Bagikan melalui


Mengonfigurasi enkripsi token SAML Microsoft Entra

Catatan

Enkripsi token adalah fitur Microsoft Entra ID P1 atau P2. Untuk mempelajari selengkapnya tentang edisi, fitur, dan harga Microsoft Entra, lihat Harga Microsoft Entra.

Enkripsi token SAML mengaktifkan penggunaan pernyataan SAML terenkripsi dengan aplikasi yang mendukungnya. Saat dikonfigurasi untuk aplikasi, MICROSOFT Entra ID mengenkripsi pernyataan SAML yang dipancarkannya untuk aplikasi tersebut. Ini mengenkripsi pernyataan SAML menggunakan kunci umum yang diperoleh dari sertifikat yang disimpan di ID Microsoft Entra. Aplikasi harus menggunakan kunci privat yang cocok untuk mendekripsi token sebelum dapat digunakan sebagai bukti autentikasi untuk pengguna yang masuk.

Mengenkripsi pernyataan SAML antara MICROSOFT Entra ID dan aplikasi memberikan lebih banyak jaminan bahwa konten token tidak dapat disadap, dan data pribadi atau perusahaan disusupi.

Bahkan tanpa enkripsi token, token Microsoft Entra SAML tidak pernah diteruskan pada jaringan dengan jelas. MICROSOFT Entra ID mengharuskan pertukaran permintaan/respons token dilakukan melalui saluran HTTPS/TLS terenkripsi sehingga komunikasi antara IDP, browser, dan aplikasi terjadi melalui tautan terenkripsi. Pertimbangkan nilai enkripsi token untuk situasi Anda dibandingkan dengan overhead pengelolaan sertifikat tambahan.

Untuk mengonfigurasi enkripsi token, Anda perlu mengunggah file sertifikat X.509 yang berisi kunci publik ke objek aplikasi Microsoft Entra yang mewakili aplikasi.

Untuk mendapatkan sertifikat X.509, Anda dapat mengunduhnya dari aplikasi itu sendiri. Anda juga bisa mendapatkannya dari vendor aplikasi jika vendor aplikasi menyediakan kunci enkripsi. Jika aplikasi mengharapkan Anda untuk memberikan kunci privat, Anda dapat membuatnya menggunakan alat kriptografi. Bagian kunci privat diunggah ke penyimpanan kunci aplikasi dan sertifikat kunci publik yang cocok yang diunggah ke ID Microsoft Entra.

MICROSOFT Entra ID menggunakan AES-256 untuk mengenkripsi data pernyataan SAML.

Prasyarat

Untuk mengonfigurasi enkripsi token SAML, Anda memerlukan:

  • Akun pengguna Microsoft Entra. Jika Anda belum memilikinya, Anda dapat Membuat akun secara gratis.
  • Salah satu peran berikut: Administrator Aplikasi Cloud, Administrator Aplikasi, atau pemilik perwakilan layanan.

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Mengonfigurasi enkripsi token SAML aplikasi perusahaan

Bagian ini menjelaskan cara mengonfigurasi enkripsi token SAML aplikasi perusahaan. Aplikasi ini disiapkan dari panel Aplikasi perusahaan di pusat admin Microsoft Entra, baik dari galeri aplikasi atau aplikasi non-galeri. Untuk aplikasi yang terdaftar melalui pengalaman Pendaftaran aplikasi, ikuti panduan Mengonfigurasi enkripsi token SAML aplikasi terdaftar.

Untuk mengonfigurasi enkripsi token SAML, ikuti langkah-langkah berikut:

  1. Dapatkan sertifikat kunci publik yang cocok dengan kunci privat yang dikonfigurasi dalam aplikasi.

    Buat pasangan kunci asimetris yang akan digunakan untuk enkripsi. Atau, jika aplikasi menyediakan kunci publik yang akan digunakan untuk enkripsi, ikuti petunjuk aplikasi untuk mengunduh sertifikat X.509.

    Kunci publik harus disimpan dalam file sertifikat X.509 dalam format .cer. Anda dapat menyalin konten file sertifikat ke editor teks dan menyimpannya sebagai file .cer. File sertifikat hanya boleh berisi kunci umum dan bukan kunci privat.

    Jika aplikasi menggunakan kunci yang Anda buat untuk instans Anda, ikuti instruksi yang diberikan oleh aplikasi Anda untuk menginstal kunci privat yang digunakan aplikasi untuk mendekripsi token dari penyewa Microsoft Entra Anda.

  2. Tambahkan sertifikat ke konfigurasi aplikasi di ID Microsoft Entra.

Mengonfigurasi enkripsi token di pusat admin Microsoft Entra

Anda dapat menambahkan sertifikasi publik ke konfigurasi aplikasi Anda dalam pusat admin Microsoft Entra.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri aplikasi Identity>Applications>Enterprise>Semua aplikasi.

  3. Masukkan nama aplikasi yang ada di kotak pencarian, lalu pilih aplikasi dari hasil pencarian.

  4. Pada halaman aplikasi, pilih Enkripsi token.

    Catatan

    Opsi Enkripsi token hanya tersedia untuk aplikasi SAML yang telah disiapkan dari panel Aplikasi perusahaan di pusat admin Microsoft Entra, baik dari galeri aplikasi atau aplikasi non-galeri. Untuk aplikasi lain, opsi ini dinonaktifkan.

  5. Pada halaman Enkripsi token, pilih Impor Sertifikat untuk mengimpor file .cer yang berisi sertifikat X.509 publik Anda.

    Cuplikan layar memperlihatkan cara mengimpor file sertifikat menggunakan pusat admin Microsoft Entra.

