Zelfstudie: Certificaten voor federatieve eenmalige aanmelding beheren

  • Artikel

In dit artikel behandelen we veelgestelde vragen en informatie met betrekking tot certificaten die door Microsoft Entra ID worden gemaakt om federatieve eenmalige aanmelding (SSO) tot stand te brengen voor uw SaaS-toepassingen (Software as a Service). Voeg toepassingen toe vanuit de Microsoft Entra-toepassingsgalerie of met behulp van een toepassingssjabloon die niet in de galerie wordt gebruikt. Configureer de toepassing met behulp van de optie federatieve eenmalige aanmelding.

Deze zelfstudie is alleen relevant voor apps die zijn geconfigureerd voor het gebruik van Microsoft Entra SSO via SAML-federatie (Security Assertion Markup Language ).

In deze zelfstudie leert een beheerder van de toepassing het volgende:

  • Certificaten genereren voor galerie- en niet-galerietoepassingen
  • De vervaldatums voor certificaten aanpassen
  • E-mailmeldingsadres toevoegen voor vervaldatums van certificaten
  • Certificaten vernieuwen

Vereisten

  • Een Azure-account met een actief abonnement. Als u nog geen account hebt, maakt u gratis een account.
  • Een van de volgende rollen: Global Beheer istrator, Privileged Role Beheer istrator, Cloud Application Beheer istrator of Application Beheer istrator.
  • Een bedrijfstoepassing die is geconfigureerd in uw Microsoft Entra-tenant.

Wanneer u een nieuwe toepassing vanuit de galerie toevoegt en een op SAML gebaseerde aanmelding configureert (door EENMALIGE aanmelding te selecteren op>de overzichtspagina van de toepassing), genereert Microsoft Entra ID een zelfondertekend certificaat voor de toepassing die drie jaar geldig is. Als u het actieve certificaat wilt downloaden als een beveiligingscertificaatbestand (.cer), gaat u terug naar die pagina (op SAML gebaseerde aanmelding) en selecteert u een downloadkoppeling in de kop SAML-handtekeningcertificaat . U kunt kiezen tussen het onbewerkte (binaire) certificaat of het Base 64-certificaat (base 64-gecodeerde tekst). Voor galerietoepassingen kan in deze sectie ook een koppeling worden weergegeven om het certificaat te downloaden als XML met federatieve metagegevens (een .xml bestand), afhankelijk van de vereiste van de toepassing.

U kunt ook een actief of inactief certificaat downloaden door het pictogram Bewerken van het SAML-handtekeningcertificaat (een potlood) te selecteren waarop de pagina SAML-handtekeningcertificaat wordt weergegeven. Selecteer het beletselteken (...) naast het certificaat dat u wilt downloaden en kies vervolgens welke certificaatindeling u wilt gebruiken. U hebt de andere optie om het certificaat te downloaden in pem-indeling (privacy-enhanced mail). Deze indeling is identiek aan Base64, maar met een PEM-bestandsnaamextensie , die niet wordt herkend in Windows als certificaatindeling.

SAML signing certificate download options (active and inactive).

Vervaldatum voor uw federatieve certificaat aanpassen en rollover naar een nieuw certificaat uitvoeren

Standaard configureert Azure een certificaat dat na drie jaar verloopt wanneer u het automatisch maakt tijdens de configuratie van eenmalige aanmelding met SAML. Omdat u de datum van een certificaat niet kunt wijzigen nadat u het certificaat hebt opgeslagen, moet u het volgende doen:

  1. Maak een nieuw certificaat met de gewenste datum.
  2. Sla het nieuwe certificaat op.
  3. Download het nieuwe certificaat in de juiste indeling.
  4. Upload het nieuwe certificaat naar de toepassing.
  5. Maak het nieuwe certificaat actief in het Microsoft Entra-beheercentrum.

In de volgende twee secties kunt u deze stappen uitvoeren.

