Opzioni avanzate di firma del certificato in un token SAML

Oggi Microsoft Entra ID supporta migliaia di applicazioni preintegrate in Microsoft Entra App Gallery. Oltre 500 applicazioni supportano l'accesso Single Sign-On usando il protocollo SAML (Security Assertion Markup Language ) 2.0, ad esempio l'applicazione NetSuite . Quando un cliente esegue l'autenticazione a un'applicazione tramite Microsoft Entra ID tramite SAML, Microsoft Entra ID invia un token all'applicazione (tramite HTTP POST). L'applicazione convalida e usa quindi il token per accedere al cliente invece di richiedere un nome utente e una password. Questi token SAML vengono firmati con il certificato univoco generato in MICROSOFT Entra ID e da algoritmi standard specifici.

Microsoft Entra ID usa alcune delle impostazioni predefinite per le applicazioni della raccolta. I valori predefiniti vengono configurati in base ai requisiti dell'applicazione.

In Microsoft Entra ID è possibile configurare le opzioni di firma del certificato e l'algoritmo di firma del certificato.

Opzioni di firma del certificato

Microsoft Entra ID supporta tre opzioni di firma del certificato:

• Firma asserzione SAML. Per la maggior parte delle applicazioni della raccolta viene impostata questa opzione predefinita. Se si seleziona questa opzione, Microsoft Entra ID as an Identity Provider (IdP) firma l'asserzione SAML e il certificato con il certificato X.509 dell'applicazione.

• Firma risposta SAML. Se si seleziona questa opzione, Microsoft Entra ID as an IdP firma la risposta SAML con il certificato X.509 dell'applicazione.

• Firma asserzione e risposta SAML. Se si seleziona questa opzione, Microsoft Entra ID as an IdP firma l'intero token SAML con il certificato X.509 dell'applicazione.

Algoritmi per la firma di certificati

Microsoft Entra ID supporta due algoritmi di firma o algoritmi hash sicuri per firmare la risposta SAML:

• SHA-256. Microsoft Entra ID usa questo algoritmo predefinito per firmare la risposta SAML. Si tratta dell'algoritmo più recente ed è più sicuro di SHA-1. La maggior parte delle applicazioni supporta l'algoritmo SHA-256. Se un'applicazione supporta solo SHA-1 come algoritmo di firma, è possibile modificare questa impostazione. In caso contrario è consigliabile usare l'algoritmo SHA-256 per firmare la risposta SAML.

• SHA-1. Questo algoritmo è meno recente e viene considerato meno sicuro di SHA-256. Se un'applicazione supporta solo questo algoritmo di firma, è possibile selezionare questa opzione nell'elenco a discesa Algoritmo di firma. Microsoft Entra ID firma quindi la risposta SAML con l'algoritmo SHA-1.

Prerequisiti

Per modificare le opzioni di firma del certificato SAML di un'applicazione e l'algoritmo di firma del certificato, è necessario:

• Un account utente di Microsoft Entra. Se non è già disponibile, è possibile creare gratuitamente un account.
• Uno dei ruoli seguenti: amministratore globale, amministratore di applicazioni cloud o amministratore di applicazioni oppure proprietario dell'entità servizio.

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Modificare le opzioni di firma del certificato e l'algoritmo di firma

Per modificare le opzioni di firma del certificato SAML di un'applicazione e l'algoritmo di firma del certificato:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.

2. Passare a Applicazioni di identità>Applicazioni>aziendali>Tutte le applicazioni.

3. Immettere il nome dell'applicazione esistente nella casella di ricerca e quindi selezionare l'applicazione nei risultati della ricerca. In questo esempio si usa l'applicazione Salesforce.

   

Modificare quindi le opzioni di firma del certificato nel token SAML per l'applicazione:

1. Nel riquadro sinistro della pagina di panoramica dell'applicazione selezionare Single Sign-On.

2. Se viene visualizzata la pagina Configura Accesso Single Sign-On con SAML , andare al passaggio 5.

3. Se la pagina Configura l'accesso Single Sign-On con SAML non viene visualizzata, selezionare Cambia modalità di accesso Single Sign-On.

4. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML. Se SAML non è disponibile, l'applicazione non supporta SAML ed è possibile ignorare il resto di questa procedura e l'articolo.

5. Nella pagina Configura l'accesso Single Sign-On con SAML individuare l'intestazione Certificato di firma SAML e selezionare l'icona Modifica (a forma di matita). Viene visualizzata la pagina Certificato di firma SAML.

   

6. Nell'elenco a discesa Opzioni di firma scegliere Firma risposta SAML, Firma asserzione SAML o Firma risposta e asserzione SAML. Le descrizioni di queste opzioni vengono visualizzate in precedenza in questo articolo nelle opzioni di firma del certificato.

7. Nell'elenco a discesa Algoritmo di firma scegliere SHA-1 o SHA-256. Le descrizioni di queste opzioni vengono visualizzate in precedenza in questo articolo nella sezione Algoritmi di firma del certificato.

8. Se si è soddisfatti delle scelte effettuate, selezionare Salva per applicare le nuove impostazioni del certificato di firma SAML. In caso contrario, selezionare la X per rimuovere le modifiche.

Passaggi successivi

• Configurare l'accesso Single Sign-On alle applicazioni che non si trovano in Microsoft Entra App Gallery
• Risolvere i problemi relativi all'accesso Single Sign-On basato su SAML