Учебник. Управление сертификатами для федеративного единого входа

  • Статья

В этой статье рассматриваются распространенные вопросы и сведения, связанные с сертификатами, создаваемыми идентификатором Microsoft Entra, для установления федеративного единого входа в приложения saaS. Добавьте приложения из коллекции приложений Microsoft Entra или с помощью шаблона приложения, отличного от коллекции. Настройте приложение для федеративного единого входа.

Это руководство относится только к приложениям, настроенным для использования единого входа Microsoft Entra через федерацию языка разметки утверждений безопасности (SAML).

В этом руководстве администратор приложения узнает, как:

  • создание сертификатов для приложений из коллекции и не из коллекции;
  • настройка дат окончания срока действия сертификатов;
  • добавление адресов уведомлений по электронной почте для дат окончания срока действия сертификата;
  • Обновление сертификатов

Необходимые компоненты

  • Учетная запись Azure с активной подпиской. Если у вас еще нет учетной записи, создайте ее бесплатно.
  • Одна из следующих ролей: глобальный администратор, администратор привилегированных ролей, администратор облачных приложений или администратор приложений.
  • Корпоративное приложение, настроенное в клиенте Microsoft Entra.

При добавлении нового приложения из коллекции и настройке входа на основе SAML (выбрав единый вход>SAML на странице обзора приложения), идентификатор Microsoft Entra ID создает самозаверяющий сертификат для приложения, действующего в течение трех лет. Чтобы скачать активный сертификат в качестве файла сертификата безопасности (CER), вернитесь на эту страницу (Вход на основе SAML) и выберите ссылку для скачивания в заголовке сертификата подписи SAML. Вы можете выбрать необработанный (двоичный) сертификат или сертификат Base 64 (базовый 64-кодированный текст). Для приложений из коллекции в этом разделе также может отображаться ссылка для скачивания сертификата в виде XML-файла метаданных федерации (файл .xml) в зависимости от требований приложения.

Также можно скачать активный или неактивный сертификат, щелкнув значок Изменить (карандаш) заголовка Сертификат подписи SAML, после чего отобразится страница Сертификат подписи SAML. Нажмите кнопку с многоточием (...) рядом с сертификатом, который следует скачать, а затем выберите нужный формат сертификата. Вы можете скачать сертификат в формате электронной почты с расширенным уровнем конфиденциальности (PEM). Этот формат идентичен формату Base64, но имеет расширение .pem, которое не распознается в ОС Windows как формат сертификата.

SAML signing certificate download options (active and inactive).

Настройка даты окончания срока действия сертификата федерации и его замена новым сертификатом

По умолчанию Azure настраивает срок действия сертификата через три года при его создании автоматически во время настройки единого входа SAML. Так как после сохранения сертификата его дату изменить нельзя, сделайте следующее:

  1. Создайте новый сертификат с нужной датой.
  2. Сохраните новый сертификат.
  3. Скачайте новый сертификат в правильном формате.
  4. Отправьте новый сертификат в приложение.
  5. Сделайте новый сертификат активным в Центре администрирования Microsoft Entra.

Следующие два раздела помогут вам выполнить эти действия.

Создание сертификата

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Сначала создайте и сохраните новый сертификат с другой датой окончания срока действия:

  1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
  2. Перейдите к приложениям>Identity>Application Enterprise Для всех приложений.>
  3. Введите имя существующего приложения в поле поиска и выберите приложение из результатов поиска.
  4. В разделе Управление щелкните Единый вход.
  5. Если откроется страница Выбрать метод единого входа, выберите SAML.
  6. На странице "Настройка единого входа с помощью SAML" найдите заголовок сертификата подписи SAML и щелкните значок "Изменить" (карандаш). Откроется страница Сертификат подписи SAML, на которой отображается состояние (Активно или Неактивно), дата окончания срока действия и отпечаток (строка хэша) для каждого сертификата.
  7. Выберите Новый сертификат. Под списком сертификатов откроется новая строка, где для даты окончания срока действия по умолчанию задан срок ровно три года после текущей даты. (Изменения еще не сохранены, поэтому вы по-прежнему можете изменить дату окончания срока действия.)
  8. В строке нового сертификата наведите указатель мыши на столбец даты окончания срока действия и выберите значок Выбор даты (календарь). Появится элемент управления "Календарь", в котором отображаются дни месяца текущей даты окончания срока действия новой строки.
  9. Используйте элемент управления "Календарь", чтобы задать новую дату. Можно выбрать любую дату между текущей датой и тремя годами после текущей даты.
  10. Выберите Сохранить. Теперь новый сертификат отображается с состоянием Неактивный, выбранной датой истечения срока действия и отпечатком.

    Примечание.

    Если у вас есть существующий сертификат с истекшим сроком действия и вы создаете еще один сертификат, система предложит использовать новый сертификат для подписывания токенов, даже если он еще не активирован.

  11. Нажмите X, чтобы вернуться на страницу Настройка единого входа с помощью SAML с использованием SAML.

