Поделиться через


Применение подписанных запросов проверки подлинности SAML

Проверка подписи запроса SAML — это функция, которая проверяет подпись подписанных запросов проверки подлинности. Администратор приложения теперь может включать и отключать принудительное выполнение подписанных запросов и загружать открытые ключи, которые следует использовать для проверки.

Если включен идентификатор Microsoft Entra, проверяет запросы на наличие открытых ключей, настроенных. Есть несколько сценариев, в которых запросы проверки подлинности могут завершиться сбоем:

  • Протокол не разрешен для подписанных запросов. Поддерживается только протокол SAML.
  • Запрос не подписан, но проверка включена.
  • Сертификат проверки не настроен для проверки подписи запроса SAML. Дополнительные сведения о требованиях к сертификату см. в разделе "Параметры подписи сертификатов".
  • Сбой проверки подписи.
  • Идентификатор ключа в запросе отсутствует, а два последних добавленных сертификата не совпадают с подписью запроса.
  • Запрос подписан, но отсутствует алгоритм.
  • Сертификат не совпадает с предоставленным идентификатором ключа.
  • Алгоритм подписи не разрешен. Поддерживается только RSA-SHA256.

Примечание.

Элемент Signature в элементах AuthnRequest не является обязательным. Если Require Verification certificates не установлен флажок, идентификатор Microsoft Entra не проверяет подписанные запросы проверки подлинности, если подпись присутствует. Проверка запрашивающей стороны предоставляется только в ответах для зарегистрированных URL-адресов службы обработчика утверждений.

Если Require Verification certificates установлен флажок, проверка подписи запроса SAML будет работать только для запросов проверки подлинности, инициированных поставщиком услуг или проверяющей стороной. Только приложение, настроенное поставщиком услуг, будет иметь доступ к закрытым и открытым ключам для подписывания входящих запросов проверки подлинности SAML из приложения. Открытый ключ должен быть отправлен, чтобы разрешить проверку запроса, в этом случае идентификатор Microsoft Entra id будет иметь доступ только к открытому ключу.

Включение Require Verification certificates не позволит проверять запросы проверки подлинности, инициированные поставщиком удостоверений (например, функцию тестирования единого входа, MyApps или средство запуска приложений M365), так как поставщик удостоверений не будет иметь те же закрытые ключи, что и зарегистрированное приложение.

Необходимые компоненты

Чтобы настроить проверку подписи запроса SAML, вам потребуется:

  • Учетная запись пользователя Microsoft Entra. Если ее нет, можно создать учетную запись бесплатно.
  • Одна из следующих ролей: администратор облачных приложений, администратор приложений или владелец субъекта-службы.

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Настройка проверки подписи запроса SAML

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

  2. Перейдите к приложениям>Identity>Application Enterprise Для всех приложений.>

  3. Введите имя существующего приложения в поле поиска и выберите приложение из результатов поиска.

  4. Выберите Единый вход.

  5. На экране единого входа прокрутите раздел под названием "Сертификаты проверки" в разделе "Сертификаты SAML".

    Снимок экрана: сертификаты проверки в разделе

  6. Выберите Изменить.

  7. В новой области вы можете включить проверку подписанных запросов и принять участие в проверке слабых алгоритмов, если приложение по-прежнему использует RSA-SHA1 для подписывания запросов проверки подлинности.

  8. Чтобы включить проверку подписанных запросов, выберите " Требовать сертификаты проверки" и отправьте открытый ключ проверки, соответствующий закрытому ключу, используемому для подписи запроса.

    Снимок экрана: проверка сертификатов на странице

  9. После отправки сертификата проверки нажмите кнопку "Сохранить".

  10. Если включена проверка подписанных запросов, тестовый интерфейс отключен, так как поставщик услуг должен подписать запрос.

    Снимок экрана: предупреждение об отключенном тестировании при включении подписанных запросов на странице

  11. Если вы хотите просмотреть текущую конфигурацию корпоративного приложения, вы можете перейти к экрану Единый вход и просмотреть сводку конфигурации в разделе Сертификаты SAML. Там вы можете узнать, включена ли проверка подписанных запросов и количество сертификатов проверки с истекшим сроком действия.

    Снимок экрана: конфигурация корпоративного приложения на экране единого входа.

Следующие шаги