  6. Setelah sertifikat diimpor, dan kunci privat dikonfigurasi untuk digunakan di sisi aplikasi, aktifkan enkripsi dengan memilih ... di samping status sidik jari, lalu pilih Aktifkan enkripsi token dari opsi di menu dropdown.

  7. Pilih Ya untuk mengonfirmasi aktivasi sertifikat enkripsi token.

  8. Konfirmasikan bahwa pernyataan SAML yang dikeluarkan untuk aplikasi dienkripsi.

Untuk menonaktifkan enkripsi token di pusat admin Microsoft Entra

  1. Di pusat admin Microsoft Entra, telusuri aplikasi Identity>Applications>Enterprise>Semua aplikasi, lalu pilih aplikasi yang mengaktifkan enkripsi token SAML.

  2. Pada halaman aplikasi, pilih Enkripsi token, temukan sertifikatnya, lalu pilih opsi ... untuk menampilkan menu dropdown.

  3. Pilih Nonaktifkan enkripsi token.

Mengonfigurasi enkripsi token SAML aplikasi terdaftar

Bagian ini menjelaskan cara mengonfigurasi enkripsi token SAML aplikasi terdaftar. Aplikasi ini disiapkan dari panel Pendaftaran aplikasi di pusat admin Microsoft Entra. Untuk aplikasi perusahaan, ikuti panduan Mengonfigurasi enkripsi token SAML aplikasi perusahaan.

Sertifikat enkripsi disimpan pada objek aplikasi di ID Microsoft Entra dengan encrypt tag penggunaan. Anda dapat mengonfigurasi beberapa sertifikat enkripsi dan yang aktif untuk mengenkripsi token diidentifikasi oleh atribut tokenEncryptionKeyID.

Anda memerlukan ID objek aplikasi untuk mengonfigurasi enkripsi token menggunakan Microsoft Graph API atau PowerShell. Anda dapat menemukan nilai ini secara terprogram, atau dengan masuk ke halaman Properti aplikasi di pusat admin Microsoft Entra dan mencatat nilai ID Objek.

Saat Anda mengonfigurasi keyCredential menggunakan Graph, PowerShell, atau di manifes aplikasi, Anda harus membuat GUID yang akan digunakan untuk keyId tersebut.

Untuk mengonfigurasi enkripsi token untuk pendaftaran aplikasi, ikuti langkah-langkah berikut:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri aplikasi >Identitas>Pendaftaran aplikasi> Semua aplikasi.

  3. Masukkan nama aplikasi yang ada di kotak pencarian, lalu pilih aplikasi dari hasil pencarian.

  4. Di halaman aplikasi, pilih Manifes untuk mengedit manifes aplikasi.

    Contoh berikut menunjukkan manifes aplikasi yang dikonfigurasi dengan dua sertifikat enkripsi, dan dengan yang kedua dipilih sebagai yang aktif menggunakan tokenEncryptionKeyId.

    { 
      "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
      "accessTokenAcceptedVersion": null,
      "allowPublicClient": false,
      "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
      "appRoles": [],
      "oauth2AllowUrlPathMatching": false,
      "createdDateTime": "2017-12-15T02:10:56Z",
      "groupMembershipClaims": "SecurityGroup",
      "informationalUrls": { 
         "termsOfService": null, 
         "support": null, 
         "privacy": null, 
         "marketing": null 
      },
      "identifierUris": [ 
        "https://testapp"
      ],
      "keyCredentials": [ 
        { 
          "customKeyIdentifier": "Tog/O1Hv1LtdsbPU5nPphbMduD=", 
          "endDate": "2039-12-31T23:59:59Z", 
          "keyId": "aaaaaaaa-0b0b-1c1c-2d2d-333333333333", 
          "startDate": "2018-10-25T21:42:18Z", 
          "type": "AsymmetricX509Cert", 
          "usage": "Encrypt", 
          "value": <Base64EncodedKeyFile> 
          "displayName": "CN=SAMLEncryptTest" 
        }, 
        {
          "customKeyIdentifier": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u=",
          "endDate": "2039-12-31T23:59:59Z", 
          "keyId": "bbbbbbbb-1c1c-2d2d-3e3e-444444444444",
          "startDate": "2018-10-25T21:42:18Z", 
          "type": "AsymmetricX509Cert", 
          "usage": "Encrypt", 
          "value": <Base64EncodedKeyFile> 
          "displayName": "CN=SAMLEncryptTest2" 
        } 
      ], 
      "knownClientApplications": [], 
      "logoUrl": null, 
      "logoutUrl": null, 
      "name": "Test SAML Application", 
      "oauth2AllowIdTokenImplicitFlow": true, 
      "oauth2AllowImplicitFlow": false, 
      "oauth2Permissions": [], 
      "oauth2RequirePostResponse": false, 
      "orgRestrictions": [], 
      "parentalControlSettings": { 
         "countriesBlockedForMinors": [], 
         "legalAgeGroupRule": "Allow" 
        }, 
      "passwordCredentials": [], 
      "preAuthorizedApplications": [], 
      "publisherDomain": null, 
      "replyUrlsWithType": [], 
      "requiredResourceAccess": [], 
      "samlMetadataUrl": null, 
      "signInUrl": "https://127.0.0.1:444/applications/default.aspx?metadata=customappsso|ISV9.1|primary|z" 
      "signInAudience": "AzureADMyOrg",
      "tags": [], 
      "tokenEncryptionKeyId": "bbbbbbbb-1c1c-2d2d-3e3e-444444444444" 
    }  
    

Langkah berikutnya