Skonfiguruj szyfrowanie tokenu Microsoft Entra SAML

Uwaga

Szyfrowanie tokenu to funkcja Microsoft Entra ID P1 lub P2. Aby dowiedzieć się więcej o wersjach, funkcjach i cenach firmy Microsoft, zobacz Cennik firmy Microsoft Entra.

Szyfrowanie tokenów SAML umożliwia korzystanie z zaszyfrowanych asercji SAML z aplikacją, która ją obsługuje. Po skonfigurowaniu aplikacji identyfikator Entra firmy Microsoft będzie szyfrować aseracje SAML emitowane dla tej aplikacji przy użyciu klucza publicznego uzyskanego z certyfikatu przechowywanego w identyfikatorze Entra firmy Microsoft. Aplikacja musi użyć pasującego klucza prywatnego, aby odszyfrować token, zanim będzie można go użyć jako dowodów uwierzytelniania dla zalogowanego użytkownika.

Szyfrowanie asercji SAML między identyfikatorem Entra firmy Microsoft a aplikacją zapewnia dodatkową pewność, że zawartość tokenu nie może zostać przechwycona, a dane osobiste lub firmowe zostały naruszone.

Nawet bez szyfrowania tokenów tokeny microsoft Entra SAML tokeny nigdy nie są przekazywane w sieci w przejrzysty sposób. Identyfikator Entra firmy Microsoft wymaga wymiany żądań/odpowiedzi tokenu na szyfrowane kanały HTTPS/TLS, aby komunikacja między dostawcą tożsamości, przeglądarką i aplikacją odbywała się za pośrednictwem szyfrowanych łączy. Rozważ wartość szyfrowania tokenów w danej sytuacji w porównaniu z obciążeniem zarządzania większymi certyfikatami.

Aby skonfigurować szyfrowanie tokenu, należy przekazać plik certyfikatu X.509 zawierający klucz publiczny do obiektu aplikacji Microsoft Entra reprezentującego aplikację. Aby uzyskać certyfikat X.509, możesz pobrać go z samej aplikacji lub pobrać go od dostawcy aplikacji w przypadkach, gdy dostawca aplikacji udostępnia klucze szyfrowania lub w przypadkach, gdy aplikacja oczekuje podania klucza prywatnego, można go utworzyć przy użyciu narzędzi kryptograficznych, części klucza prywatnego przekazanej do magazynu kluczy aplikacji i pasującego certyfikatu klucza publicznego przekazanego do identyfikatora Entra firmy Microsoft.

Identyfikator Entra firmy Microsoft używa protokołu AES-256 do szyfrowania danych asercji SAML.

Wymagania wstępne

Aby skonfigurować szyfrowanie tokenów SAML, potrzebne są następujące elementy:

• Konto użytkownika Microsoft Entra. Jeśli jeszcze go nie masz, możesz bezpłatnie utworzyć konto.
• Jedna z następujących ról: administrator globalny, administrator aplikacji w chmurze, administrator aplikacji lub właściciel jednostki usługi.

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Konfigurowanie szyfrowania tokenów SAML aplikacji dla przedsiębiorstw

W tej sekcji opisano sposób konfigurowania szyfrowania tokenów SAML aplikacji dla przedsiębiorstw. Aplikacje, które zostały skonfigurowane z poziomu bloku Aplikacje dla przedsiębiorstw w centrum administracyjnym firmy Microsoft Entra, z galerii aplikacji lub aplikacji spoza galerii. W przypadku aplikacji zarejestrowanych w środowisku Rejestracje aplikacji postępuj zgodnie ze wskazówkami dotyczącymi konfigurowania szyfrowania tokenów SAML zarejestrowanej aplikacji.

