Dela via


Framtvinga signerade SAML-autentiseringsbegäranden

Verifiering av SAML-begärandesignatur är en funktion som validerar signaturen för signerade autentiseringsbegäranden. Nu kan en appadministratör aktivera och inaktivera tillämpningen av signerade begäranden och ladda upp de offentliga nycklar som ska användas för valideringen.

Om det är aktiverat validerar Microsoft Entra-ID begäranden mot de offentliga nycklar som konfigurerats. Det finns några scenarier där autentiseringsbegäranden kan misslyckas:

  • Protokoll tillåts inte för signerade begäranden. Endast SAML-protokoll stöds.
  • Begäran är inte signerad, men verifiering är aktiverad.
  • Inget verifieringscertifikat har konfigurerats för verifiering av SAML-begärandesignatur. Mer information om certifikatkraven finns i Alternativ för certifikatsignering.
  • Signaturverifieringen misslyckades.
  • Nyckelidentifieraren i begäran saknas och två senast tillagda certifikat matchar inte begärandesignaturen.
  • Begäran signerad men algoritmen saknas.
  • Ingen certifikatmatchning med tillhandahållen nyckelidentifierare.
  • Signaturalgoritmen tillåts inte. Endast RSA-SHA256 stöds.

Kommentar

Ett Signature element i AuthnRequest element är valfritt. Om Require Verification certificates det inte är markerat verifierar inte Microsoft Entra-ID:t signerade autentiseringsbegäranden om en signatur finns. Begärandeverifiering tillhandahålls genom att endast svara på registrerade URL:er för konsumenttjänsten för försäkran.

Om Require Verification certificates är markerat fungerar SAML-begärandesignaturverifiering endast för SP-initierade (tjänstprovider/förlitande part initierade) autentiseringsbegäranden. Endast det program som konfigurerats av tjänstleverantören har åtkomst till de privata och offentliga nycklarna för signering av inkommande SAML-autentiseringsbegäranden från programmet. Den offentliga nyckeln ska laddas upp för att tillåta verifiering av begäran, i vilket fall Microsoft Entra-ID endast har åtkomst till den offentliga nyckeln.

Aktivering Require Verification certificates tillåter inte att IDP-initierade autentiseringsbegäranden (till exempel SSO-testfunktionen, MyApps- eller M365-appstartsprogrammet) verifieras eftersom IDP:t inte har samma privata nycklar som det registrerade programmet.

Förutsättningar

För att konfigurera verifiering av SAML-begärandesignatur behöver du:

  • Ett Microsoft Entra-användarkonto. Om du inte redan har ett kan du skapa ett konto kostnadsfritt.
  • En av följande roller: Molnprogramadministratör, programadministratör eller ägare av tjänstens huvudnamn.

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Konfigurera verifiering av SAML-begärandesignatur

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identity>Applications Enterprise-program>>Alla program.

  3. Ange namnet på det befintliga programmet i sökrutan och välj sedan programmet i sökresultaten.

  4. Gå till Enkel inloggning.

  5. På skärmen Enkel inloggning rullar du till underavsnittet Verifieringscertifikat under SAML-certifikat.

    Skärmbild av verifieringscertifikat under SAML-certifikat på sidan Företagsprogram.

  6. Välj Redigera.

  7. I det nya fönstret kan du aktivera verifiering av signerade begäranden och välja svag algoritmverifiering om ditt program fortfarande använder RSA-SHA1 för att signera autentiseringsbegäranden.

  8. Om du vill aktivera verifiering av signerade begäranden väljer du Kräv verifieringscertifikat och laddar upp en offentlig verifieringsnyckel som matchar den privata nyckel som används för att signera begäran.

    Skärmbild av kräv verifieringscertifikat på sidan Företagsprogram.

  9. När du har laddat upp verifieringscertifikatet väljer du Spara.

  10. När verifieringen av signerade begäranden är aktiverad inaktiveras testupplevelsen eftersom tjänstleverantören måste signera begäran.

    Skärmbild av att testa inaktiverad varning när signerade begäranden aktiverades på sidan Företagsprogram.

  11. Om du vill se den aktuella konfigurationen av ett företagsprogram kan du navigera till skärmen Enkel inloggning och se sammanfattningen av konfigurationen under SAML-certifikat. Där kan du se om verifieringen av signerade begäranden är aktiverad och antalet aktiva och utgångna verifieringscertifikat.

    Skärmbild av konfigurationen av företagsprogram på skärmen för enkel inloggning.

Nästa steg