Configurare la crittografia dei token SAML di Microsoft Entra

Nota

La crittografia dei token è una funzionalità P1 o P2 di Microsoft Entra ID. Per altre informazioni sulle edizioni, le funzionalità e i prezzi di Microsoft Entra, vedere Prezzi di Microsoft Entra.

La crittografia dei token SAML consente di usare asserzioni SAML crittografate con un'applicazione che la supporta. Se configurato per un'applicazione, Microsoft Entra ID crittograferà le asserzioni SAML che emette per tale applicazione usando la chiave pubblica ottenuta da un certificato archiviato in Microsoft Entra ID. L'applicazione deve usare la chiave privata corrispondente per decrittografare il token in modo da poterlo usare come evidenza di autenticazione per l'utente connesso.

La crittografia delle asserzioni SAML tra Microsoft Entra ID e l'applicazione garantisce che il contenuto del token non possa essere intercettato e i dati personali o aziendali compromessi.

Anche senza crittografia dei token, i token SAML di Microsoft Entra non vengono mai passati nella rete in chiaro. Microsoft Entra ID richiede scambi di richieste/risposte token da eseguire su canali HTTPS/TLS crittografati in modo che le comunicazioni tra IDP, browser e applicazione vengano eseguite su collegamenti crittografati. Prendere in considerazione il valore della crittografia dei token per la situazione rispetto al sovraccarico di gestione di più certificati.

Per configurare la crittografia dei token, è necessario caricare un file di certificato X.509 contenente la chiave pubblica nell'oggetto applicazione Microsoft Entra che rappresenta l'applicazione. Per ottenere il certificato X.509, è possibile scaricarlo dall'applicazione stessa oppure ottenerlo dal fornitore dell'applicazione nei casi in cui il fornitore dell'applicazione fornisce chiavi di crittografia o nei casi in cui l'applicazione prevede di fornire una chiave privata, può essere creata usando gli strumenti di crittografia, la parte della chiave privata caricata nell'archivio chiavi dell'applicazione e il certificato di chiave pubblica corrispondente caricato in Microsoft Entra ID.

Microsoft Entra ID usa AES-256 per crittografare i dati dell'asserzione SAML.

Prerequisiti

Per configurare la crittografia del token SAML, è necessario:

• Un account utente di Microsoft Entra. Se non è già disponibile, è possibile creare gratuitamente un account.
• Uno dei ruoli seguenti: amministratore globale, amministratore di applicazioni cloud o amministratore di applicazioni oppure proprietario dell'entità servizio.

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Configurare la crittografia del token SAML dell'applicazione aziendale

Questa sezione descrive come configurare la crittografia del token SAML dell'applicazione aziendale. Applicazioni configurate dal pannello Applicazioni aziendali nell'interfaccia di amministrazione di Microsoft Entra, dalla Raccolta applicazioni o da un'app non raccolta. Per le applicazioni registrate tramite l'esperienza di Registrazioni app, seguire le indicazioni configurare la crittografia del token SAML dell'applicazione registrata.

Per configurare la crittografia del token SAML dell'applicazione aziendale, seguire questa procedura:

1. Ottenere un certificato di chiave pubblica corrispondente a una chiave privata configurata nell'applicazione.

   Creare una coppia di chiavi asimmetriche da usare per la crittografia. Oppure, se l'applicazione fornisce una chiave pubblica da usare per la crittografia, seguire le istruzioni dell'applicazione per scaricare il certificato X.509.

   La chiave pubblica deve essere archiviata in un file di certificato X.509 nel formato con estensione cer. È possibile copiare il contenuto del file di certificato in un editor di testo e salvarlo come file .cer. Il file di certificato deve contenere solo la chiave pubblica e non la chiave privata.

   Se l'applicazione usa una chiave creata per l'istanza di , seguire le istruzioni fornite dall'applicazione per installare la chiave privata che verrà usata dall'applicazione per decrittografare i token dal tenant di Microsoft Entra.

2. Aggiungere il certificato alla configurazione dell'applicazione in Microsoft Entra ID.

Configurare la crittografia dei token nell'interfaccia di amministrazione di Microsoft Entra

È possibile aggiungere il certificato pubblico alla configurazione dell'applicazione all'interno dell'interfaccia di amministrazione di Microsoft Entra.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.

2. Passare a Applicazioni di identità>Applicazioni>aziendali>Tutte le applicazioni.

3. Immettere il nome dell'applicazione esistente nella casella di ricerca e quindi selezionare l'applicazione nei risultati della ricerca.

