Compartilhar via

Impor solicitações de autenticação SAML assinadas

A Verificação de Assinatura de Solicitação SAML é uma funcionalidade que valida a assinatura de solicitações de autenticação assinadas. Um Administrador de Aplicativos pode habilitar e desabilitar a imposição de solicitações assinadas e carregar as chaves públicas que devem ser usadas para fazer a validação.

Se habilitada, a ID do Microsoft Entra valida as solicitações em relação às chaves públicas configuradas. As solicitações de autenticação podem falhar nos seguintes cenários:

  • Protocolo não permitido para solicitações assinadas. Somente o protocolo SAML tem suporte.
  • A solicitação não foi assinada, mas a verificação foi habilitada.
  • Nenhum certificado de verificação configurado para verificação de assinatura de solicitação SAML. Para obter mais informações sobre os requisitos de certificado, consulte Opções de assinatura de certificado.
  • Erro ao verificar a assinatura.
  • O identificador de chave na solicitação está ausente e os dois certificados adicionados mais recentemente não correspondem à assinatura da solicitação.
  • Solicitação assinada, mas algoritmo ausente.
  • Nenhum certificado corresponde ao identificador de chave fornecido.
  • Algoritmo de assinatura não permitido. Somente RSA-SHA256 tem suporte.

Observação

Um Signature elemento em AuthnRequest elementos é opcional. Se Require Verification certificates não estiver marcada, a ID do Microsoft Entra não validará as solicitações de autenticação assinadas se uma assinatura estiver presente. A verificação do solicitante é fornecida apenas respondendo a URLs registradas do Serviço do Consumidor de Declaração.

Se o recurso Require Verification certificates for verificado, a Verificação de Assinatura de Solicitação SAML funcionará apenas para solicitações de autenticação iniciadas por SP (iniciado por provedor de serviços/terceira parte confiável). Somente o aplicativo configurado pelo provedor de serviços terá acesso às chaves privadas e públicas para assinar as Solicitações de Autenticação SAML recebidas do aplicativo. A chave pública deve ser carregada para permitir a verificação da solicitação, nesse caso, o Microsoft Entra ID terá acesso apenas à chave pública.

A habilitação do recurso Require Verification certificates não permitirá que as solicitações de autenticação iniciadas por IDP (como o recurso de teste de SSO, o inicializador de aplicativos MyApps ou M365) sejam validadas, pois o IDP não possui as mesmas chaves privadas que o aplicativo registrado.

Pré-requisitos

Para configurar a verificação de assinatura de solicitação SAML, você precisa:

  • Uma conta de usuário do Microsoft Entra. Se você ainda não tem uma conta, é possível criar uma conta gratuita.
  • Uma das seguintes funções: Administrador de Aplicativo de Nuvem, Administrador de Aplicativos ou proprietário da entidade de serviço.

Configurar a verificação de assinatura de solicitação SAML

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Entra ID>Aplicativos corporativos>Todos os aplicativos.

  3. Insira o nome do aplicativo existente na caixa de pesquisa e, em seguida, selecione o aplicativo nos resultados da pesquisa.

  4. Navegue até Logon único.

  5. Na tela Logon único, role até a subseção chamada Certificados de verificação em Certificados SAML.

    Captura de tela dos certificados de verificação em Certificados SAML na página Aplicativo Empresarial.

  6. Selecione Editar.

  7. No novo painel, é possível habilitar a verificação de solicitações assinadas e optar pela verificação de algoritmo fraco caso seu aplicativo ainda use RSA-SHA1 para assinar as solicitações de autenticação.

  8. Para habilitar a verificação de solicitações assinadas, selecione Exigir certificados de verificação e carregue uma chave pública de verificação que corresponda à chave privada usada para assinar a solicitação.

    Captura de tela de Exigir certificados de verificação na página Aplicativos Empresariais.

  9. Depois de carregar o certificado de verificação, selecione Salvar.

  10. Quando a verificação das solicitações assinadas está habilitada, a experiência de teste é desabilitada, pois o provedor de serviços precisa assinar a solicitação.

    Captura de tela do aviso de teste desabilitado quando solicitações assinadas são habilitadas na página Aplicativo Empresarial.

  11. Para ver a configuração atual de um aplicativo empresarial, acesse a tela Logon único e veja o resumo da configuração em Certificados SAML. Nela, é possível ver se a verificação de solicitações assinadas está habilitada e a contagem de certificados de verificação Ativos e Expirados.

    Captura de tela da configuração do aplicativo empresarial na tela de logon único.

Conteúdo relacionado

  • Last updated on