SAML belirtecinde gelişmiş sertifika imzalama seçenekleri
Bugün Microsoft Entra Id, Microsoft Entra Uygulama Galerisi'nde binlerce önceden tümlenmiş uygulamayı destekler. Uygulamaların 500'ün üzerinde, NetSuite uygulaması gibi Güvenlik Onaylama İşaretleme Dili (SAML) 2.0 protokolünün kullanılmasıyla çoklu oturum açmayı destekler. Müşteri SAML kullanarak Microsoft Entra Id aracılığıyla bir uygulamada kimlik doğrulaması yaptığı zaman, Microsoft Entra Id uygulamaya bir belirteç gönderir (HTTP POST aracılığıyla). Uygulama daha sonra bir kullanıcı adı ve parola istemde yerine müşteride oturum açmak için belirteci doğrular ve kullanır. Bu SAML belirteçleri, Microsoft Entra Kimliği'nde ve belirli standart algoritmalar tarafından oluşturulan benzersiz sertifikayla imzalar.
Microsoft Entra Id, galeri uygulamaları için bazı varsayılan ayarları kullanır. Varsayılan değerler, uygulamanın gereksinimlerine göre ayarlanır.
Microsoft Entra Id'de sertifika imzalama seçeneklerini ve sertifika imzalama algoritmasını ayarlayabilirsiniz.
Sertifika imzalama seçenekleri
Microsoft Entra ID üç sertifika imzalama seçeneğini destekler:
SAML onaylamasını imzalayın. Bu varsayılan seçenek, galeri uygulamalarının çoğu için ayarlanır. Bu seçeneği seçerseniz, Kimlik Sağlayıcısı (IdP) olarak Microsoft Entra Id, SAML onayını ve sertifikasını uygulamanın X.509 sertifikasıyla imzalar.
SAML yanıtınızı imzalayın. Bu seçeneği seçerseniz, IdP olarak Microsoft Entra Id, SAML yanıtını uygulamanın X.509 sertifikasıyla imzalar.
SAML yanıt ve onaylamayı imzalayın. Bu seçeneği seçerseniz, IdP olarak Microsoft Entra Id, SAML belirtecinin tamamını uygulamanın X.509 sertifikasıyla imzalar.
Sertifika imzalama algoritmaları
Microsoft Entra ID, SAML yanıtını imzalamak için iki imzalama algoritmasını veya güvenli karma algoritmaları (SSA) destekler:
SHA-256. Microsoft Entra Id, SAML yanıtını imzalamak için bu varsayılan algoritmayı kullanır. En yeni algoritmadır ve SHA-1'den daha güvenlidir. Uygulamaların çoğu SHA-256 algoritmasını destekler. Bir uygulama imzalama algoritması olarak yalnızca SHA-1'i destekliyorsa, bunu değiştirebilirsiniz. Aksi takdirde, SAML yanıtını imzalamak için SHA-256 algoritmasını kullanmanızı öneririz.
SHA-1. Bu algoritma eskidir ve SHA-256'dan daha az güvenli olarak değerlendirilir. Bir uygulama yalnızca bu imzalama algoritmasını destekliyorsa, İmzalama Algoritması açılan listesinde bu seçeneği belirleyebilirsiniz. Microsoft Entra ID daha sonra SAML yanıtını SHA-1 algoritmasıyla imzalar.
Önkoşullar
Bir uygulamanın SAML sertifika imzalama seçeneklerini ve sertifika imzalama algoritmasını değiştirmek için şunları yapmanız gerekir:
- Microsoft Entra kullanıcı hesabı. Henüz bir hesabınız yoksa ücretsiz hesap oluşturabilirsiniz.
- Şu rollerden biri: Genel Yönetici, Bulut Uygulaması Yöneticisi, Uygulama Yöneticisi veya hizmet sorumlusu sahibi.
İpucu
Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.
Sertifika imzalama seçeneklerini ve imzalama algoritmasını değiştirme
Bir uygulamanın SAML sertifika imzalama seçeneklerini ve sertifika imzalama algoritmasını değiştirmek için:
Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
Kimlik>Uygulamaları>Kurumsal uygulamaları>Tüm uygulamalar'a göz atın.
Arama kutusuna mevcut uygulamanın adını girin ve ardından arama sonuçlarından uygulamayı seçin. Bu örnekte Salesforce uygulamasını kullanırsınız.
Ardından, o uygulamanın SAML belirtecindeki sertifika imzalama seçeneklerini değiştirin:
Uygulamaya genel bakış sayfasının sol bölmesinde Çoklu oturum açma'yı seçin.
SAML ile Çoklu Oturum Açmayı Ayarla sayfası görüntülenirse 5. adıma gidin.
SAML ile Çoklu Oturum Açmayı Ayarla sayfası görünmüyorsa Çoklu oturum açma modlarını değiştir'i seçin.
Çoklu oturum açma yöntemi seçin sayfasında SAML'yi seçin. SAML kullanılamıyorsa, uygulama SAML'yi desteklemez ve bu yordamın ve makalenin geri kalanını yoksayabilirsiniz.
SAML ile Çoklu Oturum Açmayı Ayarla sayfasında SAML İmzalama Sertifikası başlığını bulun ve Düzenle simgesini (kalem) seçin. SAML İmzalama Sertifikası sayfası görüntülenir.
İmzalama Seçeneği açılan listesinde SAML yanıtını imzala, SAML onayını imzala veya SAML yanıtını ve onayını imzala'yı seçin. Bu seçeneklerin açıklamaları, bu makalenin önceki bölümlerinde Sertifika imzalama seçeneklerinde gösterilir.
İmzalama Algoritması açılan listesinde SHA-1 veya SHA-256'yı seçin. Bu seçeneklerin açıklamaları bu makalenin önceki bölümlerinde Sertifika imzalama algoritmaları bölümünde gösterilir.
Tercihlerinizden memnunsanız, yeni SAML imzalama sertifikası ayarlarını uygulamak için Kaydet'i seçin. Aksi takdirde, değişiklikleri atmak için X işaretini seçin.