Een nieuw certificaat maken

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Maak en sla het nieuwe certificaat eerst op met een andere vervaldatum:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.
  2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Alle toepassingen.
  3. Voer de naam van de bestaande toepassing in het zoekvak in en selecteer vervolgens de toepassing in de zoekresultaten.
  4. Selecteer In de sectie Beheren de optie Eenmalige aanmelding.
  5. Als de pagina Een methode voor eenmalige aanmelding selecteren wordt weergegeven, selecteert u SAML.
  6. Zoek op de pagina Eenmalige aanmelding instellen met SAML de kop SAML-handtekeningcertificaat en selecteer het pictogram Bewerken (een potlood). De pagina SAML-handtekeningcertificaat wordt weergegeven, waarin de status (actief of inactief), de vervaldatum en de vingerafdruk (een hashtekenreeks) van elk certificaat worden weergegeven.
  7. Selecteer Nieuw certificaat. Er wordt een nieuwe rij weergegeven onder de lijst met certificaten, waarbij de vervaldatum standaard precies drie jaar na de huidige datum is. (Uw wijzigingen worden nog niet opgeslagen, dus u kunt de vervaldatum nog steeds wijzigen.)
  8. Beweeg in de nieuwe certificaatrij de muisaanwijzer over de kolom vervaldatum en selecteer het pictogram Datum selecteren (een agenda). Er wordt een agenda-besturingselement weergegeven met de dagen van een maand van de huidige vervaldatum van de nieuwe rij.
  9. Gebruik het agenda-besturingselement om een nieuwe datum in te stellen. U kunt elke datum instellen tussen de huidige datum en drie jaar na de huidige datum.
  10. Selecteer Opslaan. Het nieuwe certificaat wordt nu weergegeven met de status Inactief, de vervaldatum die u hebt gekozen en een vingerafdruk.

    Notitie

    Wanneer u een bestaand certificaat hebt dat al is verlopen en u een nieuw certificaat genereert, wordt het nieuwe certificaat in aanmerking genomen voor ondertekeningstokens, ook al hebt u het nog niet geactiveerd.

  11. Selecteer de X om terug te keren naar de pagina Eenmalige aanmelding instellen met SAML .

Een certificaat uploaden en activeren

Download vervolgens het nieuwe certificaat in de juiste indeling, upload het naar de toepassing en maak het actief in Microsoft Entra-id:

  1. Bekijk meer saml-aanmeldingsconfiguratie-instructies voor de toepassing met een van de volgende opties.

    • Selecteer de koppeling naar de configuratiehandleiding om weer te geven in een afzonderlijk browservenster of tabblad.
    • Blader naar de kop instellen en selecteer stapsgewijze instructies voor weergave in een zijbalk.

  2. Noteer in de instructies de coderingsindeling die is vereist voor het uploaden van het certificaat.

  3. Volg de instructies in het gedeelte Automatisch gegenereerde certificaten voor galerie- en niet-galerietoepassingen eerder. Met deze stap wordt het certificaat gedownload in de coderingsindeling die is vereist voor het uploaden door de toepassing.

  4. Wanneer u wilt overschakelen naar het nieuwe certificaat, gaat u terug naar de pagina SAML-handtekeningcertificaat en selecteert u in de zojuist opgeslagen certificaatrij het beletselteken (...) en selecteert u Certificaat actief maken. De status van het nieuwe certificaat wordt gewijzigd in Actief en het eerder actieve certificaat verandert in de status Inactief.

  5. Ga door met het volgen van de configuratie-instructies voor SAML-aanmelding van de toepassing die u eerder hebt weergegeven, zodat u het SAML-handtekeningcertificaat in de juiste coderingsindeling kunt uploaden.

Als uw app geen certificaatverloopvalidatie heeft en het certificaat overeenkomt met zowel Microsoft Entra-id als uw app, blijft deze toegankelijk ondanks dat het is verlopen. Zorg ervoor dat uw toepassing de vervaldatum van het certificaat kan valideren.

