Impor solicitações de autenticação SAML assinadas
A Verificação de Assinatura de Solicitação SAML é uma funcionalidade que valida a assinatura de solicitações de autenticação assinadas. Um administrador de aplicativos agora pode habilitar e desabilitar a aplicação de solicitações assinadas e carregar as chaves públicas que devem ser usadas para a validação.
Se a opção for habilitada, o Microsoft Entra ID valida as solicitações em relação às chaves públicas configuradas. As solicitações de autenticação podem falhar nos seguintes cenários:
- Protocolo não permitido para solicitações assinadas. Somente o protocolo SAML tem suporte.
- A solicitação não foi assinada, mas a verificação foi habilitada.
- Nenhum certificado de verificação configurado para verificação de assinatura de solicitação SAML. Para obter mais informações sobre os requisitos de certificado, consulte Opções de assinatura de certificado.
- Erro ao verificar a assinatura.
- O identificador de chave na solicitação está ausente e os dois certificados adicionados mais recentemente não correspondem à assinatura da solicitação.
- Solicitação assinada, mas algoritmo ausente.
- Nenhum certificado corresponde ao identificador de chave fornecido.
- Algoritmo de assinatura não permitido. Somente RSA-SHA256 tem suporte.
Observação
Um Signature
elemento em AuthnRequest
elementos é opcional. Se o recurso Require Verification certificates
não foi verificado, o Microsoft Entra ID não valida solicitações de autenticação assinadas se uma assinatura estiver presente. A verificação do solicitante é fornecida apenas respondendo a URLs registradas do Serviço do Consumidor de Declaração.
Se o recurso
Require Verification certificates
for verificado, a Verificação de Assinatura de Solicitação SAML funcionará apenas para solicitações de autenticação iniciadas por SP (iniciado por provedor de serviços/terceira parte confiável). Somente o aplicativo configurado pelo provedor de serviços terá acesso às chaves privadas e públicas para assinar as Solicitações de Autenticação SAML recebidas do aplicativo. A chave pública deve ser carregada para permitir a verificação da solicitação, nesse caso, o Microsoft Entra ID terá acesso apenas à chave pública.
A habilitação do recurso
Require Verification certificates
não permitirá que as solicitações de autenticação iniciadas por IDP (como o recurso de teste de SSO, o inicializador de aplicativos MyApps ou M365) sejam validadas, pois o IDP não possui as mesmas chaves privadas que o aplicativo registrado.
Pré-requisitos
Para configurar a verificação de assinatura de solicitação SAML, você precisa:
- Uma conta de usuário do Microsoft Entra. Se você ainda não tem uma conta, é possível criar uma conta gratuita.
- Uma das seguintes funções: Administrador de Aplicativo de Nuvem, Administrador de Aplicativos ou proprietário da entidade de serviço.
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Configurar a verificação de assinatura de solicitação SAML
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
Navegue até Identidade>Aplicativos>Aplicativos Empresariais>Todos os aplicativos.
Insira o nome do aplicativo existente na caixa de pesquisa e, em seguida, selecione o aplicativo nos resultados da pesquisa.
Navegue até Logon único.
Na tela Logon único, role até a subseção chamada Certificados de verificação em Certificados SAML.
Selecione Editar.
No novo painel, é possível habilitar a verificação de solicitações assinadas e optar pela verificação de algoritmo fraco caso seu aplicativo ainda use RSA-SHA1 para assinar as solicitações de autenticação.
Para habilitar a verificação de solicitações assinadas, selecione Exigir certificados de verificação e carregue uma chave pública de verificação que corresponda à chave privada usada para assinar a solicitação.
Depois de carregar o certificado de verificação, selecione Salvar.
Quando a verificação das solicitações assinadas está habilitada, a experiência de teste é desabilitada, pois o provedor de serviços precisa assinar a solicitação.
Para ver a configuração atual de um aplicativo empresarial, acesse a tela Logon único e veja o resumo da configuração em Certificados SAML. Nela, é possível ver se a verificação de solicitações assinadas está habilitada e a contagem de certificados de verificação Ativos e Expirados.
Próximas etapas
- Descubra Como o Microsoft Entra ID usa o protocolo SAML
- Conheça o formato, as características de segurança e o conteúdo de Tokens SAML no Microsoft Entra ID