Tutorial: Mengelola sertifikat untuk akses menyeluruh gabungan

  • Artikel

Dalam artikel ini, kami membahas pertanyaan dan informasi umum yang terkait dengan sertifikat yang dibuat MICROSOFT Entra ID untuk membuat akses menyeluruh (SSO) federasi ke aplikasi perangkat lunak sebagai layanan (SaaS) Anda. Tambahkan aplikasi dari galeri aplikasi Microsoft Entra atau dengan menggunakan templat aplikasi non-galeri. Konfigurasikan aplikasi dengan menggunakan opsi SSO federasi.

Tutorial ini hanya relevan untuk aplikasi yang dikonfigurasi untuk menggunakan Microsoft Entra SSO melalui federasi Security Assertion Markup Language (SAML).

Dalam tutorial ini, administrator aplikasi mempelajari cara:

  • Sertifikat yang dibuat secara otomatis untuk aplikasi galeri dan non-galeri
  • Menyesuaikan tanggal kedaluwarsa untuk sertifikat
  • Menambahkan alamat pemberitahuan email untuk kedaluwarsa sertifikat
  • Perpanjang sertifikat

Prasyarat

  • Akun Azure dengan langganan aktif. Jika Anda belum memiliki akun, Buat akun secara gratis.
  • Salah satu peran berikut: Administrator Global, Administrator Peran Istimewa, Administrator Aplikasi Cloud, atau Administrator Aplikasi.
  • Aplikasi perusahaan yang dikonfigurasi di penyewa Microsoft Entra Anda.

Saat Anda menambahkan aplikasi baru dari galeri dan mengonfigurasi masuk berbasis SAML (dengan memilih SAML akses>menyeluruh dari halaman gambaran umum aplikasi), MICROSOFT Entra ID menghasilkan sertifikat yang ditandatangani sendiri untuk aplikasi yang berlaku selama tiga tahun. Untuk mengunduh sertifikat aktif sebagai file sertifikat keamanan (.cer), kembali ke halaman tersebut (masuk berbasis SAML) dan pilih tautan unduhan di judul Sertifikat Penandatanganan SAML. Anda dapat memilih antara sertifikat mentah (biner) atau sertifikat Base 64 (teks dasar yang dikodekan 64). Untuk aplikasi galeri, bagian ini mungkin juga menampilkan tautan untuk mengunduh sertifikat sebagai XML metadata federasi (file .xml), tergantung pada persyaratan aplikasi.

Anda juga dapat mengunduh sertifikat aktif atau tidak aktif dengan memilih ikon Edit (pensil) pada judul Sertifikat Penandatanganan SAML, yang menampilkan halaman Sertifikat Penandatanganan SAML. Pilih elipsis (...) di samping sertifikat yang ingin Anda unduh, lalu pilih format sertifikat mana yang Anda inginkan. Anda memiliki opsi lain untuk mengunduh sertifikat dalam format email yang ditingkatkan privasi (PEM). Format ini identik dengan Base64 tetapi dengan ekstensi nama file .pem, yang tidak dikenali di Windows sebagai format sertifikat.

SAML signing certificate download options (active and inactive).

Sesuaikan tanggal kedaluwarsa untuk sertifikat federasi dan terapkan ke sertifikat baru

Secara default, Azure mengonfigurasi sertifikat untuk kedaluwarsa setelah tiga tahun ketika Anda membuatnya secara otomatis selama konfigurasi akses menyeluruh SAML. Karena Anda tidak dapat mengubah tanggal sertifikat setelah menyimpannya, Anda harus:

  1. Membuat sertifikat baru dengan tanggal yang diinginkan.
  2. Menyimpan sertifikat baru.
  3. Mengunduh sertifikat baru dalam format yang benar.
  4. Mengunggah sertifikat baru ke aplikasi.
  5. Buat sertifikat baru aktif di pusat admin Microsoft Entra.

Dua bagian berikut ini membantu Anda melakukan langkah-langkah ini.

