Дополнительные параметры подписи сертификата в токене SAML
Сегодня Идентификатор Microsoft Entra поддерживает тысячи предварительно подготовленных приложений в коллекции приложений Microsoft Entra. Возможность единого входа с помощью протокола Security Assertion Markup Language (SAML) 2.0 поддерживает более 500 приложений, например приложение NetSuite. Когда клиент проходит проверку подлинности в приложении через идентификатор Microsoft Entra ID с помощью SAML, идентификатор Microsoft Entra отправляет маркер приложению (через HTTP POST). Затем приложение проверяет и использует этот токен для входа клиента вместо запроса имени пользователя и пароля. Эти токены SAML подписаны уникальным сертификатом, созданным в идентификаторе Microsoft Entra и определенными стандартными алгоритмами.
Идентификатор Microsoft Entra использует некоторые параметры по умолчанию для приложений коллекции. Значения по умолчанию настраиваются в зависимости от требований к приложению.
В идентификаторе Microsoft Entra можно настроить параметры подписи сертификатов и алгоритм подписи сертификата.
Параметры подписи сертификата
Идентификатор Microsoft Entra поддерживает три варианта подписи сертификата:
Утверждение знака SAML. Этот параметр по умолчанию задается для большинства приложений коллекции. Если выбрать этот параметр, идентификатор Microsoft Entra в качестве поставщика удостоверений (IdP) подписывает утверждение SAML и сертификат с сертификатом X.509 приложения.
Ответ знака SAML. Если выбрать этот параметр, идентификатор Microsoft Entra в качестве поставщика удостоверений подписывает ответ SAML с помощью сертификата X.509 приложения.
Ответ знака SAML и утверждение. Если выбрать этот параметр, идентификатор Microsoft Entra в качестве поставщика удостоверений подписывает весь токен SAML с помощью сертификата X.509 приложения.
Алгоритмы подписывания сертификатов
Идентификатор Microsoft Entra поддерживает два алгоритма подписывания или безопасные хэш-алгоритмы (SHAs), чтобы подписать ответ SAML:
SHA-256. Идентификатор Microsoft Entra использует этот алгоритм по умолчанию для подписывания ответа SAML. Это последний разработанный алгоритм, который является более безопасным, чем алгоритм SHA1. Большинство приложений поддерживает алгоритм SHA-256. Если приложение поддерживает только алгоритм подписывания SHA-1, можно выбрать его. В противном случае рекомендуется использовать алгоритм SHA-256 для подписывания ответов SAML.
SHA-1. Этот алгоритм более старый и менее безопасный, чем SHA-256. Если приложение поддерживает только этот алгоритм подписывания, его можно выбрать из раскрывающегося списка Алгоритм подписывания. Затем идентификатор Microsoft Entra подписывает ответ SAML с помощью алгоритма SHA-1.
Необходимые компоненты
Чтобы изменить параметры подписи сертификата SAML приложения и алгоритм подписи сертификатов, вам потребуется:
- Учетная запись пользователя Microsoft Entra. Если ее нет, можно создать учетную запись бесплатно.
- Одна из следующих ролей: администратор облачных приложений, администратор приложений.
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Изменение параметров подписи сертификата и алгоритма подписи
Чтобы изменить параметры подписи сертификата SAML приложения и алгоритм подписи сертификатов:
Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
Перейдите к приложениям>Identity>Application Enterprise Для всех приложений.>
Введите имя существующего приложения в поле поиска и выберите приложение из результатов поиска. В этом примере используется приложение Salesforce.
Затем измените параметры подписи сертификата в токене SAML для этого приложения.
В левой панели страницы выберите Единый вход.
Если откроется страница Настройка единого входа с помощью SAML, перейдите к шагу 5.
Если страница Настройка единого входа с помощью SAML не открылась, выберите Изменить режимы единого входа.
На странице Выбор метода единого входа выберите SAML. Если значение SAML недоступно, приложение не поддерживает SAML и вы можете игнорировать оставшуюся часть этой процедуры и статьи.
На странице Настройка единого входа с помощью SAML найдите заголовок Сертификат подписи SAML и щелкните значок Изменить (карандаш). Откроется страница Сертификат подписи SAML.
В раскрывающемся списке Вариант подписывания выберите Ответ знака SAML, Утверждение знака SAML или Ответ знака SAML и утверждение. Описания этих параметров приведены ранее в этой статье в разделе Параметры подписи сертификата.
В раскрывающемся списке Алгоритм подписывания выберите SHA-1 или SHA-256. Описания этих параметров приведены ранее в этой статье в разделе Алгоритмы подписи сертификата.
Если вас устраивают выбранные параметры и значения, нажмите кнопку Сохранить, чтобы применить новые параметры сертификата подписи SAML. В противном случае щелкните X, чтобы отменить изменения.