Aby skonfigurować szyfrowanie tokenów SAML aplikacji dla przedsiębiorstw, wykonaj następujące kroki:

1. Uzyskaj certyfikat klucza publicznego zgodny z kluczem prywatnym skonfigurowanym w aplikacji.

   Utwórz parę kluczy asymetrycznych do użycia na potrzeby szyfrowania. Jeśli aplikacja dostarcza klucz publiczny do użycia do szyfrowania, postępuj zgodnie z instrukcjami aplikacji, aby pobrać certyfikat X.509.

   Klucz publiczny powinien być przechowywany w pliku certyfikatu X.509 w formacie .cer. Zawartość pliku certyfikatu można skopiować do edytora tekstów i zapisać go jako plik .cer. Plik certyfikatu powinien zawierać tylko klucz publiczny, a nie klucz prywatny.

   Jeśli aplikacja używa klucza utworzonego dla danego wystąpienia, postępuj zgodnie z instrukcjami podanymi przez aplikację w celu zainstalowania klucza prywatnego używanego przez aplikację do odszyfrowywania tokenów z dzierżawy firmy Microsoft Entra.

2. Dodaj certyfikat do konfiguracji aplikacji w identyfikatorze Entra firmy Microsoft.

Konfigurowanie szyfrowania tokenów w centrum administracyjnym firmy Microsoft Entra

Publiczny certyfikat można dodać do konfiguracji aplikacji w centrum administracyjnym firmy Microsoft Entra.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

2. Przejdź do sekcji Identity>Applications Enterprise Applications>Wszystkie aplikacje.>

3. Wprowadź nazwę istniejącej aplikacji w polu wyszukiwania, a następnie wybierz aplikację z wyników wyszukiwania.

4. Na stronie aplikacji wybierz pozycję Szyfrowanie tokenu.

   

   Uwaga

   Opcja szyfrowania tokenu jest dostępna tylko dla aplikacji SAML, które zostały skonfigurowane w bloku Aplikacje dla przedsiębiorstw w centrum administracyjnym firmy Microsoft Entra z poziomu galerii aplikacji lub aplikacji spoza galerii. W przypadku innych aplikacji ta opcja menu jest wyłączona.

5. Na stronie Szyfrowanie tokenu wybierz pozycję Importuj certyfikat, aby zaimportować plik .cer zawierający publiczny certyfikat X.509.

   

6. Po zaimportowaniu certyfikatu i skonfigurowaniu klucza prywatnego do użycia po stronie aplikacji aktywuj szyfrowanie, wybierając pozycję ... obok stanu odcisku palca, a następnie wybierz pozycję Aktywuj szyfrowanie tokenu z opcji w menu rozwijanym.

7. Wybierz pozycję Tak , aby potwierdzić aktywację certyfikatu szyfrowania tokenu.

8. Upewnij się, że asercji SAML emitowane dla aplikacji są szyfrowane.

Aby dezaktywować szyfrowanie tokenów w centrum administracyjnym firmy Microsoft Entra

1. W centrum administracyjnym firmy Microsoft Entra przejdź do pozycji Aplikacje tożsamości>Dla>przedsiębiorstw Wszystkie aplikacje>, a następnie wybierz aplikację z włączonym szyfrowaniem tokenów SAML.

2. Na stronie aplikacji wybierz pozycję Szyfrowanie tokenu, znajdź certyfikat, a następnie wybierz opcję ... , aby wyświetlić menu rozwijane.

3. Wybierz pozycję Dezaktywuj szyfrowanie tokenu.

Konfigurowanie szyfrowania tokenu SAML zarejestrowanej aplikacji

W tej sekcji opisano sposób konfigurowania szyfrowania tokenów SAML zarejestrowanej aplikacji. Aplikacje skonfigurowane z bloku Rejestracje aplikacji w centrum administracyjnym firmy Microsoft Entra. W przypadku aplikacji dla przedsiębiorstw postępuj zgodnie ze wskazówkami dotyczącymi konfigurowania szyfrowania tokenów SAML aplikacji dla przedsiębiorstw.

