Esercitazione: Gestire i certificati per l'accesso Single Sign-On federato

  • Articolo

In questo articolo vengono illustrate le domande e le informazioni comuni relative ai certificati creati da Microsoft Entra ID per stabilire l'accesso Single Sign-On (SSO) federato alle applicazioni SaaS (Software as a Service). Aggiungere applicazioni dalla raccolta di applicazioni Microsoft Entra o usando un modello di applicazione non della raccolta. Configurare l'applicazione utilizzando l'opzione di SSO federato.

Questa esercitazione è rilevante solo per le app configurate per l'uso di Microsoft Entra SSO tramite la federazione SAML (Security Assertion Markup Language ).

In questa esercitazione, un amministratore dell'applicazione apprende come:

  • Generare certificati per le applicazioni della raccolta e non della raccolta
  • Personalizzare le date di scadenza per i certificati
  • Aggiungere l'indirizzo di notifica tramite posta elettronica per le date di scadenza del certificato
  • Rinnovare i certificati

Prerequisiti

  • Un account Azure con una sottoscrizione attiva. Se non ne hai già uno, crea gratuitamente un account.
  • Uno dei ruoli seguenti: Global Amministrazione istrator, Privileged Role Amministrazione istrator, Cloud Application Amministrazione istrator o Application Amministrazione istrator.
  • Un'applicazione aziendale configurata nel tenant di Microsoft Entra.

Quando si aggiunge una nuova applicazione dalla raccolta e si configura un accesso basato su SAML (selezionando Single Sign-On>SAML nella pagina di panoramica dell'applicazione), Microsoft Entra ID genera un certificato autofirmato per l'applicazione valida per tre anni. Per scaricare il certificato attivo come file di certificato di sicurezza (.cer), tornare a tale pagina (accesso basato su SAML) e selezionare un collegamento di download nell'intestazione Certificato di firma SAML. È possibile scegliere tra il certificato non elaborato (binario) o il certificato di base 64 (testo con codifica base 64). Per le applicazioni della raccolta, questa sezione potrebbe anche mostrare un collegamento per scaricare il certificato come XML dei metadati della federazione (un file .xml ), a seconda del requisito dell'applicazione.

È anche possibile scaricare un certificato attivo o inattivo selezionando l'icona Modifica certificato di firma SAML (a forma di matita), che visualizza la pagina Certificato di firma SAML. Selezionare i puntini di sospensione (...) accanto al certificato da scaricare e quindi scegliere il formato del certificato desiderato. È disponibile l'altra opzione per scaricare il certificato in formato PEM (Privacy Enhanced Mail). Questo formato è identico a Base64, ma con estensione pem , che non viene riconosciuto in Windows come formato certificato.

SAML signing certificate download options (active and inactive).

Personalizzare la data di scadenza per il certificato di federazione ed eseguire il rollover di un nuovo certificato

Per impostazione predefinita, Azure configura un certificato per scadere dopo tre anni quando viene creato automaticamente durante la configurazione dell'accesso Single Sign-On SAML. Poiché non è possibile modificare la data di un certificato dopo il salvataggio, è necessario:

  1. Creare un nuovo certificato con la data desiderata.
  2. Salvare il nuovo certificato.
  3. Scaricare il nuovo certificato nel formato corretto.
  4. Caricare il nuovo certificato nell'applicazione.
  5. Rendere attivo il nuovo certificato nell'interfaccia di amministrazione di Microsoft Entra.

Le due sezioni seguenti consentono di eseguire questi passaggi.

Creare un nuovo certificato

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Creare e salvare prima di tutto il nuovo certificato con una data di scadenza diversa:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.
  2. Passare a Applicazioni di identità>Applicazioni>aziendali>Tutte le applicazioni.
  3. Immettere il nome dell'applicazione esistente nella casella di ricerca e quindi selezionare l'applicazione nei risultati della ricerca.
  4. Nella sezione Gestisci selezionare Single Sign-On.
  5. Se viene visualizzata la pagina Selezionare un metodo di accesso Single Sign-On, selezionare SAML.
  6. Nella pagina Configura l'accesso Single Sign-On con SAML individuare l'intestazione Certificato di firma SAML e selezionare l'icona Modifica (a forma di matita). Viene visualizzata la pagina Certificato di firma SAML, che visualizza lo stato (Attivo o Inattivo), la data di scadenza e l'identificazione personale (stringa hash) di ogni certificato.
  7. Selezionare Nuovo certificato. Sotto l'elenco dei certificati viene visualizzata una nuova riga in cui la data di scadenza corrisponde esattamente a tre anni dopo la data corrente. Le modifiche non vengono ancora salvate, quindi è comunque possibile modificare la data di scadenza.
  8. Nella nuova riga del certificato passare il puntatore del mouse sulla colonna data di scadenza e selezionare l'icona Seleziona data (un calendario). Viene visualizzato un controllo calendario che visualizza i giorni di un mese della data di scadenza corrente della nuova riga.
  9. Utilizzare il controllo calendario per impostare una nuova data. È possibile impostare qualsiasi data compresa tra la data corrente e tre anni dopo la data corrente.
  10. Seleziona Salva. Il nuovo certificato viene ora visualizzato con lo stato Inattivo, la data di scadenza scelta e un'identificazione personale.

    Nota

    Quando si dispone di un certificato esistente già scaduto e si genera un nuovo certificato, il nuovo certificato verrà considerato per la firma dei token, anche se non è ancora stato attivato.

