Så här konfigurerar du Microsoft Entra SAML-tokenkryptering

Kommentar

Tokenkryptering är en Microsoft Entra ID P1- eller P2-funktion. Mer information om Microsoft Entra-utgåvor, funktioner och priser finns i Microsoft Entra-priser.

SAML-tokenkryptering möjliggör användning av krypterade SAML-intyg med ett program som stöder det. När microsoft Entra-ID konfigureras för ett program krypteras de SAML-intyg som det genererar för programmet med hjälp av den offentliga nyckeln som hämtas från ett certifikat som lagras i Microsoft Entra-ID. Programmet måste använda den matchande privata nyckeln för att dekryptera token innan den kan användas som bevis på autentisering för den inloggade användaren.

Kryptering av SAML-försäkran mellan Microsoft Entra-ID och programmet ger ytterligare garantier för att innehållet i token inte kan fångas upp och att personliga data eller företagsdata komprometteras.

Även utan tokenkryptering skickas aldrig Microsoft Entra SAML-token i nätverket i klartext. Microsoft Entra-ID kräver att utbyten av tokenbegäran/svar sker via krypterade HTTPS/TLS-kanaler så att kommunikationen mellan IDP, webbläsare och program sker via krypterade länkar. Överväg värdet för tokenkryptering för din situation jämfört med kostnaden för att hantera fler certifikat.

För att konfigurera tokenkryptering måste du ladda upp en X.509-certifikatfil som innehåller den offentliga nyckeln till Microsoft Entra-programobjektet som representerar programmet. För att hämta X.509-certifikatet kan du ladda ned det från själva programmet eller hämta det från programleverantören i de fall där programleverantören tillhandahåller krypteringsnycklar eller i de fall där programmet förväntar sig att du ska tillhandahålla en privat nyckel, kan det skapas med kryptografiverktyg, den privata nyckeldelen som laddas upp till programmets nyckelarkiv och det matchande offentliga nyckelcertifikatet som laddats upp till Microsoft Entra-ID.

Microsoft Entra ID använder AES-256 för att kryptera SAML-kontrolldata.

Förutsättningar

För att konfigurera SAML-tokenkryptering behöver du:

• Ett Microsoft Entra-användarkonto. Om du inte redan har ett kan du skapa ett konto kostnadsfritt.
• Någon av följande roller: global administratör, molnprogramadministratör, programadministratör eller ägare av tjänstens huvudnamn.

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Konfigurera SAML-tokenkryptering för företagsprogram

I det här avsnittet beskrivs hur du konfigurerar SAML-tokenkryptering för företagsprogram. Program som har konfigurerats från bladet Företagsprogram i administrationscentret för Microsoft Entra, antingen från programgalleriet eller från en app som inte är galleri. För program som har registrerats via Appregistreringar-upplevelsen följer du vägledningen Konfigurera registrerat program för SAML-tokenkryptering.

Följ dessa steg för att konfigurera SAML-tokenkryptering för företagsprogram:

1. Skaffa ett certifikat för offentlig nyckel som matchar en privat nyckel som har konfigurerats i programmet.

   Skapa ett asymmetriskt nyckelpar som ska användas för kryptering. Om programmet tillhandahåller en offentlig nyckel som ska användas för kryptering följer du programmets instruktioner för att ladda ned X.509-certifikatet.

   Den offentliga nyckeln ska lagras i en X.509-certifikatfil i .cer format. Du kan kopiera innehållet i certifikatfilen till en textredigerare och spara det som en .cer fil. Certifikatfilen ska endast innehålla den offentliga nyckeln och inte den privata nyckeln.

   Om programmet använder en nyckel som du skapar för din instans följer du anvisningarna i ditt program för att installera den privata nyckel som programmet ska använda för att dekryptera token från din Microsoft Entra-klientorganisation.

2. Lägg till certifikatet i programkonfigurationen i Microsoft Entra-ID.

Konfigurera tokenkryptering i administrationscentret för Microsoft Entra

Du kan lägga till det offentliga certifikatet i programkonfigurationen i administrationscentret för Microsoft Entra.

