Udostępnij za pośrednictwem


Zaawansowane opcje podpisywania certyfikatów w tokenie SAML

Obecnie identyfikator Entra firmy Microsoft obsługuje tysiące wstępnie zintegrowanych aplikacji w galerii aplikacji Firmy Microsoft Entra. Ponad 500 aplikacji obsługuje logowanie jednokrotne przy użyciu protokołu SAML (Security Assertion Markup Language) 2.0, takiego jak aplikacja NetSuite . Gdy klient uwierzytelnia się w aplikacji za pośrednictwem identyfikatora Entra firmy Microsoft przy użyciu protokołu SAML, identyfikator Entra firmy Microsoft wysyła token do aplikacji (za pośrednictwem protokołu HTTP POST). Następnie aplikacja weryfikuje token i używa go do logowania się do klienta zamiast monitowania o podanie nazwy użytkownika i hasła. Te tokeny SAML są podpisane przy użyciu unikatowego certyfikatu wygenerowanego w identyfikatorze Entra firmy Microsoft i przez określone algorytmy standardowe.

Microsoft Entra ID używa niektórych domyślnych ustawień aplikacji galerii. Wartości domyślne są konfigurowane na podstawie wymagań aplikacji.

W usłudze Microsoft Entra ID można skonfigurować opcje podpisywania certyfikatu i algorytm podpisywania certyfikatu.

Opcje podpisywania certyfikatu

Identyfikator Entra firmy Microsoft obsługuje trzy opcje podpisywania certyfikatów:

  • Podpisz asercję SAML. Ta domyślna opcja jest ustawiana dla większości aplikacji galerii. W przypadku wybrania tej opcji identyfikator Entra firmy Microsoft jako dostawcy tożsamości podpisuje potwierdzenie SAML i certyfikat z certyfikatem X.509 aplikacji.

  • Podpisz odpowiedź SAML. W przypadku wybrania tej opcji identyfikator Entra firmy Microsoft jako dostawcy tożsamości podpisuje odpowiedź SAML przy użyciu certyfikatu X.509 aplikacji.

  • Podpisz odpowiedź SAML i asercji. W przypadku wybrania tej opcji identyfikator Entra firmy Microsoft jako dostawcy tożsamości podpisuje cały token SAML przy użyciu certyfikatu X.509 aplikacji.

Algorytmy podpisywania certyfikatów

Identyfikator Entra firmy Microsoft obsługuje dwa algorytmy podpisywania lub bezpieczne algorytmy skrótu (SHA), aby podpisać odpowiedź SAML:

  • SHA-256. Identyfikator Entra firmy Microsoft używa tego algorytmu domyślnego do podpisania odpowiedzi SAML. Jest to najnowszy algorytm i jest bezpieczniejszy niż SHA-1. Większość aplikacji obsługuje algorytm SHA-256. Jeśli aplikacja obsługuje tylko algorytm SHA-1 jako algorytm podpisywania, możesz ją zmienić. W przeciwnym razie zalecamy użycie algorytmu SHA-256 do podpisywania odpowiedzi SAML.

  • SHA-1. Ten algorytm jest starszy i jest mniej bezpieczny niż SHA-256. Jeśli aplikacja obsługuje tylko ten algorytm podpisywania, możesz wybrać tę opcję na liście rozwijanej Algorytm podpisywania. Identyfikator Entra firmy Microsoft podpisuje następnie odpowiedź SAML za pomocą algorytmu SHA-1.

Warunki wstępne

Aby zmienić opcje podpisywania certyfikatu SAML aplikacji i algorytm podpisywania certyfikatu, potrzebne są następujące elementy:

  • Konto użytkownika Microsoft Entra. Jeśli jeszcze go nie masz, możesz bezpłatnie utworzyć konto.
  • Jedną z następujących ról: Administrator aplikacji w chmurze, Administrator aplikacji.

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Zmienianie opcji podpisywania certyfikatu i algorytmu podpisywania

Aby zmienić opcje podpisywania certyfikatu SAML aplikacji i algorytm podpisywania certyfikatu:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do sekcji Identity>Applications Enterprise Applications>Wszystkie aplikacje.>
  3. Wprowadź nazwę istniejącej aplikacji w polu wyszukiwania, a następnie wybierz aplikację z wyników wyszukiwania.

Następnie zmień opcje podpisywania certyfikatu w tokenie SAML dla tej aplikacji:

  1. W lewym okienku strony przeglądu aplikacji wybierz pozycję Logowanie jednokrotne.
  2. Jeśli zostanie wyświetlona strona Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML, przejdź do kroku 5.
  3. Jeśli strona Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML nie jest wyświetlana, wybierz pozycję Zmień tryby logowania jednokrotnego.
  4. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML. Jeśli protokół SAML nie jest dostępny, aplikacja nie obsługuje protokołu SAML i możesz zignorować pozostałą część tej procedury i artykułu.
  5. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML znajdź nagłówek Certyfikat podpisywania SAML i wybierz ikonę Edytuj (ołówek). Zostanie wyświetlona strona Certyfikat podpisywania SAML.
  6. Z listy rozwijanej Opcja podpisywania wybierz pozycję Podpisz odpowiedź SAML, Podpisz asercja SAML lub Podpisz odpowiedź i asercja SAML. Opisy tych opcji są wyświetlane wcześniej w tym artykule w opcjach podpisywania certyfikatu.
  7. Z listy rozwijanej Algorytm podpisywania wybierz pozycję SHA-1 lub SHA-256. Opisy tych opcji są wyświetlane wcześniej w tym artykule w sekcji Algorytmy podpisywania certyfikatów .
  8. Jeśli wybrane opcje są zadowalające, wybierz pozycję Zapisz , aby zastosować nowe ustawienia certyfikatu podpisywania SAML. W przeciwnym razie wybierz znak X , aby odrzucić zmiany.

Następne kroki