Compartir a través de

Cambio del algoritmo hash de firma para la relación de confianza para usuario autenticado de Microsoft 365

Información general

Active Directory Federation Services (AD FS) firma sus tokens en Microsoft Entra ID para asegurarse de que no pueden alterarse. Esta firma se puede basar en SHA1 o SHA256. Microsoft Entra ID ahora es compatible con tokens firmados con un algoritmo SHA256 y recomendamos establecer el algoritmo con firma de tokens en SHA256 para proporcionar el máximo nivel de seguridad. En este artículo se describen los pasos necesarios para establecer el algoritmo de firma de tokens para el nivel SHA256 más seguro.

Nota:

Microsoft recomienda el uso de SHA256 como el algoritmo de firma de tokens ya que es más seguro que SHA1, pero SHA1 sigue siendo una opción admitida.

Cambio del algoritmo de firma de tokens

Después de haber establecido el algoritmo de firma con uno de los dos procesos siguientes, AD FS firma los tokens para la relación de confianza para usuario autenticado de Microsoft 365 con SHA256. No es necesario realizar ningún cambio de configuración adicional y este cambio no tendrá efecto en su capacidad de acceder a Microsoft 365 o a otras aplicaciones de Microsoft Entra.

Consola de administración de AD FS

  1. Abra la consola de administración de AD FS en el servidor de AD FS principal.
  2. Expanda el nodo de AD FS y haga clic en el nodo de relaciones de confianza para usuario autenticado.
  3. Haga clic con el botón derecho en la confianza de parte dependiente de Microsoft 365/Azure y seleccione Propiedades.
  4. Seleccione la pestaña Opciones avanzadas y el algoritmo hash seguro SHA256.
  5. Haz clic en Aceptar.

Algoritmo de firma SHA256 - MMC

Cmdlets de PowerShell de AD FS

  1. En cualquier servidor de AD FS, abra PowerShell con privilegios de administrador.

  2. Establezca el algoritmo hash seguro mediante el cmdlet Set-AdfsRelyingPartyTrust .

    Set-AdfsRelyingPartyTrust -TargetName 'Microsoft Office 365 Identity Platform' -SignatureAlgorithm 'https://www.w3.org/2001/04/xmldsig-more#rsa-sha256'

Consulte también