Microsoft Entra の SAML トークン暗号化を構成する

[アーティクル]
10/28/2023

Note

トークン暗号化は、Microsoft Entra ID P1 または P2 の機能です。 Microsoft Entra のエディション、機能、価格の詳細については、Microsoft Entra の価格に関する記事を参照してください。

SAML トークン暗号化を使用すると、それをサポートしているアプリケーションで、暗号化された SAML アサーションを使用できるようになります。アプリケーションに対してこれが構成されている場合、Microsoft Entra ID は、Microsoft Entra ID に格納されている証明書から取得した公開キーを使用して、そのアプリケーションから出力された SAML アサーションを暗号化します。アプリケーションでは、対応する秘密キーを使用してトークンを復号化する必要があります。これにより、現在サインインしているユーザーの認証の証拠として、そのトークンを使用できるようになります。

Microsoft Entra ID とアプリケーションの間で SAML アサーションを暗号化すると、トークンの内容がインターセプトされるのをより強力に防護して、個人や会社のデータが侵害されるのを防ぐことができます。

トークン暗号化を使用しなかった場合でも、Microsoft Entra の SAML トークンがネットワーク上でクリアテキストのまま渡されることはありません。 Microsoft Entra ID では、トークンの要求/応答の交換が、暗号化された HTTPS/TLS チャネル経由で行われるようにする必要があります。これにより、IDP、ブラウザー、およびアプリケーション間の通信が、暗号化されたリンク経由で行われるようになります。お客様の環境でトークン暗号化を使用するメリットを、もっと多くの証明書の管理で生じるオーバーヘッドと比較して検討してください。

トークン暗号化を構成するには、公開キーを含んだ X.509 証明書ファイルを、アプリケーションを表す Microsoft Entra アプリケーションオブジェクトにアップロードする必要があります。 X.509 証明書を取得する方法としては、アプリケーション自体からダウンロードする方法と、アプリケーションベンダーから取得する方法があります (アプリケーションベンダーから暗号化キーが提供される場合)。アプリケーションでユーザーが秘密キーを指定する必要がある場合は、暗号化ツールと、アプリケーションのキーストアにアップロードされた秘密キー部分、および Microsoft Entra ID にアップロードされた対応する公開キー証明書を使用して、秘密キーを作成できます。

Microsoft Entra ID では、SAML アサーションデータの暗号化に AES-256 が使われます。

前提条件

SAML トークン暗号化を構成するには、次が必要です。

Microsoft Entra ユーザーアカウント。まだアカウントがない場合は、無料でアカウントを作成することができます。
次のいずれかのロール: グローバル管理者、クラウドアプリケーション管理者、アプリケーション管理者、またはサービスプリンシパルの所有者。

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

エンタープライズアプリケーションの SAML トークン暗号化を構成する

このセクションでは、エンタープライズアプリケーションの SAML トークン暗号化を構成する方法について説明します。 Microsoft Entra 管理センターの [エンタープライズアプリケーション] ブレードで、アプリケーションギャラリーまたはギャラリー以外のアプリから設定されたアプリケーション。 [アプリの登録] エクスペリエンスを通じて登録されたアプリケーションについては、「登録済みアプリケーション SAML トークン暗号化を構成する」のガイダンスに従ってください。

エンタープライズアプリケーションの SAML トークン暗号化を構成するには、次の手順に従います。

アプリケーションで構成されている秘密キーに一致する公開キー証明書を取得します。

暗号化に使用する非対称キーペアを作成します。なお、暗号化に使用する公開キーがアプリケーションで提供される場合は、アプリケーションの指示に従って X.509 証明書をダウンロードします。

公開キーは、.cer 形式の X.509 証明書ファイルに格納する必要があります。証明書ファイルの内容をテキストエディターにコピーし、.cer ファイルとして保存できます。証明書ファイルには公開キーのみを含め、秘密キーは含めないようにする必要があります。

インスタンス用に作成したキーがアプリケーションで使用される場合は、アプリケーションの指示に従って、Microsoft Entra テナントからのトークンの復号化に使用される秘密キーをインストールしてください。
Microsoft Entra ID のアプリケーション構成に証明書を追加します。

Microsoft Entra管理センターでトークン暗号化を構成する

Microsoft Entra管理センター内で、アプリケーション構成にパブリック証明書を追加できます。

クラウドアプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズアプリケーション]>[すべてのアプリケーション] に移動します。
検索ボックスに既存のアプリケーションの名前を入力し、検索結果からアプリケーションを選択します。
アプリケーションのページで、[トークン暗号化] を選択します。