Membuat sertifikat baru

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Pertama-tama buat dan simpan sertifikat baru dengan tanggal kedaluwarsa yang berbeda:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.
  2. Telusuri aplikasi Identity>Applications>Enterprise>Semua aplikasi.
  3. Masukkan nama aplikasi yang ada di kotak pencarian, lalu pilih aplikasi dari hasil pencarian.
  4. Pada bagian Kelola, pilih Akses menyeluruh.
  5. Jika halaman Pilih metode akses menyeluruh muncul, pilih SAML.
  6. Di halaman Siapkan Akses Menyeluruh dengan SAML , temukan judul Sertifikat Penandatanganan SAML, dan pilih ikon Edit (pensil). Halaman Sertifikat Penandatanganan SAML muncul, yang menampilkan status (Aktif atau Tidak Aktif), tanggal kedaluwarsa, dan thumbprint (untai (karakter) hash) dari setiap sertifikat.
  7. Pilih Sertifikat Baru. Baris baru muncul di bawah daftar sertifikat, di mana tanggal kedaluwarsa default tepat tiga tahun setelah tanggal saat ini. (Perubahan Anda belum disimpan, sehingga Anda masih dapat mengubah tanggal kedaluwarsa.)
  8. Di baris sertifikat baru, arahkan mouse ke atas kolom tanggal kedaluwarsa dan pilih ikon Pilih Tanggal (kalender). Kontrol kalender muncul, menampilkan hari-hari dalam sebulan dari tanggal kedaluwarsa baris baru saat ini.
  9. Gunakan kontrol kalender untuk mengatur tanggal baru. Anda dapat mengatur tanggal berapa pun antara tanggal saat ini dan tiga tahun setelah tanggal saat ini.
  10. Pilih Simpan. Sertifikat baru sekarang muncul dengan status Tidak aktif, tanggal kedaluwarsa yang Anda pilih, dan thumbprint.

    Catatan

    Saat Anda memiliki sertifikat yang sudah kedaluwarsa dan Anda membuat sertifikat baru, sertifikat baru akan dipertimbangkan untuk menandatangani token, meskipun Anda belum mengaktifkannya.

  11. Pilih X untuk kembali ke halaman Siapkan Akses Menyeluruh dengan SAML.

Mengunggah dan mengaktifkan sertifikat

Selanjutnya, unduh sertifikat baru dalam format yang benar, unggah ke aplikasi, dan aktifkan di ID Microsoft Entra:

  1. Lihat instruksi konfigurasi masuk SAML lainnya untuk aplikasi dengan salah satu opsi berikut.

    • Pilih tautan panduan konfigurasi untuk ditampilkan di jendela atau tab browser terpisah.
    • Telusuri judul penyiapan dan pilih Lihat instruksi langkah demi langkah untuk ditampilkan di bilah samping.

  2. Dalam petunjuk, perhatikan format pengodean yang diperlukan untuk unggahan sertifikat.

  3. Ikuti instruksi di bagian Sertifikat yang dibuat secara otomatis untuk aplikasi galeri dan non-galeri sebelumnya. Langkah ini mengunduh sertifikat dalam format pengodean yang diperlukan untuk diunggah oleh aplikasi.

  4. Jika Anda ingin beralih ke sertifikat baru, kembali ke halaman Sertifikat Penandatanganan SAML, dan di baris sertifikat yang baru disimpan, pilih elipsis (...) dan pilih Aktifkan sertifikat. Status sertifikat baru berubah menjadi Aktif, dan sertifikat yang sebelumnya aktif berubah menjadi status Tidak aktif.

  5. Kemudian, ikuti petunjuk konfigurasi masuk SAML aplikasi yang Anda tampilkan sebelumnya, sehingga Anda dapat mengunggah sertifikat penandatanganan SAML dalam format pengodean yang benar.

Jika aplikasi Anda tidak memiliki validasi kedaluwarsa sertifikat dan sertifikat cocok dengan ID Microsoft Entra dan aplikasi Anda, aplikasi tersebut tetap dapat diakses meskipun kedaluwarsa. Pastikan aplikasi Anda dapat memvalidasi tanggal kedaluwarsa sertifikat.

