Verifica della firma della richiesta SAML

  • Articolo

La verifica della firma della richiesta SAML è una funzionalità che convalida la firma delle richieste di autenticazione firmate. Un'app Amministrazione ora può abilitare e disabilitare l'imposizione delle richieste firmate e caricare le chiavi pubbliche da usare per eseguire la convalida.

Se abilitato, Microsoft Entra ID convalida le richieste rispetto alle chiavi pubbliche configurate. Esistono alcuni scenari in cui le richieste di autenticazione possono avere esito negativo:

  • Protocollo non consentito per le richieste firmate. È supportato solo il protocollo SAML.
  • Richiesta non firmata, ma la verifica è abilitata.
  • Nessun certificato di verifica configurato per la verifica della firma della richiesta SAML. Per altre informazioni sui requisiti dei certificati, vedere Opzioni di firma del certificato.
  • La verifica della firma non è riuscita.
  • L'identificatore della chiave nella richiesta è mancante e due certificati aggiunti di recente non corrispondono alla firma della richiesta.
  • Richiesta firmata ma algoritmo mancante.
  • Nessun certificato corrispondente all'identificatore di chiave specificato.
  • Algoritmo di firma non consentito. È supportato solo RSA-SHA256.

Nota

Un Signature elemento negli AuthnRequest elementi è facoltativo. Se Require Verification certificates non è selezionata, l'ID Microsoft Entra non convalida le richieste di autenticazione firmate se è presente una firma. La verifica del richiedente viene fornita solo rispondendo agli URL del servizio consumer di asserzione registrati.

Se Require Verification certificates è selezionata, la verifica della firma della richiesta SAML funzionerà solo per le richieste di autenticazione avviate da SP (provider di servizi/relying party avviate). Solo l'applicazione configurata dal provider di servizi avrà accesso alle chiavi private e pubbliche per firmare le richieste di autenticazione SAML in ingresso dall'applicazione. La chiave pubblica deve essere caricata per consentire la verifica della richiesta, nel qual caso Microsoft Entra ID avrà accesso solo alla chiave pubblica.

L'abilitazione Require Verification certificates non consentirà la convalida delle richieste di autenticazione avviate da IDP (ad esempio la funzionalità di test SSO, l'utilità di avvio delle app MyApps o M365) perché IDP non avrebbe le stesse chiavi private dell'applicazione registrata.

Prerequisiti

Per configurare la verifica della firma della richiesta SAML, è necessario:

  • Un account utente di Microsoft Entra. Se non è già disponibile, è possibile creare gratuitamente un account.
  • Uno dei ruoli seguenti: amministratore globale, amministratore di applicazioni cloud o amministratore di applicazioni oppure proprietario dell'entità servizio.

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Configurare la verifica della firma della richiesta SAML

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.

  2. Passare a Applicazioni di identità>Applicazioni>aziendali>Tutte le applicazioni.

  3. Immettere il nome dell'applicazione esistente nella casella di ricerca e quindi selezionare l'applicazione nei risultati della ricerca.

  4. Passare a Single Sign-On.

  5. Nella schermata Single Sign-On scorrere fino alla sottosezione denominata Certificati di verifica in Certificati SAML.

    Screenshot of verification certificates under SAML Certificates on the Enterprise Application page.

  6. Seleziona Modifica

  7. Nel nuovo pannello è possibile abilitare la verifica delle richieste firmate e acconsentire esplicitamente alla verifica dell'algoritmo debole nel caso in cui l'applicazione usi ancora RSA-SHA1 per firmare le richieste di autenticazione.

  8. Per abilitare la verifica delle richieste firmate, selezionare Richiedi certificati di verifica e caricare una chiave pubblica di verifica corrispondente alla chiave privata usata per firmare la richiesta.

    Screenshot of require verification certificates in Enterprise Applications page.

  9. Dopo aver caricato il certificato di verifica, selezionare Salva.

  10. Quando la verifica delle richieste firmate è abilitata, l'esperienza di test viene disabilitata perché le richieste devono essere firmate dal provider di servizi.

    Screenshot of testing disabled warning when signed requests enabled in Enterprise Application page.

  11. Per visualizzare la configurazione corrente di un'applicazione aziendale, è possibile passare alla schermata Single Sign-On e visualizzare il riepilogo della configurazione in Certificati SAML. È possibile verificare se la verifica delle richieste firmate è abilitata e il numero di certificati di verifica attivi e scaduti.

    Screenshot of enterprise application configuration in single sign-on screen.

Passaggi successivi