Speciális tanúsítvány-aláírási lehetőségek SAML-jogkivonatban
A Microsoft Entra ID jelenleg több ezer előre elkészített alkalmazást támogat a Microsoft Entra App Galleryben. Az alkalmazások közül több mint 500 támogatja az egyszeri bejelentkezést a Security Assertion Markup Language (SAML) 2.0 protokoll, például a NetSuite alkalmazás használatával. Amikor egy ügyfél a Microsoft Entra ID-n keresztül hitelesíti az alkalmazást AZ SAML használatával, a Microsoft Entra ID egy jogkivonatot küld az alkalmazásnak (HTTP POST-en keresztül). Az alkalmazás ezután érvényesíti és a jogkivonat használatával bejelentkezik az ügyfélbe a felhasználónév és a jelszó kérése helyett. Ezek az SAML-jogkivonatok a Microsoft Entra ID-ban létrehozott egyedi tanúsítvánnyal és meghatározott szabványos algoritmusokkal vannak aláírva.
A Microsoft Entra ID a katalógusalkalmazások néhány alapértelmezett beállítását használja. Az alapértelmezett értékek az alkalmazás követelményei alapján vannak beállítva.
A Microsoft Entra ID-ban beállíthatja a tanúsítvány-aláírási beállításokat és a tanúsítvány-aláíró algoritmust.
Tanúsítvány-aláírási lehetőségek
A Microsoft Entra ID három tanúsítvány-aláírási lehetőséget támogat:
SAML-állítás aláírása. Ez az alapértelmezett beállítás a katalógusalkalmazások többségénél be van állítva. Ha ezt a lehetőséget választja, a Microsoft Entra ID mint identitásszolgáltató aláírja az SAML-állítást és a tanúsítványt az alkalmazás X.509-tanúsítványával .
SAML-válasz aláírása. Ha ezt a lehetőséget választja, a Microsoft Entra ID mint azonosító azonosító az alkalmazás X.509-tanúsítványával aláírja az SAML-választ.
SAML-válasz és -állítás aláírása. Ha ezt a lehetőséget választja, a Microsoft Entra idP-azonosítója az alkalmazás X.509-tanúsítványával aláírja a teljes SAML-jogkivonatot.
Tanúsítvány-aláírási algoritmusok
A Microsoft Entra ID két aláíró algoritmust vagy biztonságos kivonatoló algoritmust (SHA) támogat az SAML-válasz aláírásához:
SHA-256. A Microsoft Entra ID ezt az alapértelmezett algoritmust használja az SAML-válasz aláírásához. Ez a legújabb algoritmus, és biztonságosabb, mint az SHA-1. A legtöbb alkalmazás támogatja az SHA-256 algoritmust. Ha egy alkalmazás csak az SHA-1-et támogatja aláírási algoritmusként, módosíthatja azt. Ellenkező esetben javasoljuk, hogy az SHA-256 algoritmust használja az SAML-válasz aláírásához.
SHA-1. Ez az algoritmus régebbi, és kevésbé biztonságos, mint az SHA-256. Ha egy alkalmazás csak ezt az aláíró algoritmust támogatja, ezt a lehetőséget az Aláíró algoritmus legördülő listában választhatja ki. A Microsoft Entra ID ezután aláírja az SAML-választ az SHA-1 algoritmussal.
Előfeltételek
Az alkalmazás SAML-tanúsítvány-aláírási beállításainak és a tanúsítvány-aláíró algoritmusnak a módosításához a következőkre van szükség:
- Egy Microsoft Entra felhasználói fiók. Ha még nem rendelkezik ilyen fiókkal, ingyenesen létrehozhat egy fiókot.
- Az alábbi szerepkörök egyike: Felhőalkalmazás-rendszergazda, alkalmazásadminisztrátor.
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Tanúsítvány-aláírási beállítások és aláírási algoritmus módosítása
Az alkalmazás SAML-tanúsítvány-aláírási beállításainak és a tanúsítványaláíró algoritmusnak a módosítása:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.
- Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Az összes alkalmazás.
- Írja be a meglévő alkalmazás nevét a keresőmezőbe, majd válassza ki az alkalmazást a keresési eredmények közül.
Ezután módosítsa a tanúsítvány-aláírási beállításokat az alkalmazás SAML-jogkivonatában:
- Az alkalmazás áttekintési oldalának bal oldali ablaktábláján válassza az Egyszeri bejelentkezés lehetőséget.
- Ha megjelenik az egyszeri bejelentkezés beállítása SAML-oldallal , lépjen az 5. lépésre.
- Ha nem jelenik meg az egyszeri bejelentkezés beállítása SAML-oldallal , válassza az Egyszeri bejelentkezési módok módosítása lehetőséget.
- A Select a single sign-on metódus lapon válassza az SAML lehetőséget. Ha az SAML nem érhető el, az alkalmazás nem támogatja az SAML-t, és figyelmen kívül hagyhatja az eljárás és a cikk többi részét.
- Az egyszeri bejelentkezés beállítása SAML-lel lapon keresse meg az SAML aláíró tanúsítvány fejlécét, és válassza a Szerkesztés ikont (ceruza). Megjelenik az SAML aláíró tanúsítvány lap.
- Az Aláírási beállítás legördülő listában válassza az SAML-válasz aláírása, az SAML-állítás aláírása vagy az SAML-válasz és -állítás aláírása lehetőséget. Ezeknek a beállításoknak a leírása a jelen cikk korábbi részében, a Tanúsítvány-aláírási beállítások között jelenik meg.
- Az Aláíró algoritmus legördülő listában válassza az SHA-1 vagy az SHA-256 lehetőséget. Ezeknek a beállításoknak a leírása a jelen cikkben, a Tanúsítvány-aláírási algoritmusok szakaszban jelenik meg.
- Ha elégedett a választási lehetőségeivel, válassza a Mentés lehetőséget az új SAML aláíró tanúsítványbeállítások alkalmazásához. Ellenkező esetben a módosítások elvetéséhez jelölje ki az X-et .