Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Esta página responde a perguntas frequentes sobre como gerenciar os certificados para aplicativos que usam o Microsoft Entra ID como um Provedor de Identidade (IdP).
Existe alguma forma de gerar uma lista de certificados de assinatura SAML prestes a expirar?
Você pode exportar todos os registros de aplicativos com segredos, certificados e seus proprietários para os aplicativos especificados do seu diretório em um arquivo CSV por meio de scripts do PowerShell.
Onde posso encontrar as informações sobre as etapas de renovação de certificados prestes a expirar?
Pode encontrar os passos aqui.
Como posso personalizar a data de validade dos certificados emitidos pelo Microsoft Entra ID?
Por padrão, o Microsoft Entra ID configura um certificado para expirar após três anos após ser criado automaticamente durante a configuração de logon único SAML. Como não pode alterar a data de um certificado depois de o guardar, terá de criar um novo certificado. Para obter etapas sobre como fazer isso, consulte Personalizar a data de expiração do seu certificado de federação e transferi-lo para um novo certificado.
Nota
A maneira recomendada de criar aplicativos SAML é através da Galeria de Aplicativos Microsoft Entra, que cria automaticamente um certificado X509 válido de três anos para você.
Como posso automatizar as notificações de expiração dos certificados?
O Microsoft Entra ID envia uma notificação por e-mail 60, 30 e 7 dias antes da expiração do certificado SAML. Você pode adicionar mais de um endereço de e-mail para receber notificações.
Nota
Você pode adicionar até cinco endereços de e-mail à lista de Notificação (incluindo o endereço de e-mail do administrador que adicionou o aplicativo). Se precisar que mais pessoas sejam notificadas, use os e-mails da lista de distribuição.
Para especificar os e-mails para os quais você deseja que as notificações sejam enviadas, consulte Adicionar endereços de notificação por e-mail para expiração do certificado.
A opção para editar ou personalizar essas notificações por e-mail recebidas de aadnotification@microsoft.com não existe. No entanto, você pode exportar registros de aplicativos com segredos e certificados expirando por meio de scripts do PowerShell.
Quem pode atualizar os certificados?
O proprietário do aplicativo ou o administrador do aplicativo pode atualizar os certificados por meio da interface do usuário do centro de administração do Microsoft Entra, do PowerShell ou do Microsoft Graph.
Preciso de mais detalhes sobre as opções de assinatura de certificado
No Microsoft Entra ID, você pode configurar opções de assinatura de certificado e o algoritmo de assinatura de certificado. Para saber mais, consulte Opções avançadas de assinatura de certificado de token SAML para aplicativos Microsoft Entra.
Que tipo de certificado posso usar para configurar o Certificado SAML para logon único?
A recomendação para o certificado de logon único SAML depende dos requisitos e políticas de segurança da sua organização. Se sua organização tiver uma autoridade de certificação (PKI) interna, usar um certificado da PKI interna pode fornecer um nível mais alto de segurança e confiança. Se você tiver uma PKI interna, seus certificados oferecem melhor segurança e confiança porque você os controla e monitora.
Se sua organização não executa sua própria autoridade de certificação, obtenha um certificado de uma autoridade de certificação pública como a DigiCert. As organizações confiam nessas autoridades de certificação e elas seguem regras rígidas de segurança e validação para manter seus aplicativos seguros.
Preciso substituir o certificado para aplicativos proxy de aplicativo Microsoft Entra e preciso de mais instruções
Para substituir certificados para aplicativos de proxy de aplicativo do Microsoft Entra, consulte Exemplo do PowerShell - Substituir certificado em aplicativos de proxy de aplicativo.
Como faço para gerenciar certificados para domínios personalizados no proxy de aplicativo do Microsoft Entra?
Para configurar uma aplicação no local para utilizar um domínio personalizado, precisa de um domínio personalizado do Microsoft Entra verificado, um certificado PFX para um domínio personalizado e uma aplicação no local para configurar. Para saber mais, consulte Domínios personalizados no proxy de aplicativo do Microsoft Entra.
Preciso atualizar o certificado de assinatura de token no lado do aplicativo. Onde posso obtê-lo no lado do Microsoft Entra ID?
Você pode renovar um certificado SAML X.509 Certificado de assinatura SAML.
O que é a substituição da chave de assinatura do Microsoft Entra ID?
Pode encontrar mais detalhes aqui.
Como faço para renovar o certificado de criptografia de token de aplicativo?
Para renovar um certificado de criptografia de token de aplicativo, consulte Como renovar um certificado de criptografia de token para um aplicativo empresarial.
Como faço para renovar o certificado de assinatura de token de aplicativo?
Para renovar um certificado de assinatura de token de aplicativo, consulte Como renovar um certificado de assinatura de token para um aplicativo empresarial.
Como atualizo o Microsoft Entra ID depois de alterar meus certificados de federação?
Para atualizar o Microsoft Entra ID depois de alterar seus certificados de federação, consulte Renovar certificados de federação para Microsoft 365 e Microsoft Entra ID.
Posso usar o mesmo certificado SAML em diferentes aplicativos?
Quando é a primeira vez que configuramos o SSO em um aplicativo corporativo, fornecemos um certificado SAML padrão que é usado em toda a ID do Microsoft Entra. No entanto, se você precisar usar o mesmo certificado em vários aplicativos que não são os padrão do Microsoft Entra, use uma Autoridade de Certificação externa e carregue o arquivo PFX. O motivo é que o Microsoft Entra ID não fornece acesso a chaves privadas de certificados emitidos internamente.