Note

[トークン暗号化] オプションは、Microsoft Entra 管理センターの [エンタープライズアプリケーション] ブレードの、アプリケーションギャラリーまたはギャラリー以外のアプリから設定された SAML アプリケーションに対してのみ使用できます。その他のアプリケーションについては、このメニューオプションは無効になります。
[トークン暗号化] ページで [証明書のインポート] を選択して、公開 X.509 証明書を含んだ .cer ファイルをインポートします。
証明書がインポートされ、アプリケーション側で使用する秘密キーが構成されたら、サムプリント状態の横にある [...] を選択して暗号化をアクティブ化し、ドロップダウンメニューのオプションから [トークン暗号化証明書のアクティブ化] を選択します。
[はい] を選択して、トークン暗号化証明書のアクティブ化を確認します。
アプリケーション用に出力された SAML アサーションが暗号化されたことを確認します。

Microsoft Entra管理センターでトークン暗号化を非アクティブ化する

Microsoft Entra管理センターで、[ID]>[アプリケーション]>[Enterprise アプリケーション]>[すべてのアプリケーション]の順に移動し、SAML トークン暗号化が有効になっているアプリケーションを選択します。
アプリケーションのページで、[トークン暗号化] を選択し、証明書を検索した後、[...] オプションを選択してドロップダウンメニューを表示します。
[トークン暗号化証明書の非アクティブ化] を選択します。

登録済みアプリケーションの SAML トークン暗号化を構成する

このセクションでは、登録済みアプリケーションの SAML トークン暗号化を構成する方法について説明します。 Microsoft Entra 管理センターの [アプリの登録] ブレードから設定されたアプリケーション。エンタープライズアプリケーションの場合は、「エンタープライズアプリケーションの SAML トークン暗号化の構成」のガイダンスに従ってください。

暗号化証明書は、encrypt 使用タグを使用して Microsoft Entra ID 内のアプリケーションオブジェクトに格納されます。暗号化証明書は複数構成できます。トークンの暗号化用にアクティブ化された証明書は、tokenEncryptionKeyID 属性によって識別されます。

Microsoft Graph API または PowerShell を使用してトークン暗号化を構成するには、アプリケーションのオブジェクト ID が必要になります。この値はプログラムによって検索することもでき、Microsoft Entra 管理センターでアプリケーションの [プロパティ] に移動して、[オブジェクト ID] の値を見て確認することもできます。

Graph、PowerShell、またはアプリケーションマニフェストを使用して keyCredential を構成する場合は、keyId に使用する GUID を生成する必要があります。

アプリケーション登録のトークン暗号化を構成するには、次の手順に従ってください。

クラウドアプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[アプリの登録]>[すべてのアプリケーション] を参照してください。
検索ボックスに既存のアプリケーションの名前を入力し、検索結果からアプリケーションを選択します。

アプリケーションのページで、[マニフェスト] を選択してアプリケーションマニフェストを編集します。

次の例は、2 つの暗号化証明書を使用して構成されたアプリケーションマニフェストを示したものです。2 つ目の証明書は、tokenEncryptionKeyId を使用してアクティブな証明書として選択されています。

