Tutorial: Gerenciar certificados para logon único federado

  • Artigo

Neste artigo, abordamos perguntas comuns e informações relacionadas a certificados que o Microsoft Entra ID cria para estabelecer o logon único federado (SSO) para seus aplicativos de software como serviço (SaaS). Adicione aplicativos da galeria de aplicativos do Microsoft Entra ou usando um modelo de aplicativo que não seja de galeria. Configure o aplicativo usando a opção SSO federado.

Este tutorial é relevante apenas para aplicativos configurados para usar o Microsoft Entra SSO por meio da federação SAML (Security Assertion Markup Language ).

Neste tutorial, um administrador do aplicativo aprende a:

  • Gerar certificados para aplicativos de galeria e não galeria
  • Personalizar as datas de expiração dos certificados
  • Adicionar endereço de notificação por e-mail para datas de expiração do certificado
  • Renovar certificados

Pré-requisitos

  • Uma conta do Azure com uma subscrição ativa. Se ainda não tiver uma, crie uma conta gratuitamente.
  • Uma das seguintes funções: Administrador Global, Administrador de Função Privilegiada, Administrador de Aplicativos na Nuvem ou Administrador de Aplicativos.
  • Um aplicativo corporativo configurado em seu locatário do Microsoft Entra.

Quando você adiciona um novo aplicativo da galeria e configura um logon baseado em SAML (selecionando SAML de logon>único na página de visão geral do aplicativo), o Microsoft Entra ID gera um certificado autoassinado para o aplicativo que é válido por três anos. Para baixar o certificado ativo como um arquivo de certificado de segurança (.cer), retorne a essa página (logon baseado em SAML) e selecione um link de download no cabeçalho Certificado de Assinatura SAML. Você pode escolher entre o certificado bruto (binário) ou o certificado Base 64 (texto codificado em base 64). Para aplicativos de galeria, esta seção também pode mostrar um link para baixar o certificado como XML de metadados de federação (um arquivo .xml ), dependendo do requisito do aplicativo.

Você também pode baixar um certificado ativo ou inativo selecionando o ícone Editar do título Certificado de Assinatura SAML (um lápis), que exibe a página Certificado de Assinatura SAML. Selecione as reticências (...) junto ao certificado que pretende transferir e, em seguida, escolha o formato de certificado pretendido. Você tem a outra opção para baixar o certificado no formato de email com privacidade aprimorada (PEM). Este formato é idêntico ao Base64, mas com uma extensão de nome de ficheiro .pem , que não é reconhecida no Windows como um formato de certificado.

SAML signing certificate download options (active and inactive).

Personalizar a data de expiração do certificado de federação e transferi-la para um novo certificado

Por padrão, o Azure configura um certificado para expirar após três anos, quando você o cria automaticamente durante a configuração de logon único SAML. Como não é possível alterar a data de um certificado depois de salvá-lo, é necessário:

  1. Crie um novo certificado com a data desejada.
  2. Salve o novo certificado.
  3. Faça o download do novo certificado no formato correto.
  4. Carregue o novo certificado para o aplicativo.
  5. Ative o novo certificado no centro de administração do Microsoft Entra.

As duas seções a seguir ajudam você a executar essas etapas.

Criar um novo certificado

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Primeiro, crie e salve o novo certificado com uma data de validade diferente:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Identity>Applications>Enterprise applications>Todos os aplicativos.
  3. Introduza o nome da aplicação existente na caixa de pesquisa e, em seguida, selecione a aplicação nos resultados da pesquisa.
  4. Na seção Gerenciar, selecione Logon único.
  5. Se a página Selecionar um método de logon único for exibida, selecione SAML.
  6. Na página Configurar Logon Único com SAML, localize o cabeçalho Certificado de Assinatura SAML e selecione o ícone Editar (um lápis). É apresentada a página Certificado de Assinatura SAML, que mostra o estado (Ativo ou Inativo), a data de expiração e o thumbprint (uma cadeia hash) de cada certificado.
  7. Selecione Novo certificado. Uma nova linha aparece abaixo da lista de certificados, onde a data de expiração é exatamente três anos após a data atual. (Suas alterações ainda não foram salvas, portanto, você ainda pode modificar a data de validade.)
  8. Na nova linha de certificado, passe o mouse sobre a coluna de data de validade e selecione o ícone Selecionar data (um calendário). Um controle de calendário é exibido, exibindo os dias de um mês da data de expiração atual da nova linha.
  9. Use o controle de calendário para definir uma nova data. Você pode definir qualquer data entre a data atual e três anos após a data atual.
  10. Selecione Guardar. O novo certificado agora aparece com um status de Inativo, a data de validade escolhida e uma impressão digital.

    Nota

    Quando você tiver um certificado existente que já expirou e gerar um novo certificado, o novo certificado será considerado para assinar tokens, mesmo que você ainda não o tenha ativado.

