Öğretici: Federasyon çoklu oturum açma için sertifikaları yönetme

  • Makale

Bu makalede, Hizmet olarak yazılım (SaaS) uygulamalarınızda federasyon çoklu oturum açma (SSO) oluşturmak için Microsoft Entra ID tarafından oluşturulan sertifikalarla ilgili yaygın soruları ve bilgileri ele alacağız. Microsoft Entra uygulama galerisinden veya galeri dışı bir uygulama şablonu kullanarak uygulama ekleyin. Federasyon SSO seçeneğini kullanarak uygulamayı yapılandırın.

Bu öğretici yalnızca Güvenlik Onaylama İşaretleme Dili (SAML) federasyonu aracılığıyla Microsoft Entra SSO kullanacak şekilde yapılandırılmış uygulamalarla ilgilidir.

Bu öğreticide, uygulamanın yöneticisi şunların nasıl yapılacağını öğrenir:

  • Galeri ve galeri dışı uygulamalar için sertifika oluşturma
  • Sertifikaların son kullanma tarihlerini özelleştirme
  • Sertifika son kullanma tarihleri için e-posta bildirim adresi ekleme
  • Sertifikaları yenileme

Önkoşullar

  • Etkin aboneliği olan bir Azure hesabı. Henüz bir hesabınız yoksa ücretsiz bir hesap oluşturun.
  • Aşağıdaki rollerden biri: Global Yönetici istrator, Privileged Role Yönetici istrator, Cloud Application Yönetici istrator veya Application Yönetici istrator.
  • Microsoft Entra kiracınızda yapılandırılmış bir kurumsal uygulama.

Galeriden yeni bir uygulama eklediğinizde ve SAML tabanlı oturum açmayı yapılandırdığınızda (uygulamaya genel bakış sayfasından Çoklu oturum açma>SAML'yi seçerek), Microsoft Entra ID uygulama için üç yıl geçerli olan otomatik olarak imzalanan bir sertifika oluşturur. Etkin sertifikayı güvenlik sertifikası (.cer) dosyası olarak indirmek için o sayfaya (SAML tabanlı oturum açma) dönün ve SAML İmzalama Sertifikası başlığında bir indirme bağlantısı seçin. Ham (ikili) sertifika veya Temel 64 (temel 64 kodlanmış metin) sertifikası arasında seçim yapabilirsiniz. Galeri uygulamaları için bu bölümde, uygulamanın gereksinimine bağlı olarak sertifikayı federasyon meta veri XML'i ( .xml dosyası) olarak indirme bağlantısı da gösterebilirsiniz.

SamL İmzalama Sertifikası başlığının SAML İmzalama Sertifikası sayfasını görüntüleyen Düzenle simgesini (kalem) seçerek etkin veya etkin olmayan bir sertifikayı da indirebilirsiniz. İndirmek istediğiniz sertifikanın yanındaki üç noktayı (...) ve ardından istediğiniz sertifika biçimini seçin. Sertifikayı gizlilikle geliştirilmiş posta (PEM) biçiminde indirmek için başka bir seçeneğiniz vardır. Bu biçim Base64 ile aynıdır, ancak Windows'ta sertifika biçimi olarak tanınmayan . pem dosya adı uzantısıyla aynıdır.

SAML signing certificate download options (active and inactive).

Federasyon sertifikanızın son kullanma tarihini özelleştirme ve bunu yeni sertifikaya geçirme

Varsayılan olarak, SAML çoklu oturum açma yapılandırması sırasında otomatik olarak oluşturduğunuzda Azure bir sertifikanın süresinin üç yıl sonra dolacağı şekilde yapılandırılır. Bir sertifikayı kaydettikten sonra tarihi değiştiremediğiniz için şunları yapın:

  1. İstenen tarihe sahip yeni bir sertifika oluşturun.
  2. Yeni sertifikayı kaydedin.
  3. Yeni sertifikayı doğru biçimde indirin.
  4. Yeni sertifikayı uygulamaya yükleyin.
  5. Yeni sertifikayı Microsoft Entra yönetim merkezinde etkin hale getirin.

Aşağıdaki iki bölüm bu adımları gerçekleştirmenize yardımcı olur.

