Oktatóanyag: Összevont egyszeri bejelentkezés tanúsítványainak kezelése

  • Cikk

Ebben a cikkben olyan tanúsítványokkal kapcsolatos gyakori kérdéseket és információkat ismertetünk, amelyeket a Microsoft Entra ID hoz létre az összevont egyszeri bejelentkezés (SSO) szolgáltatásként (SaaS-) alkalmazásokban való létrehozásához. Alkalmazások hozzáadása a Microsoft Entra alkalmazáskatalógusából vagy egy nem katalógusbeli alkalmazássablon használatával. Konfigurálja az alkalmazást az összevont egyszeri bejelentkezés lehetőséggel.

Ez az oktatóanyag csak a Microsoft Entra SSO security Assertion Markup Language (SAML) összevonással való használatára konfigurált alkalmazásokra vonatkozik.

Ebben az oktatóanyagban az alkalmazás rendszergazdája a következőket tanulja meg:

  • Tanúsítványok létrehozása katalógus- és nem katalógusalkalmazásokhoz
  • Tanúsítványok lejárati dátumainak testreszabása
  • E-mail-értesítési cím hozzáadása a tanúsítvány lejárati dátumához
  • Tanúsítványok megújítása

Előfeltételek

  • Egy Azure-fiók, aktív előfizetéssel. Ha még nem rendelkezik ilyen fiókkal, hozzon létre ingyenes fiókot.
  • Az alábbi szerepkörök egyike: Globális Rendszergazda istrator, Privileged Role Rendszergazda istrator, Cloud Application Rendszergazda istrator vagy Application Rendszergazda istrator.
  • A Microsoft Entra-bérlőben konfigurált vállalati alkalmazás.

Amikor új alkalmazást ad hozzá a katalógusból, és konfigurál egy SAML-alapú bejelentkezést (az alkalmazás áttekintési oldalán az egyszeri bejelentkezés>SAML kiválasztásával), a Microsoft Entra ID létrehoz egy önaláírt tanúsítványt az alkalmazáshoz, amely három évig érvényes. Ha biztonsági tanúsítványfájlként (.cer) szeretné letölteni az aktív tanúsítványt, térjen vissza erre a lapra (SAML-alapú bejelentkezés), és válasszon egy letöltési hivatkozást az SAML aláíró tanúsítvány fejlécében. Választhat a nyers (bináris) tanúsítvány vagy a Base 64 (base 64 kódolású szöveg) tanúsítvány közül. Katalógusalkalmazások esetén ez a szakasz egy hivatkozást is megjeleníthet a tanúsítvány összevonási metaadat-XML-fájlként ( .xml fájlként) való letöltésére az alkalmazás követelményétől függően.

Az aktív vagy inaktív tanúsítványokat az SAML aláíró tanúsítvány fejlécének Szerkesztés ikonja (ceruza) kiválasztásával is letöltheti, amely megjeleníti az SAML aláíró tanúsítvány lapját. Válassza ki a letölteni kívánt tanúsítvány melletti három pontot (...), majd válassza ki a kívánt tanúsítványformátumot. A másik lehetőség, hogy a tanúsítványt bizalmassági szintű levelezési (PEM) formátumban töltse le. Ez a formátum megegyezik a Base64 formátummal, de .pem fájlnévkiterjesztéssel rendelkezik, amelyet a Windows nem ismer fel tanúsítványformátumként.

SAML signing certificate download options (active and inactive).

Az összevonási tanúsítvány lejárati dátumának testreszabása, vagy a tanúsítvány átváltása egy új tanúsítványra

Alapértelmezés szerint az Azure úgy konfigurál egy tanúsítványt, hogy három év után lejárjon, amikor automatikusan létrehozza az SAML egyszeri bejelentkezési konfigurációja során. Mivel a mentés után nem módosíthatja a tanúsítvány dátumát, a következőt kell tenni:

  1. Hozzon létre egy új tanúsítványt a kívánt dátummal.
  2. Mentse az új tanúsítványt.
  3. Töltse le az új tanúsítványt a megfelelő formátumban.
  4. Töltse fel az új tanúsítványt az alkalmazásba.
  5. Az új tanúsítvány aktívvá tétele a Microsoft Entra Felügyeleti központban.

Az alábbi két szakasz segítséget nyújt a lépések végrehajtásában.

