Tutorial: Gerenciar certificados para o logon único federado

  • Artigo

Este artigo aborda dúvidas comuns e informações relacionadas aos certificados que o Microsoft Entra ID cria para estabelecer SSO (logon único) federado para seus aplicativos SaaS (software como serviço). Adicione aplicativos pela galeria de aplicativos do Microsoft Entra ou usando um modelo de aplicativo inexistente na galeria. Configure o aplicativo usando a opção de SSO federada.

Esse tutorial só é relevante para os aplicativos configurados para usar o SSO do Microsoft Entra por meio da federação da SAML (Security Assertion Markup Language).

Neste tutorial, um administrador do aplicativo aprenderá a:

  • Gerar certificados para aplicativos da galeria e inexistentes na galeria
  • Personalizar as datas de validade dos certificados
  • Adicionar endereço de notificação por email para datas de validade do certificado
  • Renovar certificados

Pré-requisitos

  • Uma conta do Azure com uma assinatura ativa. Se você ainda não tiver uma, Crie uma conta gratuita.
  • Uma das seguintes funções: Administrador Global, Administrador de Função com Privilégios, Administrador de Aplicativos de Nuvem ou Administrador de Aplicativos.
  • Um aplicativo empresarial configurado em seu locatário do Microsoft Entra.

Quando você adiciona um novo aplicativo da galeria e configura um logon baseado em SAML (selecionando SAML >de logon único na página de visão geral do aplicativo), o Microsoft Entra ID gera um certificado autoassinado para o aplicativo que é válido por três anos. Para baixar o certificado ativo como um arquivo de certificado de segurança ( .cer), retorne a essa página (logon baseado em SAML) e selecione um link de download no título do Certificado de autenticação SAML. Você pode escolher entre o certificado bruto (binário) ou o certificado Base 64 (texto codificado em base 64). Para aplicativos da galeria, esta seção também pode mostrar um link para baixar o certificado como XML de metadados de federação (um arquivo .xml), dependendo do requisito do aplicativo.

Você também pode baixar um certificado ativo ou inativo selecionando o ícone Editar (um lápis) do título do Certificado de autenticação SAML, que exibe a página Certificado de autenticação SAML. Selecione as reticências ( ) ao lado do certificado que você deseja baixar e escolha qual formato de certificado você deseja. Você tem a outra opção de baixar o certificado no formato PEM (Privacy Enhanced Mail). Esse formato é idêntico ao Base64, mas com uma extensão de nome de arquivo .pem, que não é reconhecida no Windows como um formato de certificado.

SAML signing certificate download options (active and inactive).

Personalizar a data de vencimento do seu certificado de federação e transferir para um novo certificado

Por padrão, o Azure configura um certificado para expirar após três anos quando você o cria automaticamente durante a configuração de logon único do SAML. Como não é possível alterar a data de um certificado depois de salvá-lo, você precisa:

  1. Criar um novo certificado com a data desejada.
  2. Salvar o novo certificado.
  3. Baixar o novo certificado no formato correto.
  4. Carregar o novo certificado para o aplicativo.
  5. Torne o novo certificado ativo no centro de administração do Microsoft Entra.

As duas seções a seguir ajudam a executar essas etapas.

Criar um novo certificado

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Primeiro, crie e salve o novo certificado com uma data de validade diferente:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos Empresariais>Todos os aplicativos.
  3. Insira o nome do aplicativo existente na caixa de pesquisa e, em seguida, selecione o aplicativo nos resultados da pesquisa.
  4. Na seção Gerenciar, selecione Logon único.
  5. Se a página Selecionar um método de logon único for exibida, selecione SAML.
  6. Na página Configurar o Logon Único com o SAML, localize o título Certificado de Autenticação SAML e selecione o ícone Editar (um lápis). A página Certificado de autenticação SAML é exibida, que exibe o status (Ativo ou Inativo), a data de validade e a impressão digital (uma cadeia de caracteres de hash) de cada certificado.
  7. Selecionar o Novo Certificado. Uma nova linha é exibida abaixo da lista de certificados, em que a data de validade padrão é exatamente três anos após a data atual. (Suas alterações ainda não foram salvas, portanto, você ainda pode modificar a data de validade.)
  8. Na nova linha de certificado, passe o mouse sobre a coluna da data de validade e selecione o ícone Selecionar data (um calendário). Um controle de calendário é exibido, mostrando os dias de um mês da data de validade atual da nova linha.
  9. Use o controle de calendário para definir uma nova data. Você pode definir qualquer data entre a data atual e três anos após a data atual.
  10. Selecione Salvar. O novo certificado agora aparece com um status Inativo, a data de validade que você escolheu e uma impressão digital.

    Observação

    Quando você tiver um certificado que já venceu e gerar um novo certificado, o novo certificado será considerado para tokens de assinatura, mesmo que você ainda não o tenha ativado.