1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

2. Bläddra till Identity>Applications Enterprise-program>>Alla program.

3. Ange namnet på det befintliga programmet i sökrutan och välj sedan programmet i sökresultaten.

4. På programmets sida väljer du Tokenkryptering.

   

   Kommentar

   Alternativet Tokenkryptering är endast tillgängligt för SAML-program som har konfigurerats från bladet Företagsprogram i administrationscentret för Microsoft Entra, antingen från programgalleriet eller en app som inte är galleri. Det här menyalternativet är inaktiverat för andra program.

5. På sidan Tokenkryptering väljer du Importera certifikat för att importera den .cer fil som innehåller ditt offentliga X.509-certifikat.

   

6. När certifikatet har importerats och den privata nyckeln har konfigurerats för användning på programsidan aktiverar du kryptering genom att välja ... bredvid tumavtrycksstatusen och välj sedan Aktivera tokenkryptering från alternativen i listrutan.

7. Välj Ja för att bekräfta aktiveringen av tokenkrypteringscertifikatet.

8. Bekräfta att SAML-försäkran som genereras för programmet är krypterade.

Inaktivera tokenkryptering i administrationscentret för Microsoft Entra

1. I administrationscentret för Microsoft Entra går du till Identity>Applications>Enterprise-program>Alla program och väljer sedan det program som har SAML-tokenkryptering aktiverat.

2. På programmets sida väljer du Tokenkryptering, letar upp certifikatet och väljer sedan alternativet ... för att visa den nedrullningsbara menyn.

3. Välj Inaktivera tokenkryptering.

Konfigurera registrerad SAML-tokenkryptering för program

I det här avsnittet beskrivs hur du konfigurerar det registrerade programmets SAML-tokenkryptering. Program som har konfigurerats från bladet Appregistreringar i administrationscentret för Microsoft Entra. För företagsprogram följer du vägledningen konfigurera saml-tokenkryptering för företagsprogram.

Krypteringscertifikat lagras på programobjektet i Microsoft Entra-ID med en encrypt användningstagg. Du kan konfigurera flera krypteringscertifikat och det som är aktivt för att kryptera token identifieras av attributet tokenEncryptionKeyID .

Du behöver programmets objekt-ID för att konfigurera tokenkryptering med hjälp av Microsoft Graph API eller PowerShell. Du hittar det här värdet programmatiskt eller genom att gå till programmets egenskapssida i administrationscentret för Microsoft Entra och notera värdet objekt-ID.

När du konfigurerar en keyCredential med hjälp av Graph, PowerShell eller i programmanifestet bör du generera ett GUID som ska användas för keyId.

Följ dessa steg för att konfigurera tokenkryptering för en programregistrering:

Portal

1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

2. Bläddra till Identitetsprogram>> Appregistreringar> Alla program.

3. Ange namnet på det befintliga programmet i sökrutan och välj sedan programmet i sökresultaten.

4. På programmets sida väljer du Manifest för att redigera programmanifestet.

   I följande exempel visas ett programmanifest som konfigurerats med två krypteringscertifikat och med det andra valt som aktivt med hjälp av tokenEncryptionKeyId.

   { 
     "id": "3cca40e2-367e-45a5-8440-ed94edd6cc35",
     "accessTokenAcceptedVersion": null,
     "allowPublicClient": false,
     "appId": "cb2df8fb-63c4-4c35-bba5-3d659dd81bf1",
     "appRoles": [],
     "oauth2AllowUrlPathMatching": false,
     "createdDateTime": "2017-12-15T02:10:56Z",
     "groupMembershipClaims": "SecurityGroup",
     "informationalUrls": { 
        "termsOfService": null, 
        "support": null, 
        "privacy": null, 
        "marketing": null 
     },
     "identifierUris": [ 
       "https://testapp"
     ],
     "keyCredentials": [ 
       { 
         "customKeyIdentifier": "Tog/O1Hv1LtdsbPU5nPphbMduD=", 
         "endDate": "2039-12-31T23:59:59Z", 
         "keyId": "8be4cb65-59d9-404a-a6f5-3d3fb4030351", 
         "startDate": "2018-10-25T21:42:18Z", 
         "type": "AsymmetricX509Cert", 
         "usage": "Encrypt", 
         "value": <Base64EncodedKeyFile> 
         "displayName": "CN=SAMLEncryptTest" 
       }, 
       {
         "customKeyIdentifier": "U5nPphbMduDmr3c9Q3p0msqp6eEI=",
         "endDate": "2039-12-31T23:59:59Z", 
         "keyId": "6b9c6e80-d251-43f3-9910-9f1f0be2e851",
         "startDate": "2018-10-25T21:42:18Z", 
         "type": "AsymmetricX509Cert", 
         "usage": "Encrypt", 
         "value": <Base64EncodedKeyFile> 
         "displayName": "CN=SAMLEncryptTest2" 
       } 
     ], 
     "knownClientApplications": [], 
     "logoUrl": null, 
     "logoutUrl": null, 
     "name": "Test SAML Application", 
     "oauth2AllowIdTokenImplicitFlow": true, 
     "oauth2AllowImplicitFlow": false, 
     "oauth2Permissions": [], 
     "oauth2RequirePostResponse": false, 
     "orgRestrictions": [], 
     "parentalControlSettings": { 
        "countriesBlockedForMinors": [], 
        "legalAgeGroupRule": "Allow" 
       }, 
     "passwordCredentials": [], 
     "preAuthorizedApplications": [], 
     "publisherDomain": null, 
     "replyUrlsWithType": [], 
     "requiredResourceAccess": [], 
     "samlMetadataUrl": null, 
     "signInUrl": "https://127.0.0.1:444/applications/default.aspx?metadata=customappsso|ISV9.1|primary|z" 
     "signInAudience": "AzureADMyOrg",
     "tags": [], 
     "tokenEncryptionKeyId": "6b9c6e80-d251-43f3-9910-9f1f0be2e851" 
   }  
   