Új tanúsítvány létrehozása

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Először hozza létre és mentse az új tanúsítványt egy másik lejárati dátummal:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.
  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Az összes alkalmazás.
  3. Írja be a meglévő alkalmazás nevét a keresőmezőbe, majd válassza ki az alkalmazást a keresési eredmények közül.
  4. A Kezelés szakaszban válassza az Egyszeri bejelentkezés lehetőséget.
  5. Ha megjelenik az Egyszeri bejelentkezési módszer kiválasztása lap, válassza az SAML lehetőséget.
  6. Az egyszeri bejelentkezés beállítása SAML-lel lapon keresse meg az SAML aláíró tanúsítvány fejlécét, és válassza a Szerkesztés ikont (ceruza). Megjelenik az SAML aláíró tanúsítvány oldala, amely megjeleníti az egyes tanúsítványok állapotát (aktív vagy inaktív), a lejárati dátumot és az ujjlenyomatot (kivonatsztringet).
  7. Válassza az Új tanúsítvány lehetőséget. Egy új sor jelenik meg a tanúsítványlista alatt, ahol a lejárati dátum az aktuális dátum után pontosan három évre esik. (A módosítások még nincsenek mentve, így továbbra is módosíthatja a lejárati dátumot.)
  8. Az új tanúsítványsorban mutasson a lejárati dátum oszlopra, és válassza a Dátum kiválasztása ikont (naptár). Megjelenik egy naptár vezérlőelem, amely az új sor aktuális lejárati dátumának egy hónapjának napjait jeleníti meg.
  9. Új dátum beállításához használja a naptár vezérlőelemet. Az aktuális dátum és az aktuális dátum utáni három év között bármilyen dátumot megadhat.
  10. Válassza a Mentés lehetőséget. Az új tanúsítvány ekkor inaktív állapottal, a választott lejárati dátummal és ujjlenyomattal jelenik meg.

    Feljegyzés

    Ha már lejárt egy meglévő tanúsítványa, és új tanúsítványt hoz létre, az új tanúsítványt a rendszer az aláírási jogkivonatok számára veszi figyelembe, annak ellenére, hogy még nem aktiválta.

  11. Válassza ki az X-et az egyszeri bejelentkezés beállítása SAML-lapra való visszatéréshez.

Tanúsítvány feltöltése és aktiválása

Ezután töltse le az új tanúsítványt a megfelelő formátumban, töltse fel az alkalmazásba, és tegye aktívvá a Microsoft Entra-azonosítóban:

  1. További SAML-bejelentkezési konfigurációs utasítások megtekintése az alkalmazáshoz az alábbi lehetőségek egyikével.

    • Válassza ki a konfigurációs útmutató hivatkozását egy külön böngészőablakban vagy lapon.
    • Tallózással keresse meg a beállítási címsort, és válassza a Részletes utasítások megtekintése lehetőséget az oldalsávon való megtekintéshez.

  2. Az utasításokban jegyezze fel a tanúsítvány feltöltéséhez szükséges kódolási formátumot.

  3. Kövesse a katalógushoz és a katalóguson kívüli alkalmazásokhoz készült automatikus tanúsítványra vonatkozó korábbi utasításokat. Ez a lépés letölti a tanúsítványt az alkalmazás által való feltöltéshez szükséges kódolási formátumban.

  4. Ha át szeretne lépni az új tanúsítványra, lépjen vissza az SAML aláíró tanúsítvány lapjára, és az újonnan mentett tanúsítványsorban válassza a három pontot (...), és válassza a Tanúsítvány aktívvá tétele lehetőséget. Az új tanúsítvány állapota aktívra változik, a korábban aktív tanúsítvány pedig inaktív állapotúra változik.

  5. Folytassa az alkalmazás KORÁBBAN megjelenített SAML-bejelentkezési konfigurációs utasításainak követését, hogy az SAML aláíró tanúsítványt a megfelelő kódolási formátumban töltse fel.

Ha az alkalmazás nem rendelkezik tanúsítvány-lejárati érvényesítéssel, és a tanúsítvány megegyezik a Microsoft Entra-azonosítóval és az alkalmazással, akkor annak ellenére is elérhető marad, hogy lejárt. Gondoskodjon arról, hogy az alkalmazás érvényesíteni tudja a tanúsítvány lejárati dátumát.

