Samouczek: zarządzanie certyfikatami na potrzeby federacyjnego logowania jednokrotnego

W tym artykule omówiono typowe pytania i informacje związane z certyfikatami tworzonymi przez firmę Microsoft Entra ID w celu ustanowienia federacyjnego logowania jednokrotnego do aplikacji oprogramowania jako usługi (SaaS). Dodaj aplikacje z galerii aplikacji Microsoft Entra lub przy użyciu szablonu aplikacji spoza galerii. Skonfiguruj aplikację przy użyciu opcji federacyjnego logowania jednokrotnego.

Ten samouczek dotyczy tylko aplikacji skonfigurowanych do używania logowania jednokrotnego firmy Microsoft za pośrednictwem federacji saml (Security Assertion Markup Language ).

W tym samouczku administrator aplikacji dowiesz się, jak wykonywać następujące czynności:

  • Generowanie certyfikatów dla aplikacji z galerii i spoza galerii
  • Dostosowywanie dat wygaśnięcia certyfikatów
  • Dodawanie adresu powiadomienia e-mail dla dat wygaśnięcia certyfikatu
  • Odnawianie certyfikatów

Wymagania wstępne

  • Konto platformy Azure z aktywną subskrypcją. Jeśli jeszcze go nie masz, utwórz bezpłatne konto.
  • Jedną z następujących ról: globalny Administracja istrator, Administracja istrator ról uprzywilejowanych, Administracja istrator aplikacji w chmurze lub Administracja istrator aplikacji.
  • Aplikacja dla przedsiębiorstw skonfigurowana w dzierżawie firmy Microsoft Entra.

Po dodaniu nowej aplikacji z galerii i skonfigurowaniu logowania opartego na protokole SAML (przez wybranie pozycji Logowanie jednokrotne>SAML ze strony przeglądu aplikacji) identyfikator Microsoft Entra generuje certyfikat z podpisem własnym dla aplikacji, która jest ważna przez trzy lata. Aby pobrać aktywny certyfikat jako plik certyfikatu zabezpieczeń (.cer), wróć do tej strony (logowanie oparte na protokole SAML) i wybierz link pobierania w nagłówku Certyfikat podpisywania SAML. Można wybrać między certyfikatem nieprzetworzonym (binarnym) lub certyfikatem Base 64 (zakodowanym tekstem podstawowym 64). W przypadku aplikacji z galerii w tej sekcji można również wyświetlić link umożliwiający pobranie certyfikatu jako pliku XML metadanych federacji ( pliku .xml ), w zależności od wymagania aplikacji.

Możesz również pobrać aktywny lub nieaktywny certyfikat, wybierając ikonę Edytuj (ołówek) w nagłówku Certyfikat podpisywania SAML, na której jest wyświetlana strona Certyfikat podpisywania SAML. Wybierz wielokropek (...) obok certyfikatu, który chcesz pobrać, a następnie wybierz odpowiedni format certyfikatu. Inną opcją jest pobranie certyfikatu w formacie poczty rozszerzonej o prywatność (PEM). Ten format jest identyczny z base64, ale z rozszerzeniem nazwy pliku pem , który nie jest rozpoznawany w systemie Windows jako format certyfikatu.

SAML signing certificate download options (active and inactive).

Dostosowywanie daty wygaśnięcia certyfikatu federacyjnego i wymienianie go na nowy certyfikat

Domyślnie platforma Azure konfiguruje certyfikat do wygaśnięcia po trzech latach podczas tworzenia go automatycznie podczas konfigurowania logowania jednokrotnego SAML. Ponieważ nie można zmienić daty certyfikatu po jego zapisaniu, musisz:

  1. Utwórz nowy certyfikat z żądaną datą.
  2. Zapisz nowy certyfikat.
  3. Pobierz nowy certyfikat w poprawnym formacie.
  4. Przekaż nowy certyfikat do aplikacji.
  5. Utwórz nowy certyfikat aktywny w centrum administracyjnym firmy Microsoft Entra.

Poniższe dwie sekcje ułatwiają wykonanie tych kroków.

