SAML トークンの証明書署名オプション

現在、Microsoft Entra ID では、Microsoft Entra アプリ ギャラリーの何千もの事前統合済みアプリケーションをサポートしています 500 を超えるアプリケーションでは、NetSuite アプリケーションなどのセキュリティ アサーション マークアップ言語 (SAML) 2.0 プロトコルを使用したシングル サインオンがサポートされています。 お客様が SAML を使って Microsoft Entra ID からアプリケーションに対して認証されると、Microsoft Entra ID はアプリケーションにトークンを送信します (HTTP POST 経由)。 その後、アプリケーションがトークンを検証し、ユーザー名とパスワードの入力を求める代わりに、検証済みのトークンを使用してお客様をサインインします。 これらの SAML トークンは、Microsoft Entra ID で、特定の標準的なアルゴリズムで生成された一意の証明書で署名されます。

Microsoft Entra ID では、ギャラリー アプリケーションにいくつかの既定の設定が使用されます。 これらの既定値はアプリケーションの要件に応じて設定されます。

Microsoft Entra ID では、証明書署名オプションと証明書署名アルゴリズムを設定できます。

証明書署名オプション

Microsoft Entra ID は次の 3 つの証明書の署名オプションをサポートします

• SAML アサーションへの署名. この既定のオプションは、ギャラリーのアプリケーションのほとんどに設定されます。 このオプションを選択すると、Id プロバイダーとしての Microsoft Entra ID (IdP) は、アプリケーションの X.509 証明書を使用して SAML アサーションと証明書に署名します。

• SAML 応答に署名します。 このオプションを選択した場合、Microsoft Entra ID が IdP として、アプリケーションの X.509 証明書を使って SAML 応答に署名します。

• SAML 応答とアサーションへの署名. このオプションを選択した場合、Microsoft Entra ID が IdP として、アプリケーションの X.509 証明書を使って SAML トークン全体に署名します。

証明書署名アルゴリズム

Microsoft Entra ID では、SAML 応答に署名するための次の 2 つの署名アルゴリズム (セキュアハッシュ アルゴリズム (SHA)) がサポートされています。

• SHA-256。 Microsoft Entra ID では、この既定のアルゴリズムを使用して、SAML 応答に署名します。 これは最新のアルゴリズムであり、SHA-1 よりも安全です。 ほとんどのアプリケーションで、SHA-256 アルゴリズムをサポートしています。 アプリケーションが署名アルゴリズムとして SHA-1 しかサポートしていない場合は、設定を変更することができます。 それ以外の場合、SAML 応答の署名には SHA-256 アルゴリズムの使用をお勧めします。

• SHA-1。 このアルゴリズムは古く、SHA-256 より安全性が低くなります。 アプリケーションでこの署名アルゴリズムのみがサポートされている場合は、[ 署名 アルゴリズム] ドロップダウン リストでこのオプションを選択できます。 これで、Microsoft Entra ID は SHA-1 アルゴリズムを使用して SAML 応答に署名します。

前提条件

アプリケーションの SAML 証明書署名オプションと証明書署名アルゴリズムを変更するには、次のものが必要です。

• Microsoft Entra ユーザー アカウント。 アカウントをまだお持ちでない場合は、 無料でアカウントを作成できます。
• クラウド アプリケーション管理者ロール、アプリケーション管理者ロールのいずれか。

証明書署名オプションと署名アルゴリズムを変更する

アプリケーションの SAML 証明書署名オプションと証明書署名アルゴリズムを変更するには:

1. Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。
2. Entra ID>Enterprise アプリケーション>すべてのアプリケーションをブラウズします。
3. 検索ボックスに既存のアプリケーションの名前を入力し、検索結果からアプリケーションを選択します。

次に、そのアプリケーションの SAML トークンの証明書署名オプションを変更します。

1. アプリケーションの概要ページの左側のウィンドウで、[ シングル サインオン] を選択します。
2. [SAML を使用した単一 Sign-On の設定] ページが表示されたら、手順 5 に進みます。
3. [ SAML を使用したシングル Sign-On の設定 ] ページが表示されない場合は、[ シングル サインオン モードの変更] を選択します。
4. [ シングル サインオン方法の選択 ] ページで、[SAML] を選択 します。 SAML が使用できない場合、アプリケーションは SAML をサポートしていないため、この手順と記事の残りの部分は無視する可能性があります。
5. [ SAML を使用した単一 Sign-On のセットアップ ] ページで、[ SAML 署名証明書 ] 見出しを見つけて、[ 編集 ] アイコン (鉛筆) を選択します。 [SAML 署名証明書] ページが表示されます。
6. [ 署名オプション ] ドロップダウン リストで、[ SAML 応答の署名]、[ SAML アサーションに署名]、または [ SAML 応答とアサーションに署名] を選択します。 これらのオプションの説明は、この記事の前半の 「証明書署名オプション」に記載されています。
7. 署名 アルゴリズム ドロップダウン リストで、 SHA-1 または SHA-256 を選択します。 これらのオプションの説明は、この記事の「 証明書署名アルゴリズム 」セクションの前半に記載されています。
8. 選択内容に問題がなければ、[ 保存] を選択して新しい SAML 署名証明書の設定を適用します。 それ以外の場合は、 X を選択して変更を破棄します。

関連コンテンツ

• Microsoft Entra アプリ ギャラリーにないアプリケーションへのシングル サインオンを構成する
• SAML ベースのシングル サインオンのトラブルシューティング