Partilhar via


Impor solicitações de autenticação SAML assinadas

A Verificação de Assinatura de Solicitação SAML é uma funcionalidade que valida a assinatura de solicitações de autenticação assinadas. Um administrador de aplicativo agora pode habilitar e desabilitar a imposição de solicitações assinadas e carregar as chaves públicas que devem ser usadas para fazer a validação.

Se habilitado, o Microsoft Entra ID valida as solicitações em relação às chaves públicas configuradas. Há alguns cenários em que as solicitações de autenticação podem falhar:

  • Protocolo não permitido para solicitações assinadas. Apenas o protocolo SAML é suportado.
  • Solicitação não assinada, mas a verificação está habilitada.
  • Nenhum certificado de verificação configurado para verificação de assinatura de solicitação SAML. Para obter mais informações sobre os requisitos de certificado, consulte Opções de assinatura de certificado.
  • Falha na verificação da assinatura.
  • O identificador de chave na solicitação está ausente e dois certificados adicionados mais recentemente não correspondem à assinatura da solicitação.
  • Solicitação assinada, mas algoritmo ausente.
  • Nenhum certificado correspondente ao identificador de chave fornecido.
  • Algoritmo de assinatura não permitido. Apenas RSA-SHA256 é suportado.

Nota

Um Signature elemento em AuthnRequest elementos é opcional. Se Require Verification certificates não estiver marcada, a ID do Microsoft Entra não validará solicitações de autenticação assinadas se uma assinatura estiver presente. A verificação do solicitante é fornecida respondendo apenas a URLs de Serviço ao Consumidor de Asserção registradas.

Se Require Verification certificates estiver marcada, a Verificação de Assinatura de Solicitação SAML funcionará apenas para solicitações de autenticação iniciadas por SP (provedor de serviços/terceira parte confiável). Somente o aplicativo configurado pelo provedor de serviços terá acesso às chaves pública e privada para assinar as solicitações de autenticação SAML de entrada do aplicativo. A chave pública deve ser carregada para permitir a verificação do pedido, caso em que o Microsoft Entra ID terá acesso apenas à chave pública.

A habilitação Require Verification certificates não permitirá que solicitações de autenticação iniciadas pelo IDP (como o recurso de teste SSO, MyApps ou o iniciador de aplicativos M365) sejam validadas, pois o IDP não possuiria as mesmas chaves privadas que o aplicativo registrado.

Pré-requisitos

Para configurar a verificação de assinatura de solicitação SAML, você precisa:

  • Uma conta de usuário do Microsoft Entra. Se ainda não tiver uma, pode criar uma conta gratuitamente.
  • Uma das seguintes funções: Administrador de aplicativos na nuvem, Administrador de aplicativos ou proprietário da entidade de serviço.

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Configurar a verificação de assinatura de solicitação SAML

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Identity>Applications>Enterprise applications>Todos os aplicativos.

  3. Introduza o nome da aplicação existente na caixa de pesquisa e, em seguida, selecione a aplicação nos resultados da pesquisa.

  4. Navegue até Logon único.

  5. Na tela Logon único, role até a subseção chamada Certificados de verificação em Certificados SAML.

    Captura de tela dos certificados de verificação em Certificados SAML na página Aplicativo Empresarial.

  6. Selecione Editar.

  7. No novo painel, você pode habilitar a verificação de solicitações assinadas e optar pela verificação de algoritmo fraco caso seu aplicativo ainda use RSA-SHA1 para assinar as solicitações de autenticação.

  8. Para habilitar a verificação de solicitações assinadas, selecione Exigir certificados de verificação e carregue uma chave pública de verificação que corresponda à chave privada usada para assinar a solicitação.

    Captura de ecrã da página Exigir certificados de verificação nas Aplicações Empresariais.

  9. Depois de carregar o certificado de verificação, selecione Guardar.

  10. Quando a verificação de solicitações assinadas é habilitada, a experiência de teste é desabilitada, pois o provedor de serviços precisa assinar a solicitação.

    Captura de tela do aviso de teste desativado quando solicitações assinadas habilitadas na página Aplicativo Empresarial.

  11. Se quiser ver a configuração atual de um aplicativo empresarial, você pode navegar até a tela Single Sign-on e ver o resumo da sua configuração em Certificados SAML. Lá você pode ver se a verificação de solicitações assinadas está habilitada e a contagem de certificados de verificação Ativos e Expirados.

    Captura de tela da configuração do aplicativo corporativo na tela de logon único.

Próximos passos