SAML 要求の署名検証

  • [アーティクル]

SAML 要求の署名検証は、署名された認証要求の署名を検証する機能です。 アプリ管理者は、署名付き要求の適用を有効または無効にし、検証の実行に使用する公開キーをアップロードできるようになりました。

有効にした場合、Microsoft Entra ID は構成済みの公開キーに対する要求を検証します。 認証要求が失敗する可能性があるシナリオがいくつかあります。

  • プロトコルで署名済み要求が許可されていない。 SAML プロトコルのみがサポートされている。
  • 要求は署名されていないが、検証は有効になっている。
  • SAML 要求の署名検証用に構成された検証証明書がない。 証明書の要件については、「証明書署名オプション」を参照してください。
  • 署名の確認に失敗しました。
  • 要求のキー識別子が見つからず、最近追加された 2 つの証明書が要求署名と一致しない。
  • 要求が署名されていても、アルゴリズムがない。
  • 指定されたキー識別子と一致する証明書なない。
  • 署名アルゴリズムが許可されていない。 RSA-SHA256 のみがサポートされている。

Note

AuthnRequest 要素内の Signature 要素は省略可能です。 Require Verification certificates がチェックされていない場合、Microsoft Entra ID では、署名がある場合は署名済みの認証要求の検証を行いません。 要求元の検証は、登録されている Assertion Consumer Service の URL に応答することによってのみ提供されます。

Require Verification certificates がチェックされた場合、SAML 要求署名検証は SP によって開始される (サービス プロバイダー/証明書利用者が開始した) 認証要求に対してのみ機能します。 サービス プロバイダーによって構成されたアプリケーションのみが、アプリケーションからの受信 SAML 認証要求に署名するための秘密キーと公開キーへのアクセス権を持ちます。 要求の検証を許可するために公開キーをアップロードする必要があります。この場合、Microsoft Entra ID は公開キーにのみアクセスできます。

Require Verification certificates を有効にすると、IDP が登録済みアプリケーションと同じ秘密キーを持っていないため、IDP Initiated 認証要求 (SSO テスト機能、MyApps、M365 アプリ起動ツールなど) は検証されません。

前提条件

SAML 要求の署名検証を構成するには、次の操作が必要です。

  • Microsoft Entra ユーザー アカウント。 まだアカウントがない場合は、無料でアカウントを作成することができます。
  • 次のいずれかのロール: グローバル管理者、クラウド アプリケーション管理者、アプリケーション管理者、またはサービス プリンシパルの所有者。

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

SAML 要求の署名検証を構成する

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[すべてのアプリケーション] に移動します。

  3. 検索ボックスに既存のアプリケーションの名前を入力し、検索結果からアプリケーションを選択します。

  4. [シングル サインオン] に移動します。

  5. [シングル サインオン] 画面で、[SAML 証明書] の下に [検証証明書] という名前の新しいサブセクションにスクロールします。

    Screenshot of verification certificates under SAML Certificates on the Enterprise Application page.

  6. [編集] を選択します。

  7. アプリケーションで引き続き RSA-SHA1 を使用して認証要求に署名する場合に備えて、新しいブレードでは、署名済み要求の検証を有効にし、脆弱なアルゴリズムの検証をオプトインできます。

  8. 署名済み要求の検証を有効にするには、[検証証明書を要求する] を選択し、要求の署名に使用する秘密キーと一致する検証公開キーをアップロードします。

    Screenshot of require verification certificates in Enterprise Applications page.

  9. 検証証明書をアップロードしたら、[保存] を選択します。

  10. 署名された要求の検証を有効にすると、要求がサービス プロバイダーによって署名される必要があるため、テスト エクスペリエンスは無効になります。

    Screenshot of testing disabled warning when signed requests enabled in Enterprise Application page.

  11. エンタープライズ アプリケーションの現在の構成を確認する場合は、[シングル サインオン] 画面に移動し、[SAML 証明書] で構成の概要を確認できます。 ここでは、署名された要求の検証が有効かどうか、およびアクティブな検証証明書と期限切れの検証証明書の数を確認できます。

    Screenshot of enterprise application configuration in single sign-on screen.

次のステップ