A Microsoft Entra SAML token titkosításának beállítása

Feljegyzés

A tokentitkosítás a Microsoft Entra id P1 vagy P2 funkciója. A Microsoft Entra kiadásairól, funkcióiról és díjszabásáról további információt a Microsoft Entra díjszabásában talál.

Az SAML-tokentitkosítás lehetővé teszi a titkosított SAML-állítások használatát egy olyan alkalmazással, amely támogatja azt. Ha egy alkalmazáshoz van konfigurálva, a Microsoft Entra ID titkosítja az alkalmazás által kibocsátott SAML-állításokat. Titkosítja az SAML-állításokat a Microsoft Entra-azonosítóban tárolt tanúsítványból beszerzett nyilvános kulccsal. Az alkalmazásnak a megfelelő titkos kulcsot kell használnia a jogkivonat visszafejtéséhez, mielőtt az a bejelentkezett felhasználó hitelesítésének bizonyítékaként használható lenne.

A Microsoft Entra ID és az alkalmazás közötti SAML-állítások titkosítása nagyobb biztonságot nyújt, hogy a jogkivonat tartalmát nem lehet elfogni, és a személyes vagy vállalati adatok sérülnek.

A Microsoft Entra SAML-jogkivonatok még tokentitkosítás nélkül sem lesznek átadva a hálózaton. A Microsoft Entra ID megköveteli, hogy a jogkivonat-kérések/válaszcserék titkosított HTTPS/TLS-csatornákon keresztül valósuljanak meg, hogy az IDP, a böngésző és az alkalmazás közötti kommunikáció titkosított hivatkozásokon keresztül valósuljon meg. Vegye figyelembe a jogkivonat-titkosítás értékét a további tanúsítványok kezelésével kapcsolatos többletterheléshez képest.

A tokentitkosítás konfigurálásához fel kell töltenie egy X.509-tanúsítványfájlt, amely tartalmazza a nyilvános kulcsot az alkalmazást jelképező Microsoft Entra alkalmazásobjektumba.

Az X.509-tanúsítvány beszerzéséhez letöltheti az alkalmazásból. Az alkalmazás szállítójától is beszerezheti azokban az esetekben, amikor az alkalmazás szállítója titkosítási kulcsokat biztosít. Ha az alkalmazás azt várja, hogy titkos kulcsot adjon meg, titkosítási eszközökkel hozhatja létre. A titkos kulcs része fel lesz töltve az alkalmazás kulcstárolójába és a Microsoft Entra-azonosítóra feltöltött megfelelő nyilvános kulcsú tanúsítványba.

A Microsoft Entra ID az AES-256 használatával titkosítja az SAML-helyességi adatokat.

Előfeltételek

Az SAML-tokentitkosítás konfigurálásához a következőkre van szükség:

• Egy Microsoft Entra felhasználói fiók. Ha még nem rendelkezik ilyen fiókkal, ingyenesen létrehozhat egy fiókot.
• Az alábbi szerepkörök egyike: Felhőalkalmazás-rendszergazda, alkalmazásadminisztrátor vagy a szolgáltatásnév tulajdonosa.

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Vállalati alkalmazás SAML-tokentitkosításának konfigurálása

Ez a szakasz bemutatja, hogyan konfigurálható egy vállalati alkalmazás SAML-tokentitkosítása. Ezek az alkalmazások a Microsoft Entra Felügyeleti központ Nagyvállalati alkalmazások paneljén vannak beállítva, akár az alkalmazáskatalógusból, akár egy nem katalógusbeli alkalmazásból. A Alkalmazásregisztrációk felületen regisztrált alkalmazások esetében kövesse a regisztrált alkalmazás SAML-jogkivonat-titkosítási útmutatóját.

A vállalati alkalmazás SAML-tokentitkosításának konfigurálásához kövesse az alábbi lépéseket:

1. Szerezze be az alkalmazásban konfigurált titkos kulcsnak megfelelő nyilvánoskulcs-tanúsítványt.

   Hozzon létre egy aszimmetrikus kulcspárt a titkosításhoz. Ha az alkalmazás rendelkezik egy titkosításhoz használható nyilvános kulccsal, kövesse az alkalmazás utasításait az X.509-tanúsítvány letöltéséhez.

   A nyilvános kulcsot X.509-tanúsítványfájlban kell tárolni .cer formátumban. A tanúsítványfájl tartalmát átmásolhatja egy szövegszerkesztőbe, és mentheti .cer fájlként. A tanúsítványfájlnak csak a nyilvános kulcsot kell tartalmaznia, a titkos kulcsot nem.

   Ha az alkalmazás a példányhoz létrehozott kulcsot használja, kövesse az alkalmazás által a Microsoft Entra-bérlőből visszafejtendő titkos kulcs telepítésére vonatkozó utasításokat.

2. Adja hozzá a tanúsítványt az alkalmazáskonfigurációhoz a Microsoft Entra-azonosítóban.

Tokentitkosítás konfigurálása a Microsoft Entra felügyeleti központban

A nyilvános tanúsítványt hozzáadhatja az alkalmazás konfigurációjához a Microsoft Entra felügyeleti központban.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.