Yeni sertifika oluşturma

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

İlk olarak yeni sertifikayı farklı bir son kullanma tarihiyle oluşturun ve kaydedin:

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.
  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Tüm uygulamalar'a göz atın.
  3. Arama kutusuna mevcut uygulamanın adını girin ve ardından arama sonuçlarından uygulamayı seçin.
  4. Yönet bölümünde Çoklu oturum açma'yı seçin.
  5. Çoklu oturum açma yöntemi seçin sayfası görüntülenirse SAML'yi seçin.
  6. SAML ile Çoklu Oturum Açmayı Ayarla sayfasında SAML İmzalama Sertifikası başlığını bulun ve Düzenle simgesini (kalem) seçin. Her sertifikanın durumunu (Etkin veya Etkin Değil), son kullanma tarihini ve parmak izini (karma dize) görüntüleyen SAML İmzalama Sertifikası sayfası görüntülenir.
  7. Yeni Sertifika'ya tıklayın. Sertifika listesinin altında, son kullanma tarihinin varsayılan olarak geçerli tarihten tam olarak üç yıl sonraya ayarlandığı yeni bir satır görüntülenir. (Değişiklikleriniz henüz kaydedilmediğinden, son kullanma tarihini yine de değiştirebilirsiniz.)
  8. Yeni sertifika satırında, sona erme tarihi sütununun üzerine gelin ve Tarih Seç simgesini (takvim) seçin. Yeni satırın geçerli son kullanma tarihinin bir ayın günlerini görüntüleyen bir takvim denetimi görüntülenir.
  9. Yeni bir tarih ayarlamak için takvim denetimini kullanın. Geçerli tarih ile geçerli tarihten sonraki üç yıl arasında herhangi bir tarih ayarlayabilirsiniz.
  10. Kaydet'i seçin. Yeni sertifika artık Etkin Değil durumu, seçtiğiniz son kullanma tarihi ve parmak izi ile görüntülenir.

    Not

    Zaten süresi dolmuş bir sertifikanız varsa ve yeni bir sertifika oluşturduğunuzda, henüz etkinleştirmemiş olsanız bile yeni sertifika belirteçleri imzalamak için dikkate alınır.

  11. SAML ile Çoklu Oturum Açmayı Ayarla sayfasına dönmek için X işaretini seçin.

Sertifikayı karşıya yükleme ve etkinleştirme

Ardından, yeni sertifikayı doğru biçimde indirin, uygulamaya yükleyin ve Microsoft Entra Id'de etkin hale getirin:

  1. Aşağıdaki seçeneklerden biriyle uygulama için daha fazla SAML oturum açma yapılandırma yönergelerini görüntüleyin.

    • Ayrı bir tarayıcı penceresinde veya sekmesinde görüntülemek için yapılandırma kılavuzu bağlantısını seçin.
    • Ayar başlığına göz atın ve kenar çubuğunda görüntülemek için Adım adım yönergeleri görüntüle'yi seçin.

  2. Yönergelerde, sertifika yükleme için gereken kodlama biçimini not edin.

  3. Daha önce galeri ve galeri dışı uygulamalar için otomatik olarak oluşturulan sertifika bölümündeki yönergeleri izleyin. Bu adım, sertifikayı uygulama tarafından karşıya yüklemek için gereken kodlama biçiminde indirir.

  4. Yeni sertifikaya geçiş yapmak istediğinizde SAML İmzalama Sertifikası sayfasına dönün ve yeni kaydedilen sertifika satırında üç noktayı (...) seçin ve Sertifikayı etkin yap'ı seçin. Yeni sertifikanın durumu Etkin olarak değişir ve daha önce etkin olan sertifika Etkin Değil durumuna geçer.

  5. SAML imzalama sertifikasını doğru kodlama biçiminde karşıya yükleyebilmeniz için, daha önce görüntülediğiniz uygulamanın SAML oturum açma yapılandırma yönergelerini takip edin.

Uygulamanızda sertifika süre sonu doğrulaması yoksa ve sertifika hem Microsoft Entra Id hem de uygulamanızla eşleşiyorsa süresi dolmasına rağmen erişilebilir durumda kalır. Uygulamanızın sertifika son kullanma tarihini doğrulayabildiğinden emin olun.