  11. Selecione o X para voltar à página Configurar o Logon Único com o SAML.

Carregar e ativar um certificado

Em seguida, baixe o novo certificado no formato correto, carregue-o no aplicativo e torne-o ativo no Microsoft Entra ID:

  1. Exiba mais instruções de configuração de logon SAML para o aplicativo com qualquer uma das opções a seguir.

    • Selecionando o link da Guia de configuração para exibição em uma janela ou guia separada do navegador, ou
    • Acessando o título Configurar e selecionando Exibir instruções passo a passo para exibir em uma barra lateral.

  2. Nas instruções, observe o formato de codificação necessário para o carregamento do certificado.

  3. Siga as instruções na seção Certificado gerado automaticamente para galeria e aplicativos inexistentes na galeria anteriormente. Esta etapa baixa o certificado no formato de codificação necessário para carregar pelo aplicativo.

  4. Quando desejar passar para o novo certificado, volte para a página Certificado de autenticação SAML e, na linha certificado recentemente salvo, selecione as reticências ( ) e selecione Tornar o certificado ativo. O status do novo certificado é alterado para Ativo e o certificado anteriormente ativo muda para um status Inativo.

  5. Continue seguindo as instruções de configuração de logon do SAML do aplicativo que você exibiu anteriormente, para que você possa carregar o certificado de autenticação SAML no formato de codificação correto.

Se o aplicativo não tiver validação de expiração de certificado e o certificado corresponder ao Microsoft Entra ID e ao seu aplicativo, ele permanecerá acessível apesar de ter expirado. Verifique se o aplicativo pode validar a data de validade do certificado.

Se você pretende manter a validação de expiração do certificado desabilitada, o novo certificado não deve ser criado até a janela de manutenção agendada para a substituição do certificado. Se houver um certificado válido expirado e um inativo no aplicativo, o Microsoft Entra ID utilizará automaticamente o certificado válido. Nesse caso, os usuários poderão enfrentar uma interrupção do aplicativo.

Adicionar endereços de notificação por email para expiração do certificado

O Microsoft Entra ID envia uma notificação por email 60, 30 e 7 dias antes que o certificado SAML expire. Você pode adicionar mais de um endereço de email para receber notificações. Para especificar um ou mais endereços de email, você deseja que as notificações sejam enviadas para:

  1. Na página Certificado de autenticação SAML, vá para o título endereços de email de notificação. Por padrão, este título usa somente o endereço de email do administrador que adicionou o aplicativo.
  2. Abaixo do endereço de email final, digite o endereço de email que deve receber o aviso de expiração do certificado e pressione Enter.
  3. Repita a etapa anterior para cada endereço de email que você deseja adicionar.
  4. Para cada endereço de email que deseja excluir, selecione o ícone Excluir (lata de lixo) ao lado do endereço de email.
  5. Selecione Salvar.

Você pode adicionar até cinco endereços de email à lista Notificação (incluindo o endereço de email do administrador que adicionou o aplicativo). Se precisar de mais pessoas para ser notificado, use os emails da lista de distribuição.

Você receberá o email de notificação de azure-noreply@microsoft.com. Para evitar que o email vá para seu local de spam, adicione este email aos seus contatos.

Renovar um certificado que está definido para expirar em breve

Se um certificado estiver prestes a expirar, você poderá renová-lo usando um procedimento que não resulte em nenhum tempo de inatividade significativo para os usuários. Para renovar um certificado expirando:

  1. Siga as instruções na seção Criar um novo certificado anteriormente, usando uma data que se sobrepõe ao certificado existente. Essa data limita a quantidade de tempo de inatividade causado pela expiração do certificado.

  2. Se o aplicativo puder ser passado automaticamente a um certificado, defina o novo certificado como ativo seguindo estas etapas:

    1. Volte para a página Certificado de autenticação SAML.
    2. Na linha de certificado recentemente salva, selecione as reticências ( ) e, em seguida, selecione Ativar o certificado.
    3. Ignore as próximas duas etapas.

  3. Se o aplicativo só puder manipular um certificado por vez, escolha um intervalo de tempo de inatividade para executar a próxima etapa. (Caso contrário, se o aplicativo não selecionar automaticamente o novo certificado, mas puder lidar com mais de um certificado de autenticação, você poderá executar a próxima etapa a qualquer momento).

  4. Antes da expiração do certificado antigo, siga as instruções na seção Carregar e ativar um certificado anteriormente. Se o certificado do aplicativo não for atualizado depois que um novo certificado for atualizado no Microsoft Entra ID, a autenticação em seu aplicativo poderá falhar.

  5. Entre no aplicativo para certificar-se de que o certificado funciona corretamente.

Se o aplicativo não tiver validação de expiração de certificado e o certificado corresponder ao Microsoft Entra ID e ao seu aplicativo, ele permanecerá acessível apesar de ter expirado. Verifique se o seu aplicativo pode validar o vencimento do certificado.