Ha le szeretné tiltani a tanúsítvány lejárati érvényességét, akkor az új tanúsítványt csak akkor kell létrehozni, ha a tanúsítványátállítás ütemezett karbantartási időszaka van érvényben. Ha az alkalmazásban lejárt és inaktív érvényes tanúsítvány is található, a Microsoft Entra-azonosító automatikusan az érvényes tanúsítványt használja. Ebben az esetben előfordulhat, hogy a felhasználók alkalmazáskimaradást tapasztalnak.

E-mail-értesítési címek hozzáadása a tanúsítvány lejáratához

A Microsoft Entra ID 60, 30 és 7 nappal az SAML-tanúsítvány lejárata előtt e-mail-értesítést küld. Értesítések fogadásához több e-mail-címet is hozzáadhat. Egy vagy több e-mail-cím megadásához a következő címre szeretné elküldeni az értesítéseket:

  1. Az SAML aláíró tanúsítvány lapján lépjen az értesítési e-mail-címek fejlécére. Alapértelmezés szerint ez a címsor csak az alkalmazást hozzáadó rendszergazda e-mail-címét használja.
  2. A végső e-mail-cím alatt írja be azt az e-mail-címet, amely megkapja a tanúsítvány lejárati értesítését, majd nyomja le az Enter billentyűt.
  3. Ismételje meg az előző lépést minden hozzáadni kívánt e-mail-címnél.
  4. Minden törölni kívánt e-mail-címnél válassza a Törlés ikont (szemetes) az e-mail-cím mellett.
  5. Válassza a Mentés lehetőséget.

Legfeljebb öt e-mail-címet adhat hozzá az értesítési listához (beleértve az alkalmazást hozzáadó rendszergazda e-mail-címét is). Ha több személy értesítésére van szüksége, használja a terjesztési lista e-mailjeit.

Az értesítési e-mailt a következőtől azure-noreply@microsoft.comkapja: . Ha el szeretné kerülni, hogy az e-mail a levélszemét helyére kerüljön, vegye fel ezt az e-mailt a névjegyei közé.

Hamarosan lejáró tanúsítvány megújítása

Ha egy tanúsítvány hamarosan lejár, megújíthatja egy olyan eljárással, amely nem jár jelentős állásidővel a felhasználók számára. Lejáró tanúsítvány megújítása:

  1. Kövesse az új tanúsítvány létrehozása szakasz korábbi utasításait a meglévő tanúsítvánnyal átfedésben lévő dátummal. Ez a dátum korlátozza a tanúsítvány lejárata által okozott állásidőt.

  2. Ha az alkalmazás automatikusan át tud állítani egy tanúsítványt, állítsa az új tanúsítványt aktívra az alábbi lépések végrehajtásával.

    1. Lépjen vissza az SAML aláíró tanúsítvány lapjára.
    2. Az újonnan mentett tanúsítványsorban válassza a három pontot (...), majd a Tanúsítvány aktívvá tétele lehetőséget.
    3. Hagyja ki a következő két lépést.

  3. Ha az alkalmazás egyszerre csak egy tanúsítványt tud kezelni, válasszon egy állásidő-időközt a következő lépés végrehajtásához. (Ellenkező esetben, ha az alkalmazás nem veszi fel automatikusan az új tanúsítványt, de több aláíró tanúsítványt is képes kezelni, bármikor végrehajthatja a következő lépést).

  4. A régi tanúsítvány lejárata előtt kövesse a feltöltési és aktiválási szakasz utasításait . Ha az alkalmazástanúsítvány nem frissül az új tanúsítvány Microsoft Entra-azonosítóban való frissítése után, előfordulhat, hogy az alkalmazás hitelesítése sikertelen lesz.

  5. Jelentkezzen be az alkalmazásba, és győződjön meg arról, hogy a tanúsítvány megfelelően működik.

Ha az alkalmazás nem rendelkezik tanúsítvány-lejárati érvényesítéssel, és a tanúsítvány megegyezik a Microsoft Entra-azonosítóval és az alkalmazással, akkor annak ellenére is elérhető marad, hogy lejárt. Győződjön meg arról, hogy az alkalmazás érvényesíteni tudja a tanúsítvány lejáratát.