Impor solicitações de autenticação SAML assinadas
A Verificação de Assinatura de Solicitação SAML é uma funcionalidade que valida a assinatura de solicitações de autenticação assinadas. Um administrador de aplicativo agora pode habilitar e desabilitar a imposição de solicitações assinadas e carregar as chaves públicas que devem ser usadas para fazer a validação.
Se habilitado, o Microsoft Entra ID valida as solicitações em relação às chaves públicas configuradas. Há alguns cenários em que as solicitações de autenticação podem falhar:
- Protocolo não permitido para solicitações assinadas. Apenas o protocolo SAML é suportado.
- Solicitação não assinada, mas a verificação está habilitada.
- Nenhum certificado de verificação configurado para verificação de assinatura de solicitação SAML. Para obter mais informações sobre os requisitos de certificado, consulte Opções de assinatura de certificado.
- Falha na verificação da assinatura.
- O identificador de chave na solicitação está ausente e dois certificados adicionados mais recentemente não correspondem à assinatura da solicitação.
- Solicitação assinada, mas algoritmo ausente.
- Nenhum certificado correspondente ao identificador de chave fornecido.
- Algoritmo de assinatura não permitido. Apenas RSA-SHA256 é suportado.
Nota
Um Signature
elemento em AuthnRequest
elementos é opcional. Se Require Verification certificates
não estiver marcada, a ID do Microsoft Entra não validará solicitações de autenticação assinadas se uma assinatura estiver presente. A verificação do solicitante é fornecida respondendo apenas a URLs de Serviço ao Consumidor de Asserção registradas.
Se
Require Verification certificates
estiver marcada, a Verificação de Assinatura de Solicitação SAML funcionará apenas para solicitações de autenticação iniciadas por SP (provedor de serviços/terceira parte confiável). Somente o aplicativo configurado pelo provedor de serviços terá acesso às chaves pública e privada para assinar as solicitações de autenticação SAML de entrada do aplicativo. A chave pública deve ser carregada para permitir a verificação do pedido, caso em que o Microsoft Entra ID terá acesso apenas à chave pública.
A habilitação
Require Verification certificates
não permitirá que solicitações de autenticação iniciadas pelo IDP (como o recurso de teste SSO, MyApps ou o iniciador de aplicativos M365) sejam validadas, pois o IDP não possuiria as mesmas chaves privadas que o aplicativo registrado.
Pré-requisitos
Para configurar a verificação de assinatura de solicitação SAML, você precisa:
- Uma conta de usuário do Microsoft Entra. Se ainda não tiver uma, pode criar uma conta gratuitamente.
- Uma das seguintes funções: Administrador de aplicativos na nuvem, Administrador de aplicativos ou proprietário da entidade de serviço.
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Configurar a verificação de assinatura de solicitação SAML
Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
Navegue até Identity>Applications>Enterprise applications>Todos os aplicativos.
Introduza o nome da aplicação existente na caixa de pesquisa e, em seguida, selecione a aplicação nos resultados da pesquisa.
Navegue até Logon único.
Na tela Logon único, role até a subseção chamada Certificados de verificação em Certificados SAML.
Selecione Editar.
No novo painel, você pode habilitar a verificação de solicitações assinadas e optar pela verificação de algoritmo fraco caso seu aplicativo ainda use RSA-SHA1 para assinar as solicitações de autenticação.
Para habilitar a verificação de solicitações assinadas, selecione Exigir certificados de verificação e carregue uma chave pública de verificação que corresponda à chave privada usada para assinar a solicitação.
Depois de carregar o certificado de verificação, selecione Guardar.
Quando a verificação de solicitações assinadas é habilitada, a experiência de teste é desabilitada, pois o provedor de serviços precisa assinar a solicitação.
Se quiser ver a configuração atual de um aplicativo empresarial, você pode navegar até a tela Single Sign-on e ver o resumo da sua configuração em Certificados SAML. Lá você pode ver se a verificação de solicitações assinadas está habilitada e a contagem de certificados de verificação Ativos e Expirados.
Próximos passos
- Descubra como o Microsoft Entra ID usa o protocolo SAML
- Aprenda o formato, as características de segurança e o conteúdo dos tokens SAML no Microsoft Entra ID