2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Az összes alkalmazás.

3. Írja be a meglévő alkalmazás nevét a keresőmezőbe, majd válassza ki az alkalmazást a keresési eredmények közül.

4. Az alkalmazás oldalán válassza a Jogkivonat-titkosítás lehetőséget.

   Feljegyzés

   A tokentitkosítási beállítás csak olyan SAML-alkalmazásokhoz érhető el, amelyeket a Microsoft Entra Felügyeleti központ Nagyvállalati alkalmazások paneljén állítottak be, akár az alkalmazáskatalógusból, akár egy nem katalógusbeli alkalmazásból. Más alkalmazások esetében ez a beállítás le van tiltva.

5. A Jogkivonat titkosítása lapon válassza a Tanúsítvány importálása lehetőséget a nyilvános X.509-tanúsítványt tartalmazó .cer fájl importálásához.

   

6. Miután importálta a tanúsítványt, és a titkos kulcs az alkalmazás oldalán való használatra van konfigurálva, aktiválja a titkosítást az ujjlenyomat állapota melletti ... elemet választva, majd válassza a tokentitkosítás aktiválása lehetőséget a legördülő menü beállításai közül.

7. Válassza az Igen lehetőséget a tokentitkosítási tanúsítvány aktiválásának megerősítéséhez.

8. Győződjön meg arról, hogy az alkalmazáshoz kibocsátott SAML-állítások titkosítva vannak.

Tokentitkosítás inaktiválása a Microsoft Entra felügyeleti központban

1. A Microsoft Entra Felügyeleti központban keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Minden alkalmazás lehetőséget, majd válassza ki azt az alkalmazást, amelyen engedélyezve van az SAML-tokentitkosítás.

2. Az alkalmazás oldalán válassza a Jogkivonat-titkosítás lehetőséget, keresse meg a tanúsítványt, majd válassza a ... lehetőséget a legördülő menü megjelenítéséhez.

3. Válassza a Jogkivonat-titkosítás inaktiválása lehetőséget.

Regisztrált alkalmazás SAML-tokentitkosításának konfigurálása

Ez a szakasz bemutatja, hogyan konfigurálható egy regisztrált alkalmazás SAML-tokentitkosítása. Ezek az alkalmazások a Microsoft Entra Felügyeleti központ Alkalmazásregisztrációk paneljén vannak beállítva. Vállalati alkalmazás esetén kövesse a vállalati alkalmazás SAML-tokentitkosítási útmutatóját.

A titkosítási tanúsítványok az alkalmazásobjektumon tárolódnak a Microsoft Entra-azonosítóban egy encrypt használati címkével. Több titkosítási tanúsítványt is konfigurálhat, és a jogkivonatok titkosításához aktív tanúsítványt az tokenEncryptionKeyID attribútum azonosítja.

A jogkivonat-titkosítás Microsoft Graph API vagy PowerShell használatával történő konfigurálásához szüksége van az alkalmazás objektumazonosítójára. Ezt az értéket programozott módon, vagy a Microsoft Entra Felügyeleti központban az alkalmazás Tulajdonságok lapjára lépve és az objektumazonosító értékének jelölésével keresheti meg.

Amikor a KeyCredentialt a Graph, a PowerShell vagy az alkalmazásjegyzék használatával konfigurálja, létre kell hoznia egy GUID azonosítót a keyId használatához.

Az alkalmazásregisztráció tokentitkosításának konfigurálásához kövesse az alábbi lépéseket:

Portál

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazás-rendszergazdaként.

2. Keresse meg az Identitásalkalmazások>> Alkalmazásregisztrációk> Az összes alkalmazást.

3. Írja be a meglévő alkalmazás nevét a keresőmezőbe, majd válassza ki az alkalmazást a keresési eredmények közül.

4. Az alkalmazás oldalán válassza a Jegyzék elemet az alkalmazásjegyzék szerkesztéséhez.

   Az alábbi példa egy két titkosítási tanúsítvánnyal konfigurált alkalmazásjegyzéket mutat be, a második pedig aktívként van kiválasztva a tokenEncryptionKeyId használatával.

