationen, die der Anwendung zugeordnet sind:

   PATCH https://graph.microsoft.com/beta/applications/<application objectid>
   
   { 
      "keyCredentials":[ 
         { 
            "type":"AsymmetricX509Cert","usage":"Encrypt",
            "keyId":"fdf8c5d8-f727-43fd-beaf-0f1521cf3d35",    (Use a GUID generator to obtain a value for the keyId)
            "key": "MIICADCCAW2gAwIBAgIQ5j9/b+n2Q4pDvQUCcy3…"  (Base64Encoded .cer file)
         }
       ]
   }
   

2. Identifizieren Sie das Verschlüsselungszertifikat, das zum Verschlüsseln von Token aktiv ist. Im folgenden Beispiel sehen Sie eine Microsoft Graph-JSON-Nutzlast mit dem Element tokenEncryptionKeyId. Das Element tokenEncryptionKeyId gibt die Schlüssel-ID eines öffentlichen Schlüssels aus der Sammlung keyCredentials an.

   PATCH https://graph.microsoft.com/beta/applications/<application objectid> 
   
   { 
      "tokenEncryptionKeyId":"fdf8c5d8-f727-43fd-beaf-0f1521cf3d35" (The keyId of the keyCredentials entry to use)
   }
   

Nächste Schritte

• Erfahren Sie mehr über die Verwendung des SAML-Protokolls durch Microsoft Entra ID
• Informieren Sie sich über die Formate, Sicherheitsmerkmale und Inhalte von SAML-Token in Microsoft Entra ID