Jika Anda ingin menonaktifkan validasi kedaluwarsa sertifikat, sertifikat baru tidak boleh dibuat hingga jendela pemeliharaan terjadwal Anda untuk rollover sertifikat. Jika sertifikat yang valid kedaluwarsa dan tidak aktif ada di aplikasi, ID Microsoft Entra secara otomatis menggunakan sertifikat yang valid. Dalam hal ini, pengguna mungkin mengalami pemadaman aplikasi.

Menambahkan alamat pemberitahuan email untuk kedaluwarsa sertifikat

Microsoft Entra ID mengirimkan pemberitahuan email 60, 30, dan 7 hari sebelum sertifikat SAML kedaluwarsa. Anda dapat menambahkan lebih dari satu alamat email untuk menerima pemberitahuan. Untuk menentukan satu atau beberapa alamat email, Anda ingin pemberitahuan dikirim ke:

  1. Di halaman Sertifikat Penandatanganan SAML, buka judul alamat email pemberitahuan. Secara default, judul ini hanya menggunakan alamat email admin yang menambahkan aplikasi.
  2. Di bawah alamat email akhir, ketik alamat email yang seharusnya menerima pemberitahuan kedaluwarsa sertifikat, lalu tekan Enter.
  3. Ulangi langkah sebelumnya untuk setiap alamat email yang ingin Anda tambahkan.
  4. Untuk setiap alamat email yang ingin Anda hapus, pilih ikon Hapus (tempat sampah) di samping alamat email.
  5. Pilih Simpan.

Anda dapat menambahkan hingga lima alamat email ke daftar Pemberitahuan (termasuk alamat email admin yang menambahkan aplikasi). Jika Anda memerlukan lebih banyak orang untuk diberi tahu, gunakan email daftar distribusi.

Anda menerima email pemberitahuan dari azure-noreply@microsoft.com. Untuk menghindari email masuk ke lokasi spam Anda, tambahkan email ini ke kontak Anda.

Memperpanjang sertifikat yang diatur agar segera kedaluwarsa

Jika sertifikat akan kedaluwarsa, Anda dapat memperbaruinya menggunakan prosedur yang tidak menghasilkan waktu henti yang signifikan bagi pengguna Anda. Untuk memperpanjang sertifikat yang kedaluwarsa:

  1. Ikuti petunjuk di bagian Buat sertifikat baru sebelumnya, menggunakan tanggal yang tumpang tindih dengan sertifikat yang sudah ada. Tanggal tersebut membatasi jumlah waktu henti yang disebabkan oleh kedaluwarsa sertifikat.

  2. Jika aplikasi dapat secara otomatis menggulirkan sertifikat, atur sertifikat baru ke aktif dengan mengikuti langkah-langkah ini.

    1. Kembali ke halaman Sertifikat Penandatanganan SAML.
    2. Di baris sertifikat yang baru disimpan, pilih elipsis (...) lalu pilih Buat sertifikat aktif.
    3. Lewati dua langkah berikutnya.

  3. Jika aplikasi hanya dapat menangani satu sertifikat sekaligus, pilih interval waktu henti untuk melakukan langkah berikutnya. (Jika tidak, jika aplikasi tidak secara otomatis mengambil sertifikat baru tetapi dapat menangani lebih dari satu sertifikat penandatanganan, Anda dapat melakukan langkah berikutnya kapan saja).

  4. Sebelum sertifikat lama kedaluwarsa, ikuti petunjuk di bagian Unggah dan aktifkan sertifikat sebelumnya. Jika sertifikat aplikasi Anda tidak diperbarui setelah sertifikat baru diperbarui di ID Microsoft Entra, autentikasi pada aplikasi Anda mungkin gagal.

  5. Masuk ke aplikasi untuk memastikan bahwa sertifikat berfungsi dengan benar.

Jika aplikasi Anda tidak memiliki validasi kedaluwarsa sertifikat dan sertifikat cocok dengan ID Microsoft Entra dan aplikasi Anda, aplikasi tersebut tetap dapat diakses meskipun kedaluwarsa. Pastikan aplikasi Anda dapat memvalidasi masa berlaku sertifikat.