   { 
     "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
     "accessTokenAcceptedVersion": null,
     "allowPublicClient": false,
     "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "appRoles": [],
     "oauth2AllowUrlPathMatching": false,
     "createdDateTime": "2017-12-15T02:10:56Z",
     "groupMembershipClaims": "SecurityGroup",
     "informationalUrls": { 
        "termsOfService": null, 
        "support": null, 
        "privacy": null, 
        "marketing": null 
     },
     "identifierUris": [ 
       "https://testapp"
     ],
     "keyCredentials": [ 
       { 
         "customKeyIdentifier": "Tog/O1Hv1LtdsbPU5nPphbMduD=", 
         "endDate": "2039-12-31T23:59:59Z", 
         "keyId": "aaaaaaaa-0b0b-1c1c-2d2d-333333333333", 
         "startDate": "2018-10-25T21:42:18Z", 
         "type": "AsymmetricX509Cert", 
         "usage": "Encrypt", 
         "value": <Base64EncodedKeyFile> 
         "displayName": "CN=SAMLEncryptTest" 
       }, 
       {
         "customKeyIdentifier": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u=",
         "endDate": "2039-12-31T23:59:59Z", 
         "keyId": "bbbbbbbb-1c1c-2d2d-3e3e-444444444444",
         "startDate": "2018-10-25T21:42:18Z", 
         "type": "AsymmetricX509Cert", 
         "usage": "Encrypt", 
         "value": <Base64EncodedKeyFile> 
         "displayName": "CN=SAMLEncryptTest2" 
       } 
     ], 
     "knownClientApplications": [], 
     "logoUrl": null, 
     "logoutUrl": null, 
     "name": "Test SAML Application", 
     "oauth2AllowIdTokenImplicitFlow": true, 
     "oauth2AllowImplicitFlow": false, 
     "oauth2Permissions": [], 
     "oauth2RequirePostResponse": false, 
     "orgRestrictions": [], 
     "parentalControlSettings": { 
        "countriesBlockedForMinors": [], 
        "legalAgeGroupRule": "Allow" 
       }, 
     "passwordCredentials": [], 
     "preAuthorizedApplications": [], 
     "publisherDomain": null, 
     "replyUrlsWithType": [], 
     "requiredResourceAccess": [], 
     "samlMetadataUrl": null, 
     "signInUrl": "https://127.0.0.1:444/applications/default.aspx?metadata=customappsso|ISV9.1|primary|z" 
     "signInAudience": "AzureADMyOrg",
     "tags": [], 
     "tokenEncryptionKeyId": "bbbbbbbb-1c1c-2d2d-3e3e-444444444444" 
   }  
   

Azure AD PowerShell

1. A legújabb Azure AD PowerShell-modullal csatlakozhat a bérlőhöz. Legalább felhőalkalmazás-rendszergazdaként kell bejelentkeznie.

2. Állítsa be a tokentitkosítási beállításokat a Set-AzureApplication paranccsal.

   Set-AzureADApplication -ObjectId <ApplicationObjectId> -KeyCredentials "<KeyCredentialsObject>"  -TokenEncryptionKeyId <keyID>
   

3. Olvassa el a tokentitkosítási beállításokat az alábbi parancsokkal.

   $app=Get-AzureADApplication -ObjectId <ApplicationObjectId>
   $app.KeyCredentials
   $app.TokenEncryptionKeyId
   

Microsoft Graph PowerShell

1. A Microsoft Graph PowerShell-modullal csatlakozhat a bérlőhöz. Legalább felhőalkalmazás-rendszergazdaként kell bejelentkeznie.

2. Állítsa be a jogkivonat titkosítási beállításait az Update-MgApplication paranccsal.

   
   Update-MgApplication -ApplicationId <ApplicationObjectId> -KeyCredentials "<KeyCredentialsObject>"  -TokenEncryptionKeyId <keyID>
   
   

3. Olvassa el a tokentitkosítási beállításokat az alábbi parancsokkal.

   
   $app=Get-MgApplication -ApplicationId <ApplicationObjectId>
   
   $app.KeyCredentials
   
   $app.TokenEncryptionKeyId
   
   

Microsoft Graph

1. Frissítse az alkalmazásokat keyCredentials egy X.509-tanúsítvánnyal a titkosításhoz. Az alábbi példa egy Microsoft Graph JSON hasznos adatcsomagot mutat be az alkalmazáshoz társított kulcs hitelesítő adatok gyűjteményével.

   PATCH https://graph.microsoft.com/beta/applications/<application objectid>
   
   { 
      "keyCredentials":[ 
         { 
            "type":"AsymmetricX509Cert","usage":"Encrypt",
            "keyId":"aaaaaaaa-0b0b-1c1c-2d2d-333333333333",    (Use a GUID generator to obtain a value for the keyId)
            "key": "MIICADCCAW2gAwIBAgIQ5j9/b+n2Q4pDvQUCcy3…"  (Base64Encoded .cer file)
         }
       ]
   }
   

2. Azonosítsa a jogkivonatok titkosításához aktív titkosítási tanúsítványt. Az alábbi példában egy Microsoft Graph JSON-hasznos adat látható az tokenEncryptionKeyId elemmel. Az tokenEncryptionKeyId elem egy nyilvános kulcs kulcsazonosítóját adja meg a keyCredentials gyűjteményből.

   PATCH https://graph.microsoft.com/beta/applications/<application objectid> 
   
   { 
      "tokenEncryptionKeyId":"aaaaaaaa-0b0b-1c1c-2d2d-333333333333" (The keyId of the keyCredentials entry to use)
   }
   

Következő lépések

• Megtudhatja, hogyan használja a Microsoft Entra ID az SAML protokollt
• Az SAML-jogkivonatok formátumának, biztonsági jellemzőinek és tartalmának megismerése a Microsoft Entra ID-ban