  11. Selecione o X para retornar à página Configurar Logon Único com SAML .

Carregar e ativar um certificado

Em seguida, baixe o novo certificado no formato correto, carregue-o para o aplicativo e torne-o ativo no Microsoft Entra ID:

  1. Veja mais instruções de configuração de início de sessão SAML para a aplicação com uma das seguintes opções.

    • Selecione o link do guia de configuração para visualizar em uma janela ou guia separada do navegador.
    • Navegue até o título de configuração e selecione Exibir instruções passo a passo para visualizar em uma barra lateral.

  2. Nas instruções, observe o formato de codificação necessário para o upload do certificado.

  3. Siga as instruções na seção Certificado gerado automaticamente para aplicativos de galeria e não galeria anteriormente. Esta etapa baixa o certificado no formato de codificação necessário para o upload pelo aplicativo.

  4. Quando quiser passar para o novo certificado, volte para a página Certificado de Assinatura SAML e, na linha de certificado recém-salvo, selecione as reticências (...) e selecione Tornar o certificado ativo. O status do novo certificado muda para Ativo e o certificado anteriormente ativo muda para um status de Inativo.

  5. Continue seguindo as instruções de configuração de logon SAML do aplicativo exibidas anteriormente, para que você possa carregar o certificado de assinatura SAML no formato de codificação correto.

Se o seu aplicativo não tiver validação de expiração de certificado e o certificado corresponder à ID do Microsoft Entra e ao seu aplicativo, ele permanecerá acessível apesar de ter expirado. Confirme que a sua aplicação consegue validar a data de expiração do certificado.

Se você pretende manter a validação de expiração do certificado desabilitada, o novo certificado não deve ser criado até a janela de manutenção agendada para a substituição do certificado. Se existir um certificado válido expirado e inativo no aplicativo, o Microsoft Entra ID utilizará automaticamente o certificado válido. Nesse caso, os usuários podem sofrer interrupção do aplicativo.

Adicionar endereços de notificação por e-mail para expiração do certificado

O Microsoft Entra ID envia uma notificação por e-mail 60, 30 e 7 dias antes da expiração do certificado SAML. Pode adicionar mais do que um endereço de e-mail para receber notificações. Para especificar um ou mais endereços de e-mail, você deseja que as notificações sejam enviadas para:

  1. Na página Certificado de Assinatura SAML, vá para o cabeçalho dos endereços de e-mail de notificação. Por padrão, esse título usa apenas o endereço de e-mail do administrador que adicionou o aplicativo.
  2. Abaixo do endereço de e-mail final, digite o endereço de e-mail que deve receber o aviso de expiração do certificado e pressione Enter.
  3. Repita a etapa anterior para cada endereço de e-mail que você deseja adicionar.
  4. Para cada endereço de e-mail que você deseja excluir, selecione o ícone Excluir (lata de lixo) ao lado do endereço de e-mail.
  5. Selecione Guardar.

Você pode adicionar até cinco endereços de e-mail à lista de Notificação (incluindo o endereço de e-mail do administrador que adicionou o aplicativo). Se precisar que mais pessoas sejam notificadas, use os e-mails da lista de distribuição.

Você recebe o e-mail de notificação de azure-noreply@microsoft.com. Para evitar que o e-mail vá para o seu local de spam, adicione esse e-mail aos seus contatos.

Renovar um certificado que está definido para expirar em breve

Se um certificado estiver prestes a expirar, você poderá renová-lo usando um procedimento que resulte em nenhum tempo de inatividade significativo para seus usuários. Para renovar um certificado que expira:

  1. Siga as instruções na seção Criar um novo certificado anteriormente, usando uma data que se sobreponha ao certificado existente. Essa data limita a quantidade de tempo de inatividade causado pela expiração do certificado.

  2. Se o aplicativo puder rolar automaticamente um certificado, defina o novo certificado como ativo seguindo estas etapas.

    1. Volte para a página Certificado de Assinatura SAML.
    2. Na linha de certificado recém-salvo, selecione as reticências (...) e, em seguida, selecione Tornar o certificado ativo.
    3. Ignore as próximas duas etapas.

  3. Se o aplicativo só puder lidar com um certificado de cada vez, escolha um intervalo de tempo de inatividade para executar a próxima etapa. (Caso contrário, se o aplicativo não pegar automaticamente o novo certificado, mas puder lidar com mais de um certificado de assinatura, você poderá executar a próxima etapa a qualquer momento).

  4. Antes que o certificado antigo expire, siga as instruções na seção Carregar e ativar um certificado anteriormente. Se o certificado do aplicativo não for atualizado depois que um novo certificado for atualizado na ID do Microsoft Entra, a autenticação no aplicativo poderá falhar.

  5. Inicie sessão na aplicação para se certificar de que o certificado funciona corretamente.

Se o seu aplicativo não tiver validação de expiração de certificado e o certificado corresponder à ID do Microsoft Entra e ao seu aplicativo, ele permanecerá acessível apesar de ter expirado. Certifique-se de que seu aplicativo possa validar a expiração do certificado.