Certyfikaty szyfrowania są przechowywane w obiekcie aplikacji w identyfikatorze Entra firmy Microsoft z tagiem encrypt użycia. Można skonfigurować wiele certyfikatów szyfrowania, a ten, który jest aktywny na potrzeby szyfrowania tokenów, jest identyfikowany przez tokenEncryptionKeyID atrybut .

Identyfikator obiektu aplikacji będzie potrzebny do skonfigurowania szyfrowania tokenu przy użyciu interfejsu API programu Microsoft Graph lub programu PowerShell. Tę wartość można znaleźć programowo lub przechodząc do strony Właściwości aplikacji w centrum administracyjnym firmy Microsoft Entra i zauważając wartość Identyfikator obiektu.

Podczas konfigurowania kluczaCredential przy użyciu programu Graph, programu PowerShell lub manifestu aplikacji należy wygenerować identyfikator GUID do użycia dla identyfikatora keyId.

Aby skonfigurować szyfrowanie tokenu na potrzeby rejestracji aplikacji, wykonaj następujące kroki:

Portal

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

2. Przejdź do sekcji Identity>Applications> Rejestracje aplikacji> Wszystkie aplikacje.

3. Wprowadź nazwę istniejącej aplikacji w polu wyszukiwania, a następnie wybierz aplikację z wyników wyszukiwania.

4. Na stronie aplikacji wybierz pozycję Manifest , aby edytować manifest aplikacji.

   W poniższym przykładzie pokazano manifest aplikacji skonfigurowany z dwoma certyfikatami szyfrowania, a drugi wybrany jako aktywny przy użyciu tokenuEncryptionKeyId.

   { 
     "id": "3cca40e2-367e-45a5-8440-ed94edd6cc35",
     "accessTokenAcceptedVersion": null,
     "allowPublicClient": false,
     "appId": "cb2df8fb-63c4-4c35-bba5-3d659dd81bf1",
     "appRoles": [],
     "oauth2AllowUrlPathMatching": false,
     "createdDateTime": "2017-12-15T02:10:56Z",
     "groupMembershipClaims": "SecurityGroup",
     "informationalUrls": { 
        "termsOfService": null, 
        "support": null, 
        "privacy": null, 
        "marketing": null 
     },
     "identifierUris": [ 
       "https://testapp"
     ],
     "keyCredentials": [ 
       { 
         "customKeyIdentifier": "Tog/O1Hv1LtdsbPU5nPphbMduD=", 
         "endDate": "2039-12-31T23:59:59Z", 
         "keyId": "8be4cb65-59d9-404a-a6f5-3d3fb4030351", 
         "startDate": "2018-10-25T21:42:18Z", 
         "type": "AsymmetricX509Cert", 
         "usage": "Encrypt", 
         "value": <Base64EncodedKeyFile> 
         "displayName": "CN=SAMLEncryptTest" 
       }, 
       {
         "customKeyIdentifier": "U5nPphbMduDmr3c9Q3p0msqp6eEI=",
         "endDate": "2039-12-31T23:59:59Z", 
         "keyId": "6b9c6e80-d251-43f3-9910-9f1f0be2e851",
         "startDate": "2018-10-25T21:42:18Z", 
         "type": "AsymmetricX509Cert", 
         "usage": "Encrypt", 
         "value": <Base64EncodedKeyFile> 
         "displayName": "CN=SAMLEncryptTest2" 
       } 
     ], 
     "knownClientApplications": [], 
     "logoUrl": null, 
     "logoutUrl": null, 
     "name": "Test SAML Application", 
     "oauth2AllowIdTokenImplicitFlow": true, 
     "oauth2AllowImplicitFlow": false, 
     "oauth2Permissions": [], 
     "oauth2RequirePostResponse": false, 
     "orgRestrictions": [], 
     "parentalControlSettings": { 
        "countriesBlockedForMinors": [], 
        "legalAgeGroupRule": "Allow" 
       }, 
     "passwordCredentials": [], 
     "preAuthorizedApplications": [], 
     "publisherDomain": null, 
     "replyUrlsWithType": [], 
     "requiredResourceAccess": [], 
     "samlMetadataUrl": null, 
     "signInUrl": "https://127.0.0.1:444/applications/default.aspx?metadata=customappsso|ISV9.1|primary|z" 
     "signInAudience": "AzureADMyOrg",
     "tags": [], 
     "tokenEncryptionKeyId": "6b9c6e80-d251-43f3-9910-9f1f0be2e851" 
   }  
   