Als u de validatie van het verlopen van certificaten uitgeschakeld wilt houden, moet het nieuwe certificaat pas worden gemaakt als het geplande onderhoudsvenster voor de certificaatrollover is uitgevoerd. Als zowel een verlopen als een inactief geldig certificaat aanwezig is in de toepassing, gebruikt Microsoft Entra ID automatisch het geldige certificaat. In dit geval kunnen gebruikers te maken hebben met een storing in de toepassing.

E-mailmeldingsadressen toevoegen voor verlopen certificaten

Zestig, dertig en zeven dagen voordat het SAML-certificaat verloopt, wordt door Microsoft Entra ID een melding per e-mail verzonden. U kunt meer dan één e-mailadres toevoegen om meldingen te ontvangen. Als u een of meer e-mailadressen wilt opgeven, wilt u dat de meldingen worden verzonden naar:

  1. Ga op de pagina SAML-handtekeningcertificaat naar de kop e-mailadressen voor meldingen. Deze kop gebruikt standaard alleen het e-mailadres van de beheerder die de toepassing heeft toegevoegd.
  2. Typ onder het laatste e-mailadres het e-mailadres dat de vervaldatum van het certificaat moet ontvangen en druk op Enter.
  3. Herhaal de vorige stap voor elk e-mailadres dat u wilt toevoegen.
  4. Selecteer voor elk e-mailadres dat u wilt verwijderen het pictogram Verwijderen (prullenbak) naast het e-mailadres.
  5. Selecteer Opslaan.

U kunt maximaal vijf e-mailadressen toevoegen aan de lijst met meldingen (inclusief het e-mailadres van de beheerder die de toepassing heeft toegevoegd). Als u meer personen op de hoogte wilt stellen, gebruikt u de e-mailberichten van de distributielijst.

U ontvangt de e-mailmelding van azure-noreply@microsoft.com. Als u wilt voorkomen dat de e-mail naar uw spamlocatie gaat, voegt u deze e-mail toe aan uw contactpersonen.

Een certificaat vernieuwen dat is ingesteld om binnenkort te verlopen

Als een certificaat bijna verloopt, kunt u het vernieuwen met behulp van een procedure die leidt tot geen aanzienlijke downtime voor uw gebruikers. Een verlopend certificaat vernieuwen:

  1. Volg de instructies in de sectie Een nieuw certificaat maken eerder, met behulp van een datum die overlapt met het bestaande certificaat. Deze datum beperkt de hoeveelheid downtime die wordt veroorzaakt door het verlopen van het certificaat.

  2. Als de toepassing automatisch een certificaat kan implementeren, stelt u het nieuwe certificaat in op actief door deze stappen uit te voeren.

    1. Ga terug naar de pagina SAML-handtekeningcertificaat .
    2. Selecteer in de zojuist opgeslagen certificaatrij het beletselteken (...) en selecteer vervolgens Certificaat actief maken.
    3. Sla de volgende twee stappen over.

  3. Als de toepassing slechts één certificaat tegelijk kan verwerken, kiest u een downtime-interval om de volgende stap uit te voeren. (Als de toepassing het nieuwe certificaat niet automatisch ophaalt, maar meerdere handtekeningcertificaten kan verwerken, kunt u de volgende stap op elk gewenst moment uitvoeren).

  4. Voordat het oude certificaat verloopt, volgt u de instructies in de sectie Uploaden en activeert u eerder een certificaat . Als uw toepassingscertificaat niet wordt bijgewerkt nadat een nieuw certificaat is bijgewerkt in Microsoft Entra-id, kan verificatie in uw toepassing mislukken.

  5. Meld u aan bij de toepassing om ervoor te zorgen dat het certificaat correct werkt.

Als uw app geen certificaatverloopvalidatie heeft en het certificaat overeenkomt met zowel Microsoft Entra-id als uw app, blijft deze toegankelijk ondanks dat het is verlopen. Zorg ervoor dat uw toepassing de vervaldatum van het certificaat kan valideren.