Azure AD PowerShell

1. Använd den senaste Azure AD PowerShell-modulen för att ansluta till din klientorganisation. Du måste logga in som minst molnprogramadministratör.

2. Ange inställningar för tokenkryptering med kommandot Set-AzureApplication.

   Set-AzureADApplication -ObjectId <ApplicationObjectId> -KeyCredentials "<KeyCredentialsObject>"  -TokenEncryptionKeyId <keyID>
   

3. Läs inställningarna för tokenkryptering med hjälp av följande kommandon.

   $app=Get-AzureADApplication -ObjectId <ApplicationObjectId>
   $app.KeyCredentials
   $app.TokenEncryptionKeyId
   

Microsoft Graph PowerShell

1. Använd Microsoft Graph PowerShell-modulen för att ansluta till din klientorganisation. Du måste logga in som minst molnprogramadministratör.

2. Ange inställningar för tokenkryptering med kommandot Update-MgApplication.

   
   Update-MgApplication -ApplicationId <ApplicationObjectId> -KeyCredentials "<KeyCredentialsObject>"  -TokenEncryptionKeyId <keyID>
   
   

3. Läs inställningarna för tokenkryptering med hjälp av följande kommandon.

   
   $app=Get-MgApplication -ApplicationId <ApplicationObjectId>
   
   $app.KeyCredentials
   
   $app.TokenEncryptionKeyId
   
   

Microsoft Graph

1. Uppdatera programmets keyCredentials med ett X.509-certifikat för kryptering. I följande exempel visas en Microsoft Graph JSON-nyttolast med en samling nyckelautentiseringsuppgifter som är associerade med programmet.

   PATCH https://graph.microsoft.com/beta/applications/<application objectid>
   
   { 
      "keyCredentials":[ 
         { 
            "type":"AsymmetricX509Cert","usage":"Encrypt",
            "keyId":"fdf8c5d8-f727-43fd-beaf-0f1521cf3d35",    (Use a GUID generator to obtain a value for the keyId)
            "key": "MIICADCCAW2gAwIBAgIQ5j9/b+n2Q4pDvQUCcy3…"  (Base64Encoded .cer file)
         }
       ]
   }
   

2. Identifiera krypteringscertifikatet som är aktivt för kryptering av token. I följande exempel visas en Microsoft Graph JSON-nyttolast med elementet tokenEncryptionKeyId . Elementet tokenEncryptionKeyId anger nyckel-ID för en offentlig nyckel från keyCredentials samlingen.

   PATCH https://graph.microsoft.com/beta/applications/<application objectid> 
   
   { 
      "tokenEncryptionKeyId":"fdf8c5d8-f727-43fd-beaf-0f1521cf3d35" (The keyId of the keyCredentials entry to use)
   }
   

Nästa steg

• Ta reda på hur Microsoft Entra ID använder SAML-protokollet
• Lär dig formatet, säkerhetsegenskaperna och innehållet i SAML-token i Microsoft Entra-ID