İmzalı SAML kimlik doğrulama isteklerini zorunlu kılma
SAML İstek İmzası Doğrulaması, imzalı kimlik doğrulama isteklerinin imzasını doğrulayan bir işlevdir. Uygulama Yöneticisi artık imzalı isteklerin uygulanmasını etkinleştirebilir ve devre dışı bırakabilir ve doğrulamayı yapmak için kullanılması gereken ortak anahtarları karşıya yükleyebilir.
Etkinleştirildiyse Microsoft Entra Id, istekleri yapılandırılan ortak anahtarlara göre doğrular. Kimlik doğrulama isteklerinin başarısız olabileceği bazı senaryolar vardır:
- İmzalı istekler için protokole izin verilmiyor. Yalnızca SAML protokolü desteklenir.
- İstek imzalı değil, ancak doğrulama etkin.
- SAML isteği imza doğrulaması için yapılandırılmış doğrulama sertifikası yok. Sertifika gereksinimleri hakkında daha fazla bilgi için bkz . Sertifika imzalama seçenekleri.
- İmza doğrulaması başarısız oldu.
- İstekteki anahtar tanımlayıcısı eksik ve en son eklenen iki sertifika istek imzası ile eşleşmiyor.
- İstek imzalandı ancak algoritma eksik.
- Sağlanan anahtar tanımlayıcısıyla eşleşen sertifika yok.
- İmza algoritmasına izin verilmiyor. Yalnızca RSA-SHA256 desteklenir.
Not
Signature
Öğelerdeki AuthnRequest
bir öğe isteğe bağlıdır. İşaretlenmezse Require Verification certificates
Microsoft Entra Id, imza varsa imzalı kimlik doğrulama isteklerini doğrulamaz. İstek sahibi doğrulaması yalnızca kayıtlı Onay Tüketici Hizmeti URL'lerine yanıt vererek sağlanır.
İşaretlenirse
Require Verification certificates
, SAML İstek İmzası Doğrulaması yalnızca SP ile başlatılan (hizmet sağlayıcısı/bağlı olan taraf tarafından başlatılan) kimlik doğrulama istekleri için çalışır. Yalnızca hizmet sağlayıcısı tarafından yapılandırılan uygulama, uygulamadan gelen SAML Kimlik Doğrulama İsteklerini imzalamak için özel ve ortak anahtarlara erişebilir. İsteğin doğrulanmasına izin vermek için ortak anahtar karşıya yüklenmelidir; bu durumda Microsoft Entra Id yalnızca ortak anahtara erişebilir.
Require Verification certificates
IDP tarafından başlatılan kimlik doğrulama isteklerinin (SSO test özelliği, MyApps veya M365 uygulama başlatıcısı gibi) IDP'nin kayıtlı uygulamayla aynı özel anahtarlara sahip olmaması nedeniyle etkinleştirilmesine izin verilmeyecektir.
Önkoşullar
SAML istek imzası doğrulamasını yapılandırmak için şunları yapmanız gerekir:
- Microsoft Entra kullanıcı hesabı. Henüz bir hesabınız yoksa ücretsiz hesap oluşturabilirsiniz.
- Aşağıdaki rollerden biri: Bulut Uygulaması Yöneticisi, Uygulama Yöneticisi veya hizmet sorumlusunun sahibi.
İpucu
Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.
SAML İstek İmzası Doğrulamayı Yapılandırma
Microsoft Entra yönetim merkezinde en az Bir Bulut Uygulaması Yöneticisi olarak oturum açın.
Kimlik>Uygulamaları>Kurumsal uygulamaları>Tüm uygulamalar'a göz atın.
Arama kutusuna mevcut uygulamanın adını girin ve ardından arama sonuçlarından uygulamayı seçin.
Çoklu oturum açma'ya gidin.
Çoklu oturum açma ekranında, SAML Sertifikaları altında Doğrulama sertifikaları adlı alt bölüme kaydırın.
Düzenle'yi seçin.
Yeni bölmede, imzalı isteklerin doğrulanmasını etkinleştirebilir ve uygulamanızın kimlik doğrulama isteklerini imzalamak için hala RSA-SHA1 kullanması durumunda zayıf algoritma doğrulamasını kabul edebilirsiniz.
İmzalı isteklerin doğrulanmasını etkinleştirmek için Doğrulama sertifikaları gerektir'i seçin ve isteği imzalamak için kullanılan özel anahtarla eşleşen bir doğrulama ortak anahtarı yükleyin.
Doğrulama sertifikanızı karşıya yükledikten sonra Kaydet'i seçin.
İmzalı isteklerin doğrulaması etkinleştirildiğinde, hizmet sağlayıcısının isteği imzalaması gerektiğinden test deneyimi devre dışı bırakılır.
Bir kurumsal uygulamanın geçerli yapılandırmasını görmek istiyorsanız Çoklu Oturum Açma ekranına gidebilir ve SAML Sertifikaları altında yapılandırmanızın özetini görebilirsiniz. Burada, imzalı isteklerin doğrulanmasının etkinleştirilip etkinleştirilmediğini ve Etkin ve Süresi Dolan doğrulama sertifikalarının sayısını görebilirsiniz.
Sonraki adımlar
- Microsoft Entra ID'nin SAML protokollerini nasıl kullandığını öğrenin
- Microsoft Entra Id'de SAML belirteçlerinin biçimini, güvenlik özelliklerini ve içeriğini öğrenin