Compartilhar via


Impor solicitações de autenticação SAML assinadas

A Verificação de Assinatura de Solicitação SAML é uma funcionalidade que valida a assinatura de solicitações de autenticação assinadas. Um administrador de aplicativos agora pode habilitar e desabilitar a aplicação de solicitações assinadas e carregar as chaves públicas que devem ser usadas para a validação.

Se a opção for habilitada, o Microsoft Entra ID valida as solicitações em relação às chaves públicas configuradas. As solicitações de autenticação podem falhar nos seguintes cenários:

  • Protocolo não permitido para solicitações assinadas. Somente o protocolo SAML tem suporte.
  • A solicitação não foi assinada, mas a verificação foi habilitada.
  • Nenhum certificado de verificação configurado para verificação de assinatura de solicitação SAML. Para obter mais informações sobre os requisitos de certificado, consulte Opções de assinatura de certificado.
  • Erro ao verificar a assinatura.
  • O identificador de chave na solicitação está ausente e os dois certificados adicionados mais recentemente não correspondem à assinatura da solicitação.
  • Solicitação assinada, mas algoritmo ausente.
  • Nenhum certificado corresponde ao identificador de chave fornecido.
  • Algoritmo de assinatura não permitido. Somente RSA-SHA256 tem suporte.

Observação

Um Signature elemento em AuthnRequest elementos é opcional. Se o recurso Require Verification certificates não foi verificado, o Microsoft Entra ID não valida solicitações de autenticação assinadas se uma assinatura estiver presente. A verificação do solicitante é fornecida apenas respondendo a URLs registradas do Serviço do Consumidor de Declaração.

Se o recurso Require Verification certificates for verificado, a Verificação de Assinatura de Solicitação SAML funcionará apenas para solicitações de autenticação iniciadas por SP (iniciado por provedor de serviços/terceira parte confiável). Somente o aplicativo configurado pelo provedor de serviços terá acesso às chaves privadas e públicas para assinar as Solicitações de Autenticação SAML recebidas do aplicativo. A chave pública deve ser carregada para permitir a verificação da solicitação, nesse caso, o Microsoft Entra ID terá acesso apenas à chave pública.

A habilitação do recurso Require Verification certificates não permitirá que as solicitações de autenticação iniciadas por IDP (como o recurso de teste de SSO, o inicializador de aplicativos MyApps ou M365) sejam validadas, pois o IDP não possui as mesmas chaves privadas que o aplicativo registrado.

Pré-requisitos

Para configurar a verificação de assinatura de solicitação SAML, você precisa:

  • Uma conta de usuário do Microsoft Entra. Se você ainda não tem uma conta, é possível criar uma conta gratuita.
  • Uma das seguintes funções: Administrador de Aplicativo de Nuvem, Administrador de Aplicativos ou proprietário da entidade de serviço.

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Configurar a verificação de assinatura de solicitação SAML

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

  2. Navegue até Identidade>Aplicativos>Aplicativos Empresariais>Todos os aplicativos.

  3. Insira o nome do aplicativo existente na caixa de pesquisa e, em seguida, selecione o aplicativo nos resultados da pesquisa.

  4. Navegue até Logon único.

  5. Na tela Logon único, role até a subseção chamada Certificados de verificação em Certificados SAML.

    Captura de tela dos certificados de verificação em Certificados SAML na página Aplicativo Empresarial.

  6. Selecione Editar.

  7. No novo painel, é possível habilitar a verificação de solicitações assinadas e optar pela verificação de algoritmo fraco caso seu aplicativo ainda use RSA-SHA1 para assinar as solicitações de autenticação.

  8. Para habilitar a verificação de solicitações assinadas, selecione Exigir certificados de verificação e carregue uma chave pública de verificação que corresponda à chave privada usada para assinar a solicitação.

    Captura de tela de Exigir certificados de verificação na página Aplicativos Empresariais.

  9. Depois de carregar o certificado de verificação, selecione Salvar.

  10. Quando a verificação das solicitações assinadas está habilitada, a experiência de teste é desabilitada, pois o provedor de serviços precisa assinar a solicitação.

    Captura de tela do aviso de teste desabilitado quando solicitações assinadas são habilitadas na página Aplicativo Empresarial.

  11. Para ver a configuração atual de um aplicativo empresarial, acesse a tela Logon único e veja o resumo da configuração em Certificados SAML. Nela, é possível ver se a verificação de solicitações assinadas está habilitada e a contagem de certificados de verificação Ativos e Expirados.

    Captura de tela da configuração do aplicativo empresarial na tela de logon único.

Próximas etapas