Sertifika süre sonu doğrulamasını devre dışı tutmayı planlıyorsanız, sertifika geçişi için zamanlanmış bakım pencerenize kadar yeni sertifika oluşturulmamalıdır. Uygulamada hem süresi dolmuş hem de etkin olmayan geçerli bir sertifika varsa, Microsoft Entra Id otomatik olarak geçerli sertifikayı kullanır. Bu durumda kullanıcılar uygulama kesintisi yaşayabilir.

Sertifika süre sonu için e-posta bildirim adresleri ekleme

Microsoft Entra ID, SAML sertifikasının süresi dolmadan 60, 30 ve 7 gün önce e-posta bildirimi gönderir. Bildirimleri alacak birden fazla e-posta adresi ekleyebilirsiniz. Bir veya daha fazla e-posta adresi belirtmek için bildirimlerin şu adrese gönderilmesini istersiniz:

  1. SAML İmzalama Sertifikası sayfasında bildirim e-posta adresleri başlığına gidin. Varsayılan olarak, bu başlık yalnızca uygulamayı ekleyen yöneticinin e-posta adresini kullanır.
  2. Son e-posta adresinin altına sertifikanın süre sonu bildirimini alması gereken e-posta adresini yazın ve Enter tuşuna basın.
  3. Eklemek istediğiniz her e-posta adresi için önceki adımı yineleyin.
  4. Silmek istediğiniz her e-posta adresi için e-posta adresinin yanındaki Sil simgesini (çöp kutusu) seçin.
  5. Kaydet'i seçin.

Bildirim listesine en fazla beş e-posta adresi ekleyebilirsiniz (uygulamayı ekleyen yöneticinin e-posta adresi dahil). Daha fazla kişiye bildirim almanız gerekiyorsa dağıtım listesi e-postalarını kullanın.

Bildirim e-postasını uygulamasından azure-noreply@microsoft.comalırsınız. E-postanın istenmeyen posta konumunuza gitmemesi için bu e-postayı kişilerinize ekleyin.

Süresi yakında dolacak şekilde ayarlanmış bir sertifikayı yenileme

Sertifikanın süresi dolmak üzereyse, kullanıcılarınız için önemli bir kapalı kalma süresine neden olmayan bir yordam kullanarak sertifikayı yenileyebilirsiniz. Süresi dolan sertifikayı yenilemek için:

  1. Daha önce varolan sertifikayla çakışan bir tarih kullanarak Yeni sertifika oluşturma bölümündeki yönergeleri izleyin. Bu tarih, sertifika süre sonunun neden olduğu kapalı kalma süresini sınırlar.

  2. Uygulama otomatik olarak bir sertifikayı devredebiliyorsa, aşağıdaki adımları izleyerek yeni sertifikayı etkin olarak ayarlayın.

    1. SAML İmzalama Sertifikası sayfasına geri dönün.
    2. Yeni kaydedilen sertifika satırında üç noktayı (...) ve ardından Sertifikayı etkin yap'ı seçin.
    3. Sonraki iki adımı atlayın.

  3. Uygulama bir kerede yalnızca bir sertifika işleyebilirse, sonraki adımı gerçekleştirmek için bir kapalı kalma süresi seçin. (Aksi takdirde, uygulama yeni sertifikayı otomatik olarak almazsa ancak birden fazla imzalama sertifikası işleyebilirse, sonraki adımı istediğiniz zaman gerçekleştirebilirsiniz).

  4. Eski sertifikanın süresi dolmadan önce önceki Sertifikayı karşıya yükleme ve etkinleştirme bölümündeki yönergeleri izleyin. Microsoft Entra Id'de yeni bir sertifika güncelleştirildikten sonra uygulama sertifikanız güncelleştirilmezse, uygulamanızdaki kimlik doğrulaması başarısız olabilir.

  5. Sertifikanın doğru çalıştığından emin olmak için uygulamada oturum açın.

Uygulamanızda sertifika süre sonu doğrulaması yoksa ve sertifika hem Microsoft Entra Id hem de uygulamanızla eşleşiyorsa süresi dolmasına rağmen erişilebilir durumda kalır. Uygulamanızın sertifika süre sonunu doğrulayaadığından emin olun.