Geavanceerde opties voor certificaatondertekening in een SAML-token

Tegenwoordig ondersteunt Microsoft Entra ID duizenden vooraf geïntegreerde toepassingen in de Microsoft Entra App Gallery. Meer dan 500 toepassingen ondersteunen eenmalige aanmelding met behulp van het SAML-protocol (Security Assertion Markup Language ) 2.0, zoals de NetSuite-toepassing . Wanneer een klant zich verifieert bij een toepassing via Microsoft Entra ID met behulp van SAML, verzendt Microsoft Entra-id een token naar de toepassing (via een HTTP POST). De toepassing valideert en gebruikt vervolgens het token om de klant aan te melden in plaats van om een gebruikersnaam en wachtwoord te vragen. Deze SAML-tokens worden ondertekend met het unieke certificaat dat wordt gegenereerd in Microsoft Entra-id en door specifieke standaardalgoritmen.

Microsoft Entra ID maakt gebruik van enkele van de standaardinstellingen voor de galerietoepassingen. De standaardwaarden worden ingesteld op basis van de vereisten van de toepassing.

In Microsoft Entra ID kunt u opties voor certificaatondertekening en het algoritme voor certificaatondertekening instellen.

Opties voor certificaatondertekening

Microsoft Entra ID ondersteunt drie opties voor certificaatondertekening:

• SamL-assertie ondertekenen. Deze standaardoptie is ingesteld voor de meeste galerietoepassingen. Als u deze optie selecteert, ondertekent Microsoft Entra-id als id-provider (IdP) de SAML-assertie en het certificaat met het X.509-certificaat van de toepassing.

• SamL-antwoord ondertekenen. Als u deze optie selecteert, ondertekent Microsoft Entra-id als een IdP het SAML-antwoord met het X.509-certificaat van de toepassing.

• SamL-antwoord en -assertie ondertekenen. Als u deze optie selecteert, ondertekent Microsoft Entra-id als een IdP het hele SAML-token met het X.509-certificaat van de toepassing.

Algoritmen voor certificaatondertekening

Microsoft Entra ID ondersteunt twee ondertekeningsalgoritmen of veilige hash-algoritmen (SHA's) om het SAML-antwoord te ondertekenen:

• SHA-256. Microsoft Entra ID gebruikt dit standaardalgoritme om het SAML-antwoord te ondertekenen. Het is het nieuwste algoritme en is veiliger dan SHA-1. De meeste toepassingen ondersteunen het SHA-256-algoritme. Als een toepassing alleen SHA-1 ondersteunt als het ondertekeningsalgoritme, kunt u deze wijzigen. Anders wordt u aangeraden het SHA-256-algoritme te gebruiken voor het ondertekenen van het SAML-antwoord.

• SHA-1. Dit algoritme is ouder en wordt behandeld als minder veilig dan SHA-256. Als een toepassing alleen dit ondertekeningsalgoritme ondersteunt, kunt u deze optie selecteren in de vervolgkeuzelijst Handtekeningalgoritme . Microsoft Entra ID ondertekent vervolgens het SAML-antwoord met het SHA-1-algoritme.

Vereisten

Als u de opties voor SAML-certificaatondertekening en het algoritme voor certificaatondertekening van een toepassing wilt wijzigen, hebt u het volgende nodig:

• Een Microsoft Entra-gebruikersaccount. Als u dat nog niet hebt, kunt u gratis een account maken.
• Een van de volgende rollen: Cloud Application Beheer istrator, Application Beheer istrator of eigenaar van de service-principal.

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Opties voor certificaatondertekening en ondertekeningsalgoritme wijzigen

De opties voor SAML-certificaatondertekening van een toepassing en het algoritme voor certificaatondertekening wijzigen:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.

2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Alle toepassingen.

3. Voer de naam van de bestaande toepassing in het zoekvak in en selecteer vervolgens de toepassing in de zoekresultaten. In dit voorbeeld gebruikt u de Salesforce-toepassing.

   

Wijzig vervolgens de opties voor certificaatondertekening in het SAML-token voor die toepassing:

1. Selecteer Eenmalige aanmelding in het linkerdeelvenster van de overzichtspagina van de toepassing.

2. Als de pagina Eenmalige aanmelding met SAML instellen wordt weergegeven, gaat u naar stap 5.

3. Als de pagina Eenmalige aanmelding met SAML instellen niet wordt weergegeven, selecteert u Modi voor eenmalige aanmelding wijzigen.

4. Selecteer SAML op de pagina Een methode voor eenmalige aanmelding selecteren. Als SAML niet beschikbaar is, biedt de toepassing geen ondersteuning voor SAML en kunt u de rest van deze procedure en het artikel negeren.

5. Zoek op de pagina Eenmalige aanmelding instellen met SAML de kop SAML-handtekeningcertificaat en selecteer het pictogram Bewerken (een potlood). De pagina SAML-handtekeningcertificaat wordt weergegeven.

   

6. Kies in de vervolgkeuzelijst Ondertekeningsoptie de optie SAML-antwoord ondertekenen, SAML-assertie ondertekenen of SAML-antwoord en -assertie ondertekenen. Beschrijvingen van deze opties worden eerder in dit artikel weergegeven in de opties voor certificaatondertekening.

7. Kies SHA-1 of SHA-256 in de vervolgkeuzelijst Handtekeningalgoritme. Beschrijvingen van deze opties worden eerder in dit artikel weergegeven in de sectie Algoritmen voor certificaatondertekening.

8. Als u tevreden bent met uw keuzes, selecteert u Opslaan om de nieuwe instellingen voor het SAML-handtekeningcertificaat toe te passen. Selecteer anders de X om de wijzigingen te negeren.

Volgende stappen

• Eenmalige aanmelding configureren voor toepassingen die zich niet in de Microsoft Entra App Gallery bevinden
• Problemen met eenmalige aanmelding op basis van SAML oplossen