Utwórz nowy certyfikat

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Najpierw utwórz i zapisz nowy certyfikat z inną datą wygaśnięcia:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
  2. Przejdź do sekcji Identity>Applications Enterprise Applications>Wszystkie aplikacje.>
  3. Wprowadź nazwę istniejącej aplikacji w polu wyszukiwania, a następnie wybierz aplikację z wyników wyszukiwania.
  4. W sekcji Zarządzanie wybierz pozycję Logowanie jednokrotne.
  5. Jeśli zostanie wyświetlona strona Wybierz metodę logowania jednokrotnego, wybierz pozycję SAML.
  6. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML znajdź nagłówek Certyfikat podpisywania SAML i wybierz ikonę Edytuj (ołówek). Zostanie wyświetlona strona Certyfikat podpisywania SAML, która wyświetla stan (Aktywny lub Nieaktywny), datę wygaśnięcia i odcisk palca (ciąg skrótu) każdego certyfikatu.
  7. Wybierz pozycję Nowy certyfikat. Nowy wiersz pojawia się poniżej listy certyfikatów, gdzie data wygaśnięcia jest domyślnie ustawiona na dokładnie trzy lata po bieżącej dacie. (Zmiany nie zostały jeszcze zapisane, więc nadal można modyfikować datę wygaśnięcia).
  8. W nowym wierszu certyfikatu umieść kursor nad kolumną daty wygaśnięcia i wybierz ikonę Wybierz datę (kalendarz). Zostanie wyświetlona kontrolka kalendarza z dniami miesiąca bieżącej daty wygaśnięcia nowego wiersza.
  9. Użyj kontrolki kalendarza, aby ustawić nową datę. Możesz ustawić dowolną datę między bieżącą datą a trzema latami po bieżącej dacie.
  10. Wybierz pozycję Zapisz. Nowy certyfikat jest teraz wyświetlany ze stanem Nieaktywny, wybraną datą wygaśnięcia i odciskiem palca.

    Uwaga

    Jeśli masz już istniejący certyfikat, który wygasł i wygenerujesz nowy certyfikat, nowy certyfikat zostanie uznany za tokeny podpisywania, mimo że jeszcze go nie aktywowano.

  11. Wybierz znak X , aby powrócić do strony Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML .

Przekazywanie i aktywowanie certyfikatu

Następnie pobierz nowy certyfikat w poprawnym formacie, przekaż go do aplikacji i ustaw go jako aktywny w identyfikatorze Entra firmy Microsoft:

  1. Wyświetl więcej instrukcji konfiguracji logowania SAML dla aplikacji przy użyciu jednej z następujących opcji.

    • Wybierz link przewodnik konfiguracji, aby wyświetlić go w osobnym oknie lub karcie przeglądarki.
    • Przejdź do skonfigurowanego nagłówka i wybierz pozycję Wyświetl instrukcje krok po kroku, aby wyświetlić je na pasku bocznym.
  2. W instrukcjach zanotuj format kodowania wymagany do przekazania certyfikatu.

  3. Postępuj zgodnie z instrukcjami w sekcji Autogenerated certificate for gallery and non-gallery applications (Automatycznie generowane certyfikaty dla aplikacji galerii i aplikacji spoza galerii). Ten krok pobiera certyfikat w formacie kodowania wymaganym do przekazania przez aplikację.

  4. Jeśli chcesz przełączyć się do nowego certyfikatu, wróć do strony Certyfikat podpisywania SAML, a następnie w nowo zapisanym wierszu certyfikatu wybierz wielokropek (...) i wybierz pozycję Ustaw certyfikat jako aktywny. Stan nowego certyfikatu zmieni się na Aktywny, a wcześniej aktywny certyfikat zmieni się na stan Nieaktywny.

  5. Postępuj zgodnie z wyświetlonymi wcześniej instrukcjami konfiguracji logowania SAML aplikacji, aby można było przekazać certyfikat podpisywania SAML w poprawnym formacie kodowania.

Jeśli aplikacja nie ma weryfikacji wygaśnięcia certyfikatu, a certyfikat jest zgodny zarówno z identyfikatorem Microsoft Entra, jak i twoją aplikacją, pozostaje dostępny, mimo że wygasł. Upewnij się, że aplikacja może zweryfikować datę wygaśnięcia certyfikatu.