{ 
  "id": "3cca40e2-367e-45a5-8440-ed94edd6cc35",
  "accessTokenAcceptedVersion": null,
  "allowPublicClient": false,
  "appId": "cb2df8fb-63c4-4c35-bba5-3d659dd81bf1",
  "appRoles": [],
  "oauth2AllowUrlPathMatching": false,
  "createdDateTime": "2017-12-15T02:10:56Z",
  "groupMembershipClaims": "SecurityGroup",
  "informationalUrls": { 
     "termsOfService": null, 
     "support": null, 
     "privacy": null, 
     "marketing": null 
  },
  "identifierUris": [ 
    "https://testapp"
  ],
  "keyCredentials": [ 
    { 
      "customKeyIdentifier": "Tog/O1Hv1LtdsbPU5nPphbMduD=", 
      "endDate": "2039-12-31T23:59:59Z", 
      "keyId": "8be4cb65-59d9-404a-a6f5-3d3fb4030351", 
      "startDate": "2018-10-25T21:42:18Z", 
      "type": "AsymmetricX509Cert", 
      "usage": "Encrypt", 
      "value": <Base64EncodedKeyFile> 
      "displayName": "CN=SAMLEncryptTest" 
    }, 
    {
      "customKeyIdentifier": "U5nPphbMduDmr3c9Q3p0msqp6eEI=",
      "endDate": "2039-12-31T23:59:59Z", 
      "keyId": "6b9c6e80-d251-43f3-9910-9f1f0be2e851",
      "startDate": "2018-10-25T21:42:18Z", 
      "type": "AsymmetricX509Cert", 
      "usage": "Encrypt", 
      "value": <Base64EncodedKeyFile> 
      "displayName": "CN=SAMLEncryptTest2" 
    } 
  ], 
  "knownClientApplications": [], 
  "logoUrl": null, 
  "logoutUrl": null, 
  "name": "Test SAML Application", 
  "oauth2AllowIdTokenImplicitFlow": true, 
  "oauth2AllowImplicitFlow": false, 
  "oauth2Permissions": [], 
  "oauth2RequirePostResponse": false, 
  "orgRestrictions": [], 
  "parentalControlSettings": { 
     "countriesBlockedForMinors": [], 
     "legalAgeGroupRule": "Allow" 
    }, 
  "passwordCredentials": [], 
  "preAuthorizedApplications": [], 
  "publisherDomain": null, 
  "replyUrlsWithType": [], 
  "requiredResourceAccess": [], 
  "samlMetadataUrl": null, 
  "signInUrl": "https://127.0.0.1:444/applications/default.aspx?metadata=customappsso|ISV9.1|primary|z" 
  "signInAudience": "AzureADMyOrg",
  "tags": [], 
  "tokenEncryptionKeyId": "6b9c6e80-d251-43f3-9910-9f1f0be2e851" 
}

最新の Azure AD PowerShell モジュールを使用して、テナントに接続します。少なくともクラウドアプリケーション管理者としてサインインする必要があります。

Set-AzureApplication コマンドを使用して、トークン暗号化設定を設定します。

Set-AzureADApplication -ObjectId <ApplicationObjectId> -KeyCredentials "<KeyCredentialsObject>"  -TokenEncryptionKeyId <keyID>

次のコマンドを使用して、トークン暗号化設定を読み取ります。

$app=Get-AzureADApplication -ObjectId <ApplicationObjectId>
$app.KeyCredentials
$app.TokenEncryptionKeyId

Microsoft Graph PowerShell モジュールを使用してテナントに接続します。少なくともクラウドアプリケーション管理者としてサインインする必要があります。

Update-MgApplication コマンドを使用して、トークン暗号化設定を設定します。


Update-MgApplication -ApplicationId <ApplicationObjectId> -KeyCredentials "<KeyCredentialsObject>"  -TokenEncryptionKeyId <keyID>

次のコマンドを使用して、トークン暗号化設定を読み取ります。


$app=Get-MgApplication -ApplicationId <ApplicationObjectId>

$app.KeyCredentials

$app.TokenEncryptionKeyId

暗号化用の X.509 証明書を使用して、アプリケーションの keyCredentials を更新します。次の例は、アプリケーションに関連付けられているキー資格情報のコレクションを含む Microsoft Graph JSON ペイロードを示しています。

PATCH https://graph.microsoft.com/beta/applications/<application objectid>

{ 
   "keyCredentials":[ 
      { 
         "type":"AsymmetricX509Cert","usage":"Encrypt",
         "keyId":"fdf8c5d8-f727-43fd-beaf-0f1521cf3d35",    (Use a GUID generator to obtain a value for the keyId)
         "key": "MIICADCCAW2gAwIBAgIQ5j9/b+n2Q4pDvQUCcy3…"  (Base64Encoded .cer file)
      }
    ]
}

トークンの暗号化用にアクティブ化された暗号化証明書を特定します。次の例は、tokenEncryptionKeyId 要素を含む Microsoft Graph JSON ペイロードを示しています。この tokenEncryptionKeyId 要素は、keyCredentials コレクションの公開キーのキー ID を指定します。
```
PATCH https://graph.microsoft.com/beta/applications/<application objectid> 

{ 
   "tokenEncryptionKeyId":"fdf8c5d8-f727-43fd-beaf-0f1521cf3d35" (The keyId of the keyCredentials entry to use)
}
```

次のステップ

Microsoft Entra ID で SAML プロトコルを使用する方法を参照してください
Microsoft Entra ID の SAML トークンの形式、セキュリティ特性、および内容について学習する