Opzioni avanzate di firma del certificato in un token SAML

Oggi Microsoft Entra ID supporta migliaia di applicazioni preintegrate in Microsoft Entra App Gallery. Oltre 500 applicazioni supportano l'accesso Single Sign-On usando il protocollo SAML (Security Assertion Markup Language) 2.0, ad esempio l'applicazione NetSuite. Quando un cliente esegue l'autenticazione per un'applicazione con Microsoft Entra ID usando SAML, Microsoft Entra ID invia un token all'applicazione (tramite HTTP POST). L'applicazione convalida e usa quindi il token per far accedere il cliente invece di richiedere un nome utente e una password. I token SAML vengono firmati con il certificato univoco generato in Microsoft Entra ID e da algoritmi standard specifici.

Microsoft Entra ID usa alcune delle impostazioni predefinite per le applicazioni della raccolta. I valori predefiniti vengono configurati in base ai requisiti dell'applicazione.

In Microsoft Entra ID è possibile configurare le opzioni di firma del certificato e l'algoritmo di firma del certificato.

Opzioni di firma del certificato

Microsoft Entra ID supporta tre opzioni per la firma di certificati:

• Firma asserzione SAML. Per la maggior parte delle applicazioni della raccolta viene impostata questa opzione predefinita. Se si seleziona questa opzione, Microsoft Entra ID come Identity Provider (IdP) firma l'asserzione SAML e il certificato con il certificato X.509 dell'applicazione.

• Firma risposta SAML. Se si seleziona questa opzione, Microsoft Entra ID come IdP firma la risposta SAML con il certificato X.509 dell'applicazione.

• Firma asserzione e risposta SAML. Se si seleziona questa opzione, Microsoft Entra ID come IdP firma l'intero token SAML con il certificato X.509 dell'applicazione.

Algoritmi per la firma di certificati

Microsoft Entra ID supporta due algoritmi di firma o algoritmi hash sicuri per firmare la risposta SAML:

• SHA-256. Per firmare la risposta SAML, Microsoft Entra ID usa questo algoritmo predefinito, che è più recente ed è più sicuro rispetto a SHA-1. La maggior parte delle applicazioni supporta l'algoritmo SHA-256. Se un'applicazione supporta solo SHA-1 come algoritmo di firma, è possibile modificare questa impostazione. In caso contrario è consigliabile usare l'algoritmo SHA-256 per firmare la risposta SAML.

• SHA-1. Questo algoritmo è meno recente ed è considerato meno sicuro rispetto a SHA-256. Se un'applicazione supporta solo questo algoritmo di firma, è possibile selezionare questa opzione nell'elenco a discesa Algoritmo di firma. Microsoft Entra ID firmerà quindi la risposta SAML con l'algoritmo SHA-1.

Prerequisiti

Per modificare le opzioni di firma del certificato SAML dell'applicazione e l'algoritmo di firma, è necessario quanto segue:

• Un account utente di Microsoft Entra. Se non si dispone già di un account, è possibile creare un account gratuitamente.
• Uno dei ruoli seguenti: Amministratore applicazione cloud, Amministratore applicazione.

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

Modificare le opzioni di firma del certificato e l'algoritmo di firma

Per modificare le opzioni di firma del certificato SAML dell'applicazione e l'algoritmo di firma:

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
2. Passare a Identità>Applicazioni>Applicazioni aziendali>Tutte le applicazioni.
3. Immettere il nome dell'applicazione esistente nella casella di ricerca e quindi selezionare l'applicazione nei risultati della ricerca.

Modificare quindi le opzioni di firma del certificato nel token SAML per l'applicazione:

1. Nel riquadro sinistro della pagina di panoramica dell'applicazione selezionare Single Sign-On.
2. Se viene visualizzata la pagina Configurare l'accesso Single Sign-On con SAML, andare al passaggio 5.
3. Se la pagina Configura accesso Single Sign-On con SAML non viene visualizzata, selezionare Modificare le modalità di accesso Single Sign-On.
4. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML. Se SAML non è disponibile, l'applicazione non supporta SAML ed è possibile ignorare il resto di questa procedura e l'articolo.
5. Nella pagina Configura accesso Single Sign-On con SAML individuare l'intestazione Certificato di firma SAML e selezionare l'icona Modifica (a forma di matita). Viene visualizzata la pagina Certificato di firma SAML.
6. Nell'elenco a discesa Opzioni di firma scegliere Firma risposta SAML, Firma asserzione SAML o Firma risposta e asserzione SAML. Le descrizioni di queste opzioni sono indicate in precedenza in questo articolo in Opzioni per la firma di certificati.
7. Nell'elenco a discesa Algoritmo di firma scegliere SHA-1 o SHA-256. Le descrizioni di queste opzioni sono indicate in precedenza in questo articolo nella sezione Algoritmi per la firma di certificati.
8. Se si è soddisfatti delle proprie scelte, selezionare Salva per applicare le nuove impostazioni del certificato di firma SAML. In caso contrario, selezionare la X per annullare le modifiche.

Passaggi successivi

• Configurare l'accesso Single Sign-On per applicazioni non incluse nella raccolta di app di Microsoft Entra
• Risolvere i problemi relativi all'accesso Single Sign-On basato su SAML