Jeśli zamierzasz zachować wyłączoną walidację wygaśnięcia certyfikatu, nowy certyfikat nie powinien zostać utworzony do czasu przerzucania certyfikatu w zaplanowanym oknie obsługi. Jeśli w aplikacji istnieje zarówno wygasły, jak i nieaktywny prawidłowy certyfikat, identyfikator Entra firmy Microsoft automatycznie korzysta z prawidłowego certyfikatu. W takim przypadku użytkownicy mogą napotkać awarię aplikacji.

Dodawanie adresów powiadomień e-mail na potrzeby wygaśnięcia certyfikatu

Usługa Microsoft Entra ID wysyła powiadomienie e-mail na 60, 30 i 7 dni przed wygaśnięciem certyfikatu SAML. Możesz dodać więcej niż jeden adres e-mail do otrzymywania powiadomień. Aby określić co najmniej jeden adres e-mail, chcesz wysłać powiadomienia do:

  1. Na stronie Certyfikat podpisywania SAML przejdź do nagłówka adresów e-mail powiadomień. Domyślnie ten nagłówek używa tylko adresu e-mail administratora, który dodał aplikację.
  2. Poniżej końcowego adresu e-mail wpisz adres e-mail, który powinien otrzymać powiadomienie o wygaśnięciu certyfikatu, a następnie naciśnij klawisz Enter.
  3. Powtórz poprzedni krok dla każdego adresu e-mail, który chcesz dodać.
  4. Dla każdego adresu e-mail, który chcesz usunąć, wybierz ikonę Usuń (kosz na śmieci) obok adresu e-mail.
  5. Wybierz pozycję Zapisz.

Do listy powiadomień można dodać maksymalnie pięć adresów e-mail (w tym adres e-mail administratora, który dodał aplikację). Jeśli potrzebujesz więcej osób, aby otrzymywać powiadomienia, użyj wiadomości e-mail z listy dystrybucyjnej.

Otrzymasz wiadomość e-mail z powiadomieniem z adresu azure-noreply@microsoft.com. Aby uniknąć przejścia wiadomości e-mail do lokalizacji spamu, dodaj tę wiadomość e-mail do kontaktów.

Odnawianie certyfikatu ustawionego na wygaśnięcie wkrótce

Jeśli certyfikat wkrótce wygaśnie, możesz go odnowić przy użyciu procedury, która nie powoduje znaczących przestojów dla użytkowników. Aby odnowić wygasający certyfikat:

  1. Postępuj zgodnie z instrukcjami w sekcji Tworzenie nowego certyfikatu wcześniej przy użyciu daty nakładania się na istniejący certyfikat. Ta data ogranicza ilość przestojów spowodowanych wygaśnięciem certyfikatu.

  2. Jeśli aplikacja może automatycznie przerzucać certyfikat, ustaw nowy certyfikat na aktywny, wykonując następujące kroki.

    1. Wróć do strony Certyfikat podpisywania SAML.
    2. W nowo zapisanym wierszu certyfikatu wybierz wielokropek (...), a następnie wybierz pozycję Ustaw certyfikat jako aktywny.
    3. Pomiń dwa następne kroki.
  3. Jeśli aplikacja może obsługiwać tylko jeden certyfikat jednocześnie, wybierz interwał przestoju, aby wykonać następny krok. (W przeciwnym razie jeśli aplikacja nie pobierze automatycznie nowego certyfikatu, ale może obsłużyć więcej niż jeden certyfikat podpisywania, możesz wykonać następny krok w dowolnym momencie).

  4. Przed wygaśnięciem starego certyfikatu postępuj zgodnie z instrukcjami w sekcji Przekazywanie i aktywowanie certyfikatu wcześniej. Jeśli certyfikat aplikacji nie zostanie zaktualizowany po zaktualizowaniu nowego certyfikatu w identyfikatorze Entra firmy Microsoft, uwierzytelnianie w aplikacji może zakończyć się niepowodzeniem.

  5. Zaloguj się do aplikacji, aby upewnić się, że certyfikat działa poprawnie.

Jeśli aplikacja nie ma weryfikacji wygaśnięcia certyfikatu, a certyfikat jest zgodny zarówno z identyfikatorem Microsoft Entra, jak i twoją aplikacją, pozostaje dostępny, mimo że wygasł. Upewnij się, że aplikacja może zweryfikować wygaśnięcie certyfikatu.