Framtvinga signerade SAML-autentiseringsbegäranden
Verifiering av SAML-begärandesignatur är en funktion som validerar signaturen för signerade autentiseringsbegäranden. Nu kan en appadministratör aktivera och inaktivera tillämpningen av signerade begäranden och ladda upp de offentliga nycklar som ska användas för valideringen.
Om det är aktiverat validerar Microsoft Entra-ID begäranden mot de offentliga nycklar som konfigurerats. Det finns några scenarier där autentiseringsbegäranden kan misslyckas:
- Protokoll tillåts inte för signerade begäranden. Endast SAML-protokoll stöds.
- Begäran är inte signerad, men verifiering är aktiverad.
- Inget verifieringscertifikat har konfigurerats för verifiering av SAML-begärandesignatur. Mer information om certifikatkraven finns i Alternativ för certifikatsignering.
- Signaturverifieringen misslyckades.
- Nyckelidentifieraren i begäran saknas och två senast tillagda certifikat matchar inte begärandesignaturen.
- Begäran signerad men algoritmen saknas.
- Ingen certifikatmatchning med tillhandahållen nyckelidentifierare.
- Signaturalgoritmen tillåts inte. Endast RSA-SHA256 stöds.
Kommentar
Ett Signature
element i AuthnRequest
element är valfritt. Om Require Verification certificates
det inte är markerat verifierar inte Microsoft Entra-ID:t signerade autentiseringsbegäranden om en signatur finns. Begärandeverifiering tillhandahålls genom att endast svara på registrerade URL:er för konsumenttjänsten för försäkran.
Om
Require Verification certificates
är markerat fungerar SAML-begärandesignaturverifiering endast för SP-initierade (tjänstprovider/förlitande part initierade) autentiseringsbegäranden. Endast det program som konfigurerats av tjänstleverantören har åtkomst till de privata och offentliga nycklarna för signering av inkommande SAML-autentiseringsbegäranden från programmet. Den offentliga nyckeln ska laddas upp för att tillåta verifiering av begäran, i vilket fall Microsoft Entra-ID endast har åtkomst till den offentliga nyckeln.
Aktivering
Require Verification certificates
tillåter inte att IDP-initierade autentiseringsbegäranden (till exempel SSO-testfunktionen, MyApps- eller M365-appstartsprogrammet) verifieras eftersom IDP:t inte har samma privata nycklar som det registrerade programmet.
Förutsättningar
För att konfigurera verifiering av SAML-begärandesignatur behöver du:
- Ett Microsoft Entra-användarkonto. Om du inte redan har ett kan du skapa ett konto kostnadsfritt.
- En av följande roller: Molnprogramadministratör, programadministratör eller ägare av tjänstens huvudnamn.
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Konfigurera verifiering av SAML-begärandesignatur
Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
Bläddra till Identity>Applications Enterprise-program>>Alla program.
Ange namnet på det befintliga programmet i sökrutan och välj sedan programmet i sökresultaten.
Gå till Enkel inloggning.
På skärmen Enkel inloggning rullar du till underavsnittet Verifieringscertifikat under SAML-certifikat.
Välj Redigera.
I det nya fönstret kan du aktivera verifiering av signerade begäranden och välja svag algoritmverifiering om ditt program fortfarande använder RSA-SHA1 för att signera autentiseringsbegäranden.
Om du vill aktivera verifiering av signerade begäranden väljer du Kräv verifieringscertifikat och laddar upp en offentlig verifieringsnyckel som matchar den privata nyckel som används för att signera begäran.
När du har laddat upp verifieringscertifikatet väljer du Spara.
När verifieringen av signerade begäranden är aktiverad inaktiveras testupplevelsen eftersom tjänstleverantören måste signera begäran.
Om du vill se den aktuella konfigurationen av ett företagsprogram kan du navigera till skärmen Enkel inloggning och se sammanfattningen av konfigurationen under SAML-certifikat. Där kan du se om verifieringen av signerade begäranden är aktiverad och antalet aktiva och utgångna verifieringscertifikat.
Nästa steg
- Ta reda på hur Microsoft Entra ID använder SAML-protokollet
- Lär dig formatet, säkerhetsegenskaperna och innehållet i SAML-token i Microsoft Entra-ID