  11. Selezionare la X per tornare alla pagina Configura l'accesso Single Sign-On con SAML .

Caricare e attivare un certificato

Scaricare quindi il nuovo certificato nel formato corretto, caricarlo nell'applicazione e attivarlo in Microsoft Entra ID:

  1. Visualizzare altre istruzioni di configurazione dell'accesso SAML per l'applicazione con una delle opzioni seguenti.

    • Selezionare il collegamento alla guida alla configurazione da visualizzare in una finestra o una scheda separata del browser.
    • Passare all'intestazione di configurazione e selezionare Visualizza istruzioni dettagliate per visualizzare in una barra laterale.

  2. Nelle istruzioni prendere nota del formato di codifica necessario per il caricamento del certificato.

  3. Seguire le istruzioni nella sezione Precedente del certificato generato automaticamente per le applicazioni della raccolta e non della raccolta. Questo passaggio scarica il certificato nel formato di codifica necessario per il caricamento dall'applicazione.

  4. Quando si vuole eseguire il rollover del nuovo certificato, tornare alla pagina Certificato di firma SAML e nella riga del certificato appena salvato selezionare i puntini di sospensione (...) e selezionare Rendi attivo il certificato. Lo stato del nuovo certificato cambia in Attivo e il certificato attivo in precedenza cambia in stato Inattivo.

  5. Continuare a seguire le istruzioni di configurazione dell'accesso SAML dell'applicazione visualizzate in precedenza, in modo da poter caricare il certificato di firma SAML nel formato di codifica corretto.

Se l'app non dispone della convalida della scadenza del certificato e il certificato corrisponde sia all'ID Microsoft Entra che all'app, rimane accessibile nonostante sia scaduto. Assicurarsi che l'applicazione possa convalidare la data di scadenza del certificato.

Se si prevede di mantenere disabilitata la convalida della scadenza del certificato, il nuovo certificato non deve essere creato fino alla finestra di manutenzione pianificata per il rollover del certificato. Se nell'applicazione sono presenti sia un certificato scaduto che un certificato inattivo, l'ID Microsoft Entra utilizza automaticamente il certificato valido. In questo caso, gli utenti potrebbero riscontrare interruzioni dell'applicazione.

Aggiungere indirizzi di notifica tramite posta elettronica per la scadenza del certificato

Microsoft Entra ID invia una notifica tramite posta elettronica 60, 30 e 7 giorni prima che il certificato SAML scada. È possibile aggiungere più indirizzi di posta elettronica per ricevere le notifiche. Per specificare uno o più indirizzi di posta elettronica, si vuole che le notifiche vengano inviate a:

  1. Nella pagina Certificato di firma SAML passare all'intestazione degli indirizzi di posta elettronica di notifica. Per impostazione predefinita, questa intestazione usa solo l'indirizzo di posta elettronica dell'amministratore che ha aggiunto l'applicazione.
  2. Sotto l'indirizzo di posta elettronica finale digitare l'indirizzo di posta elettronica che deve ricevere l'avviso di scadenza del certificato e quindi premere INVIO.
  3. Ripetere il passaggio precedente per ogni indirizzo di posta elettronica da aggiungere.
  4. Per ogni indirizzo di posta elettronica da eliminare, selezionare l'icona Elimina (Garbage Can) accanto all'indirizzo di posta elettronica.
  5. Seleziona Salva.

È possibile aggiungere fino a cinque indirizzi di posta elettronica all'elenco notifiche (incluso l'indirizzo di posta elettronica dell'amministratore che ha aggiunto l'applicazione). Se sono necessarie altre persone per ricevere una notifica, usare i messaggi di posta elettronica della lista di distribuzione.

Si riceve il messaggio di posta elettronica di notifica da azure-noreply@microsoft.com. Per evitare che il messaggio di posta elettronica vada nella tua posizione di posta indesiderata, aggiungi questo messaggio di posta elettronica ai tuoi contatti.

Rinnovare un certificato impostato per scadere a breve

Se un certificato sta per scadere, è possibile rinnovarlo usando una procedura che non comporta tempi di inattività significativi per gli utenti. Per rinnovare un certificato in scadenza:

  1. Seguire le istruzioni nella sezione Creare un nuovo certificato in precedenza, usando una data che si sovrappone al certificato esistente. Tale data limita la quantità di tempo di inattività causato dalla scadenza del certificato.

  2. Se l'applicazione può eseguire automaticamente il rollover di un certificato, impostare il nuovo certificato su attivo seguendo questa procedura.

    1. Tornare alla pagina Certificato di firma SAML.
    2. Nella riga del certificato appena salvato selezionare i puntini di sospensione (...) e quindi selezionare Rendi attivo il certificato.
    3. Ignorare i due passaggi successivi.

  3. Se l'applicazione può gestire un solo certificato alla volta, selezionare un intervallo di inattività per eseguire il passaggio successivo. In caso contrario, se l'applicazione non preleva automaticamente il nuovo certificato, ma può gestire più di un certificato di firma, è possibile eseguire il passaggio successivo in qualsiasi momento.

  4. Prima della scadenza del certificato precedente, seguire le istruzioni riportate nella sezione Caricare e attivare un certificato in precedenza. Se il certificato dell'applicazione non viene aggiornato dopo l'aggiornamento di un nuovo certificato in Microsoft Entra ID, l'autenticazione nell'applicazione potrebbe non riuscire.

  5. Accedere all'applicazione per assicurarsi che il certificato funzioni correttamente.

Se l'app non dispone della convalida della scadenza del certificato e il certificato corrisponde sia all'ID Microsoft Entra che all'app, rimane accessibile nonostante sia scaduto. Verificare che l'applicazione possa convalidare la scadenza del certificato.