Compartir vía

Aplicación de solicitudes de autenticación SAML firmadas

  • Artículo

La comprobación de firma de solicitud SAML es una funcionalidad que valida la firma de las solicitudes de autenticación firmadas. Un administrador de aplicaciones puede ahora habilitar y deshabilitar la aplicación de solicitudes firmadas y cargar las claves públicas que se deben usar para realizar la validación.

Si está habilitado Microsoft Entra ID se validan las solicitudes contra las claves públicas configuradas. Hay algunos escenarios en los que se pueden producir errores en las solicitudes de autenticación:

  • Protocolo no admitido para las solicitudes firmadas. Solo se admite el protocolo SAML.
  • La solicitud no está firmada, pero la comprobación está habilitada.
  • No hay ningún certificado de verificación configurado para la comprobación de la firma de la solicitud SAML. Para más información sobre los requisitos de certificado, consulte las Opciones de firma de certificados.
  • Error en la comprobación de la firma.
  • Falta el identificador de clave en la solicitud, y los 2 certificados agregados más recientemente no coinciden con la firma de la solicitud.
  • Se ha firmado la solicitud, pero falta el algoritmo.
  • No hay ninguna coincidencia de certificado con el identificador de clave proporcionado.
  • No se permite el algoritmo de firma. Solo se admite RSA-SHA256.

Nota:

Un elemento Signature de AuthnRequest elementos es opcional. Si Require Verification certificates no está marcada, Microsoft Entra ID no valida las solicitudes de autenticación firmadas si hay una firma presente. La verificación del solicitante solo se cumple respondiendo a las direcciones URL del Servicio de consumidor de aserciones registradas.

Si Require Verification certificates se comprobara, la comprobación de firma de solicitud de SAML funcionará solo para las solicitudes de autenticación iniciadas por SP (proveedor de servicios o usuario de confianza iniciado). Solo la aplicación configurada por el proveedor de servicios tendrá acceso a las claves privadas y públicas para firmar las solicitudes de autenticación de SAML entrantes desde la aplicación. La clave pública debe cargarse para permitir la verificación de la solicitud, en cuyo caso Microsoft Entra ID solo tendrá acceso a la clave pública.

La habilitación de Require Verification certificates no permitirá que las solicitudes de autenticación iniciadas por IDP (como la característica de prueba de SSO, MyApps o el iniciador de aplicaciones M365) se validen, ya que el IDP no posee las mismas claves privadas que la aplicación registrada.

Requisitos previos

Para configurar la comprobación de firma de la solicitud SAML, necesita:

  • Una cuenta de usuario de Microsoft Entra. Si no la tiene, puede crear una cuenta gratis.
  • Uno de los siguientes roles: Administrador de aplicaciones en la nube, Administrador de aplicaciones o propietario de la entidad de servicio.

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Configuración de la comprobación de firma de la solicitud SAML

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

  2. Vaya a Identidad> Aplicaciones>aplicaciones para empresas> Todas las aplicaciones.

  3. Escriba el nombre de la aplicación existente en el cuadro de búsqueda y seleccione la aplicación existente en los resultados de la búsqueda.

  4. Vaya a Inicio de sesión único.

  5. En la pantalla Inicio de sesión único, desplácese hasta la subsección denominada Certificados de verificación en Certificados SAML.

    Captura de pantalla de los certificados de verificación en Certificados SAML en la página de la aplicación empresarial.

  6. Seleccione Editar.

  7. En el nuevo panel, puede habilitar la comprobación de solicitudes firmadas y participar en la comprobación de algoritmos débiles en caso de que la aplicación siga usando RSA-SHA1 para firmar las solicitudes de autenticación.

  8. Para habilitar la comprobación de las solicitudes firmadas, seleccione Requerir certificados de verificación y cargue una clave pública de comprobación que coincida con la clave privada usada para firmar la solicitud.

    Captura de pantalla de requerir certificados de verificación en la página de aplicaciones empresariales.

  9. Una vez cargado el certificado de verificación, seleccione Guardar.

  10. Cuando se habilita la comprobación de las solicitudes firmadas, la experiencia de prueba está deshabilitada, ya que el proveedor de servicios tiene que firmar la solicitud.

    Captura de pantalla de advertencia de prueba desactivada cuando se habilitan las solicitudes firmadas en la página de la aplicación empresarial.

  11. Si desea ver la configuración actual de una aplicación empresarial, puede ir a la pantalla Inicio de sesión único y ver el resumen de la configuración en Certificados SAML. Allí puede ver si la comprobación de las solicitudes firmadas está habilitada y el recuento de certificados de verificación activos y expirados.

    Captura de pantalla de la configuración de la aplicación empresarial en la pantalla de inicio de sesión único.

Pasos siguientes