4. Nella pagina dell'applicazione selezionare Crittografia di token.

   

   Nota

   L'opzione Crittografia token è disponibile solo per le applicazioni SAML configurate dal pannello Applicazioni aziendali nell'interfaccia di amministrazione di Microsoft Entra, dalla Raccolta applicazioni o da un'app non raccolta. Per altre applicazioni questa opzione di menu è disabilitata.

5. Nella pagina Crittografia di token selezionare Importa certificato per importare il file con estensione cer che contiene il certificato X.509 pubblico.

   

6. Dopo aver importato il certificato e aver configurato la chiave privata per l'uso sul lato applicazione, attivare la crittografia selezionando ... accanto allo stato dell'identificazione personale, quindi selezionare Attiva certificato per la crittografia di token dal menu a discesa.

7. Selezionare Sì per confermare l'attivazione del certificato per la crittografia di token.

8. Verificare che le asserzioni SAML emesse per l'applicazione siano crittografate.

Per disattivare la crittografia dei token nell'interfaccia di amministrazione di Microsoft Entra

1. Nell'interfaccia di amministrazione di Microsoft Entra passare a Applicazioni di identità>Applicazioni>aziendali>Tutte le applicazioni e quindi selezionare l'applicazione in cui è abilitata la crittografia del token SAML.

2. Nella pagina dell'applicazione selezionare Crittografia di token, trovare il certificato e quindi selezionare l'opzione ... per visualizzare il menu a discesa.

3. Selezionare Disattiva certificato per la crittografia di token.

Configurare la crittografia del token SAML dell'applicazione registrata

Questa sezione descrive come configurare la crittografia del token SAML dell'applicazione registrata. Applicazioni configurate dal pannello Registrazioni app nell'interfaccia di amministrazione di Microsoft Entra. Per l'applicazione aziendale, seguire le linee guida configurare la crittografia del token SAML dell'applicazione aziendale.

I certificati di crittografia vengono archiviati nell'oggetto applicazione in Microsoft Entra ID con un encrypt tag di utilizzo. È possibile configurare più certificati di crittografia. Quello attivo per la crittografia dei token è identificato dall'attributo tokenEncryptionKeyID.

Per configurare la crittografia dei token tramite l'API Graph o PowerShell è necessario l'ID oggetto dell'applicazione. È possibile trovare questo valore a livello di codice oppure passando alla pagina Proprietà dell'applicazione nell'interfaccia di amministrazione di Microsoft Entra e notando il valore id oggetto.

Quando si configura un oggetto keyCredential tramite Graph, PowerShell o il manifesto dell'applicazione, occorre generare un GUID da usare per il keyId.

Per configurare la crittografia dei token per la registrazione di un'applicazione, seguire questa procedura:

Portale

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.

2. Passare a Applicazioni di identità>> Registrazioni app> Tutte le applicazioni.

3. Immettere il nome dell'applicazione esistente nella casella di ricerca e quindi selezionare l'applicazione nei risultati della ricerca.

4. Nella pagina dell'applicazione selezionare Manifesto per modificare il manifesto dell'applicazione.

   L'esempio seguente mostra un manifesto dell'applicazione configurato con due certificati di crittografia e con il secondo selezionato come attivo usando il tokenEncryptionKeyId.