Azure AD PowerShell

1. Użyj najnowszego modułu programu PowerShell usługi Azure AD, aby nawiązać połączenie z dzierżawą. Musisz zalogować się jako co najmniej Administracja istrator aplikacji w chmurze.

2. Ustaw ustawienia szyfrowania tokenu za pomocą polecenia Set-AzureApplication .

   Set-AzureADApplication -ObjectId <ApplicationObjectId> -KeyCredentials "<KeyCredentialsObject>"  -TokenEncryptionKeyId <keyID>
   

3. Przeczytaj ustawienia szyfrowania tokenów przy użyciu następujących poleceń.

   $app=Get-AzureADApplication -ObjectId <ApplicationObjectId>
   $app.KeyCredentials
   $app.TokenEncryptionKeyId
   

Microsoft Graph PowerShell

1. Użyj modułu Programu PowerShell programu Microsoft Graph, aby nawiązać połączenie z dzierżawą. Musisz zalogować się jako co najmniej Administracja istrator aplikacji w chmurze.

2. Ustaw ustawienia szyfrowania tokenu za pomocą polecenia Update-MgApplication .

   
   Update-MgApplication -ApplicationId <ApplicationObjectId> -KeyCredentials "<KeyCredentialsObject>"  -TokenEncryptionKeyId <keyID>
   
   

3. Przeczytaj ustawienia szyfrowania tokenów przy użyciu następujących poleceń.

   
   $app=Get-MgApplication -ApplicationId <ApplicationObjectId>
   
   $app.KeyCredentials
   
   $app.TokenEncryptionKeyId
   
   

Microsoft Graph

1. Zaktualizuj aplikacje keyCredentials przy użyciu certyfikatu X.509 na potrzeby szyfrowania. Poniższy przykład przedstawia ładunek JSON programu Microsoft Graph z kolekcją poświadczeń klucza skojarzonych z aplikacją.

   PATCH https://graph.microsoft.com/beta/applications/<application objectid>
   
   { 
      "keyCredentials":[ 
         { 
            "type":"AsymmetricX509Cert","usage":"Encrypt",
            "keyId":"fdf8c5d8-f727-43fd-beaf-0f1521cf3d35",    (Use a GUID generator to obtain a value for the keyId)
            "key": "MIICADCCAW2gAwIBAgIQ5j9/b+n2Q4pDvQUCcy3…"  (Base64Encoded .cer file)
         }
       ]
   }
   

2. Zidentyfikuj certyfikat szyfrowania, który jest aktywny na potrzeby szyfrowania tokenów. W poniższym przykładzie pokazano ładunek JSON programu Microsoft Graph z elementem tokenEncryptionKeyId . Element tokenEncryptionKeyId określa identyfikator klucza klucza publicznego z kolekcji keyCredentials .

   PATCH https://graph.microsoft.com/beta/applications/<application objectid> 
   
   { 
      "tokenEncryptionKeyId":"fdf8c5d8-f727-43fd-beaf-0f1521cf3d35" (The keyId of the keyCredentials entry to use)
   }
   

Następne kroki

• Dowiedz się, jak identyfikator Entra firmy Microsoft używa protokołu SAML
• Poznaj format, charakterystykę zabezpieczeń i zawartość tokenów SAML w identyfikatorze Entra firmy Microsoft