Поделиться через


Дополнительные параметры подписи сертификата в токене SAML

Сегодня Идентификатор Microsoft Entra поддерживает тысячи предварительно подготовленных приложений в коллекции приложений Microsoft Entra. Возможность единого входа с помощью протокола Security Assertion Markup Language (SAML) 2.0 поддерживает более 500 приложений, например приложение NetSuite. Когда клиент проходит проверку подлинности в приложении через идентификатор Microsoft Entra ID с помощью SAML, идентификатор Microsoft Entra отправляет маркер приложению (через HTTP POST). Затем приложение проверяет и использует этот токен для входа клиента вместо запроса имени пользователя и пароля. Эти токены SAML подписаны уникальным сертификатом, созданным в идентификаторе Microsoft Entra и определенными стандартными алгоритмами.

Идентификатор Microsoft Entra использует некоторые параметры по умолчанию для приложений коллекции. Значения по умолчанию настраиваются в зависимости от требований к приложению.

В идентификаторе Microsoft Entra можно настроить параметры подписи сертификатов и алгоритм подписи сертификата.

Параметры подписи сертификата

Идентификатор Microsoft Entra поддерживает три варианта подписи сертификата:

  • Утверждение знака SAML. Этот параметр по умолчанию задается для большинства приложений коллекции. Если выбрать этот параметр, идентификатор Microsoft Entra в качестве поставщика удостоверений (IdP) подписывает утверждение SAML и сертификат с сертификатом X.509 приложения.

  • Ответ знака SAML. Если выбрать этот параметр, идентификатор Microsoft Entra в качестве поставщика удостоверений подписывает ответ SAML с помощью сертификата X.509 приложения.

  • Ответ знака SAML и утверждение. Если выбрать этот параметр, идентификатор Microsoft Entra в качестве поставщика удостоверений подписывает весь токен SAML с помощью сертификата X.509 приложения.

Алгоритмы подписывания сертификатов

Идентификатор Microsoft Entra поддерживает два алгоритма подписывания или безопасные хэш-алгоритмы (SHAs), чтобы подписать ответ SAML:

  • SHA-256. Идентификатор Microsoft Entra использует этот алгоритм по умолчанию для подписывания ответа SAML. Это последний разработанный алгоритм, который является более безопасным, чем алгоритм SHA1. Большинство приложений поддерживает алгоритм SHA-256. Если приложение поддерживает только алгоритм подписывания SHA-1, можно выбрать его. В противном случае рекомендуется использовать алгоритм SHA-256 для подписывания ответов SAML.

  • SHA-1. Этот алгоритм более старый и менее безопасный, чем SHA-256. Если приложение поддерживает только этот алгоритм подписывания, его можно выбрать из раскрывающегося списка Алгоритм подписывания. Затем идентификатор Microsoft Entra подписывает ответ SAML с помощью алгоритма SHA-1.

Необходимые компоненты

Чтобы изменить параметры подписи сертификата SAML приложения и алгоритм подписи сертификатов, вам потребуется:

  • Учетная запись пользователя Microsoft Entra. Если ее нет, можно создать учетную запись бесплатно.
  • Одна из следующих ролей: администратор облачных приложений, администратор приложений.

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Изменение параметров подписи сертификата и алгоритма подписи

Чтобы изменить параметры подписи сертификата SAML приложения и алгоритм подписи сертификатов:

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

  2. Перейдите к приложениям>Identity>Application Enterprise Для всех приложений.>

  3. Введите имя существующего приложения в поле поиска и выберите приложение из результатов поиска. В этом примере используется приложение Salesforce.

    Пример: страница обзора приложения

Затем измените параметры подписи сертификата в токене SAML для этого приложения.

  1. В левой панели страницы выберите Единый вход.

  2. Если откроется страница Настройка единого входа с помощью SAML, перейдите к шагу 5.

  3. Если страница Настройка единого входа с помощью SAML не открылась, выберите Изменить режимы единого входа.

  4. На странице Выбор метода единого входа выберите SAML. Если значение SAML недоступно, приложение не поддерживает SAML и вы можете игнорировать оставшуюся часть этой процедуры и статьи.

  5. На странице Настройка единого входа с помощью SAML найдите заголовок Сертификат подписи SAML и щелкните значок Изменить (карандаш). Откроется страница Сертификат подписи SAML.

    Пример: страница

  6. В раскрывающемся списке Вариант подписывания выберите Ответ знака SAML, Утверждение знака SAML или Ответ знака SAML и утверждение. Описания этих параметров приведены ранее в этой статье в разделе Параметры подписи сертификата.

  7. В раскрывающемся списке Алгоритм подписывания выберите SHA-1 или SHA-256. Описания этих параметров приведены ранее в этой статье в разделе Алгоритмы подписи сертификата.

  8. Если вас устраивают выбранные параметры и значения, нажмите кнопку Сохранить, чтобы применить новые параметры сертификата подписи SAML. В противном случае щелкните X, чтобы отменить изменения.

Следующие шаги