Megosztás a következőn keresztül:


Aláírt SAML-hitelesítési kérelmek kényszerítése

Az SAML-kérelem aláírásának ellenőrzése olyan funkció, amely ellenőrzi az aláírt hitelesítési kérések aláírását. Az alkalmazásgazdák mostantól engedélyezhetik és letilthatják az aláírt kérelmek érvényesítését, és feltölthetik az érvényesítésre használni kívánt nyilvános kulcsokat.

Ha engedélyezve van, a Microsoft Entra-azonosító ellenőrzi a kéréseket a konfigurált nyilvános kulcsokon. Vannak olyan esetek, amikor a hitelesítési kérések sikertelenek lehetnek:

  • Az aláírt kérések protokollja nem engedélyezett. Csak az SAML protokoll támogatott.
  • A kérelem nincs aláírva, de az ellenőrzés engedélyezve van.
  • Nincs konfigurálva ellenőrző tanúsítvány az SAML-kérelmek aláírásának ellenőrzéséhez. A tanúsítványkövetelményekkel kapcsolatos további információkért tekintse meg a tanúsítvány-aláírási beállításokat.
  • Az aláírás ellenőrzése nem sikerült.
  • Hiányzik a kérelem kulcsazonosítója, és két legutóbb hozzáadott tanúsítvány nem egyezik meg a kérelem aláírásával.
  • A kérelem aláírt, de az algoritmus hiányzik.
  • Nincs egyező tanúsítvány a megadott kulcsazonosítóval.
  • Az aláírási algoritmus nem engedélyezett. Csak az RSA-SHA256 támogatott.

Feljegyzés

Az Signature elemek egy AuthnRequest eleme nem kötelező. Ha Require Verification certificates nincs bejelölve, a Microsoft Entra-azonosító nem ellenőrzi az aláírt hitelesítési kérelmeket, ha aláírás van jelen. A kérelmező ellenőrzéséhez csak a regisztrált Assertion Consumer Service URL-címekre kell válaszolnia.

Ha Require Verification certificates be van jelölve, az SAML-kérelem aláírásának ellenőrzése csak az SP által kezdeményezett (szolgáltató/függő entitás által kezdeményezett) hitelesítési kérelmek esetében működik. Csak a szolgáltató által konfigurált alkalmazás férhet hozzá a privát és nyilvános kulcsokhoz az alkalmazás bejövő SAML-hitelesítési kérelmeinek aláírásához. A nyilvános kulcsot fel kell tölteni a kérelem ellenőrzésének engedélyezéséhez, ebben az esetben a Microsoft Entra-azonosító csak a nyilvános kulcshoz fér hozzá.

Require Verification certificates Az engedélyezés nem teszi lehetővé az IDP által kezdeményezett hitelesítési kérések (például az SSO tesztelési funkció, a MyApps vagy az M365 alkalmazásindító) érvényesítését, mivel az identitásszolgáltató nem rendelkezik ugyanazokkal a titkos kulcsokkal, mint a regisztrált alkalmazás.

Előfeltételek

Az SAML-kérelmek aláírás-ellenőrzésének konfigurálásához a következőkre van szükség:

  • Egy Microsoft Entra felhasználói fiók. Ha még nem rendelkezik ilyen fiókkal, ingyenesen létrehozhat egy fiókot.
  • Az alábbi szerepkörök egyike: Felhőalkalmazás-rendszergazda, alkalmazásadminisztrátor vagy a szolgáltatásnév tulajdonosa.

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

SAML-kérelem aláírásának ellenőrzése

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.

  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Az összes alkalmazás.

  3. Írja be a meglévő alkalmazás nevét a keresőmezőbe, majd válassza ki az alkalmazást a keresési eredmények közül.

  4. Navigáljon az egyszeri bejelentkezéshez.

  5. Az egyszeri bejelentkezés képernyőn görgessen az SAML-tanúsítványok alatt található Ellenőrző tanúsítványok nevű alszakaszhoz.

    Képernyőkép az SAML-tanúsítványok alatt található hitelesítési tanúsítványokról a Vállalati alkalmazás lapon.

  6. Válassza a Szerkesztés lehetőséget.

  7. Az új panelen engedélyezheti az aláírt kérések ellenőrzését, és letilthatja a gyenge algoritmus-ellenőrzést, ha az alkalmazás továbbra is RSA-SHA1 használatával írja alá a hitelesítési kérelmeket.

  8. Az aláírt kérelmek ellenőrzésének engedélyezéséhez válassza az Ellenőrző tanúsítványok megkövetelése lehetőséget, és töltsön fel egy hitelesítő nyilvános kulcsot, amely megegyezik a kérés aláírásához használt titkos kulccsal.

    Képernyőkép az igazolási tanúsítványok megköveteléséről a Vállalati alkalmazások lapon.

  9. Miután feltöltötte az ellenőrző tanúsítványt, válassza a Mentés lehetőséget.

  10. Ha engedélyezve van az aláírt kérelmek ellenőrzése, a tesztélmény le lesz tiltva, mivel a szolgáltatónak alá kell írnia a kérést.

    Képernyőkép a letiltott tesztelési figyelmeztetésről, ha az aláírt kérések engedélyezve vannak a Nagyvállalati alkalmazás lapon.

  11. Ha meg szeretné tekinteni egy vállalati alkalmazás aktuális konfigurációját, lépjen az egyszeri bejelentkezés képernyőre, és tekintse meg a konfiguráció összegzését az SAML-tanúsítványok alatt. Itt láthatja, hogy engedélyezve van-e az aláírt kérelmek ellenőrzése, valamint az aktív és lejárt ellenőrzési tanúsítványok száma.

    Képernyőkép a vállalati alkalmazáskonfigurációról az egyszeri bejelentkezési képernyőn.

Következő lépések