Отправка и активация сертификата

Затем скачайте новый сертификат в правильном формате, отправьте его в приложение и сделайте его активным в идентификаторе Microsoft Entra:

  1. Дополнительные инструкции по настройке входа SAML для приложения см. в следующих параметрах.

    • Выберите ссылку руководства по настройке для просмотра в отдельном окне браузера или на вкладке.
    • Перейдите к заголовку настройки и выберите пошаговые инструкции по просмотру на боковой панели.

  2. В инструкциях обратите внимание на формат кодирования, необходимый для отправки сертификата.

  3. Следуйте инструкциям в разделе автогенерированного сертификата для коллекций и приложений , отличных от коллекции. На этом шаге загружается сертификат в формате кодирования, необходимом приложению для передачи.

  4. Если вы хотите переключиться на новый сертификат, вернитесь на страницу Сертификат подписи SAML, в новой сохраненной строке сертификата нажмите кнопку с многоточием (...) и выберите Сделать сертификат активным. Состояние нового сертификата изменится на Активный, а состояние ранее активного сертификата — на Неактивный.

  5. Далее следуйте инструкциям по настройке единого входа с помощью SAML приложения, которые были открыты ранее, чтобы можно было передать сертификат подписи SAML в правильном формате кодирования.

Если приложению не хватает проверки срока действия сертификата, а сертификат соответствует идентификатору Microsoft Entra и приложению, он остается доступным, несмотря на истечение срока действия. Убедитесь, что приложение может проверить дату окончания срока действия сертификата.

Если вы планируете отключить проверку срока действия сертификата, то новый сертификат не должен быть создан до запланированного периода обслуживания для отката сертификата. Если истек срок действия и неактивный действительный сертификат существуют в приложении, идентификатор Microsoft Entra id автоматически использует допустимый сертификат. В этом случае пользователи могут столкнуться с сбоем приложения.

Добавление адресов уведомлений по электронной почте для окончания срока действия сертификата

Microsoft Entra ID отправляет уведомления по электронной почте за 60, 30 и 7 дней до окончания срока действия сертификата SAML. Вы можете добавить несколько адресов электронной почты для получения уведомлений. Чтобы указать один или несколько адресов электронной почты, вы хотите, чтобы уведомления отправлялись в:

  1. На странице Сертификат подписи SAML перейдите к заголовку Адреса электронной почты для уведомлений. По умолчанию в этом поле используется адрес электронной почты администратора, добавившего приложение.
  2. Под последним адресом электронной почты введите адрес электронной почты, на который следует отправить уведомление об окончании срока действия сертификата, и нажмите клавишу ВВОД.
  3. Повторите предыдущий шаг для каждого адреса электронной почты, который вы хотите добавить.
  4. Для каждого адреса электронной почты, который вы хотите удалить, щелкните значок удаления (мусор может) рядом с адресом электронной почты.
  5. Выберите Сохранить.

В список уведомлений можно добавить до 5 адресов электронной почты (включая адрес электронной почты администратора, который добавил приложение). Если вы хотите, чтобы уведомления получало большее количество пользователей, используйте список рассылки по электронной почте.

Вы получаете сообщение электронной почты об уведомлении.azure-noreply@microsoft.com Чтобы это электронное письмо не попало в папку спама, добавьте этот адрес электронной почты в свой список контактов.

Продление срока действия сертификата, который истекает в ближайшее время

Если срок действия сертификата скоро истечет, его можно обновить с помощью процедуры, которая не приводит к длительному простою для пользователей. Чтобы продлить срок действия сертификата:

  1. Выполните инструкции из раздела Создание нового сертификата выше, используя дату, которая пересекается с существующим сертификатом. Эта дата ограничивает время простоя, вызванное окончанием срока действия сертификата.

  2. Если приложение может автоматически выполнить перекат сертификата, задайте новый сертификат активным, выполнив следующие действия.

    1. Вернитесь на страницу Сертификат подписи SAML.
    2. В строке нового сохраненного сертификата нажмите кнопку с многоточием (...), а затем выберите Сделать сертификат активным.
    3. Пропустите следующие два шага.

  3. Если приложение может одновременно работать только с одним сертификатом, выберите интервал простоя для выполнения следующего шага. (В противном случае, если приложение не автоматически выбирает новый сертификат, но может обрабатывать несколько сертификатов подписи, вы можете выполнить следующий шаг в любое время).

  4. До истечения срока действия старого сертификата выполните инструкции из раздела Отправка и активация сертификата выше. Если сертификат приложения не обновляется после обновления нового сертификата в идентификаторе Microsoft Entra, проверка подлинности в приложении может завершиться ошибкой.

  5. Войдите в приложение, чтобы убедиться, что сертификат работает правильно.

Если приложению не хватает проверки срока действия сертификата, а сертификат соответствует идентификатору Microsoft Entra и приложению, он остается доступным, несмотря на истечение срока действия. Обеспечьте проверку даты окончания срока действия сертификата в приложении.