   { 
     "id": "3cca40e2-367e-45a5-8440-ed94edd6cc35",
     "accessTokenAcceptedVersion": null,
     "allowPublicClient": false,
     "appId": "cb2df8fb-63c4-4c35-bba5-3d659dd81bf1",
     "appRoles": [],
     "oauth2AllowUrlPathMatching": false,
     "createdDateTime": "2017-12-15T02:10:56Z",
     "groupMembershipClaims": "SecurityGroup",
     "informationalUrls": { 
        "termsOfService": null, 
        "support": null, 
        "privacy": null, 
        "marketing": null 
     },
     "identifierUris": [ 
       "https://testapp"
     ],
     "keyCredentials": [ 
       { 
         "customKeyIdentifier": "Tog/O1Hv1LtdsbPU5nPphbMduD=", 
         "endDate": "2039-12-31T23:59:59Z", 
         "keyId": "8be4cb65-59d9-404a-a6f5-3d3fb4030351", 
         "startDate": "2018-10-25T21:42:18Z", 
         "type": "AsymmetricX509Cert", 
         "usage": "Encrypt", 
         "value": <Base64EncodedKeyFile> 
         "displayName": "CN=SAMLEncryptTest" 
       }, 
       {
         "customKeyIdentifier": "U5nPphbMduDmr3c9Q3p0msqp6eEI=",
         "endDate": "2039-12-31T23:59:59Z", 
         "keyId": "6b9c6e80-d251-43f3-9910-9f1f0be2e851",
         "startDate": "2018-10-25T21:42:18Z", 
         "type": "AsymmetricX509Cert", 
         "usage": "Encrypt", 
         "value": <Base64EncodedKeyFile> 
         "displayName": "CN=SAMLEncryptTest2" 
       } 
     ], 
     "knownClientApplications": [], 
     "logoUrl": null, 
     "logoutUrl": null, 
     "name": "Test SAML Application", 
     "oauth2AllowIdTokenImplicitFlow": true, 
     "oauth2AllowImplicitFlow": false, 
     "oauth2Permissions": [], 
     "oauth2RequirePostResponse": false, 
     "orgRestrictions": [], 
     "parentalControlSettings": { 
        "countriesBlockedForMinors": [], 
        "legalAgeGroupRule": "Allow" 
       }, 
     "passwordCredentials": [], 
     "preAuthorizedApplications": [], 
     "publisherDomain": null, 
     "replyUrlsWithType": [], 
     "requiredResourceAccess": [], 
     "samlMetadataUrl": null, 
     "signInUrl": "https://127.0.0.1:444/applications/default.aspx?metadata=customappsso|ISV9.1|primary|z" 
     "signInAudience": "AzureADMyOrg",
     "tags": [], 
     "tokenEncryptionKeyId": "6b9c6e80-d251-43f3-9910-9f1f0be2e851" 
   }  
   

Azure AD PowerShell

1. Usare il modulo di Azure AD PowerShell più recente per connettersi al tenant. È necessario accedere come almeno un'applicazione cloud Amministrazione istrator.

2. Impostare le impostazioni di crittografia del token usando il comando Set-AzureApplication.

   Set-AzureADApplication -ObjectId <ApplicationObjectId> -KeyCredentials "<KeyCredentialsObject>"  -TokenEncryptionKeyId <keyID>
   

3. Leggere le impostazioni di crittografia del token usando i comandi seguenti.

   $app=Get-AzureADApplication -ObjectId <ApplicationObjectId>
   $app.KeyCredentials
   $app.TokenEncryptionKeyId
   

Microsoft Graph PowerShell

1. Usare il modulo PowerShell di Microsoft Graph per connettersi al tenant. È necessario accedere come almeno un'applicazione cloud Amministrazione istrator.

2. Impostare le impostazioni di crittografia del token usando il comando Update-MgApplication.

   
   Update-MgApplication -ApplicationId <ApplicationObjectId> -KeyCredentials "<KeyCredentialsObject>"  -TokenEncryptionKeyId <keyID>
   
   

3. Leggere le impostazioni di crittografia del token usando i comandi seguenti.

   
   $app=Get-MgApplication -ApplicationId <ApplicationObjectId>
   
   $app.KeyCredentials
   
   $app.TokenEncryptionKeyId
   
   

Microsoft Graph

1. Aggiornare l'oggetto keyCredentials dell'applicazione con un certificato X.509 per la crittografia. L'esempio seguente mostra un payload JSON di Microsoft Graph con una raccolta di credenziali chiave associate all'applicazione.

   PATCH https://graph.microsoft.com/beta/applications/<application objectid>
   
   { 
      "keyCredentials":[ 
         { 
            "type":"AsymmetricX509Cert","usage":"Encrypt",
            "keyId":"fdf8c5d8-f727-43fd-beaf-0f1521cf3d35",    (Use a GUID generator to obtain a value for the keyId)
            "key": "MIICADCCAW2gAwIBAgIQ5j9/b+n2Q4pDvQUCcy3…"  (Base64Encoded .cer file)
         }
       ]
   }
   

2. Identificare il certificato di crittografia attivo per la crittografia dei token. L'esempio seguente mostra un payload JSON di Microsoft Graph con l'elemento tokenEncryptionKeyId . L'elemento tokenEncryptionKeyId specifica l'ID chiave di una chiave pubblica dalla keyCredentials raccolta.

   PATCH https://graph.microsoft.com/beta/applications/<application objectid> 
   
   { 
      "tokenEncryptionKeyId":"fdf8c5d8-f727-43fd-beaf-0f1521cf3d35" (The keyId of the keyCredentials entry to use)
   }
   

Passaggi successivi

• Informazioni su come Microsoft Entra ID usa il protocollo SAML
• Informazioni sul formato, le caratteristiche di sicurezza e il contenuto dei token SAML in Microsoft Entra ID