Aracılığıyla paylaş


İmzalı SAML kimlik doğrulama isteklerini zorunlu kılma

SAML İstek İmzası Doğrulaması, imzalı kimlik doğrulama isteklerinin imzasını doğrulayan bir işlevdir. Uygulama Yöneticisi artık imzalı isteklerin uygulanmasını etkinleştirebilir ve devre dışı bırakabilir ve doğrulamayı yapmak için kullanılması gereken ortak anahtarları karşıya yükleyebilir.

Etkinleştirildiyse Microsoft Entra Id, istekleri yapılandırılan ortak anahtarlara göre doğrular. Kimlik doğrulama isteklerinin başarısız olabileceği bazı senaryolar vardır:

  • İmzalı istekler için protokole izin verilmiyor. Yalnızca SAML protokolü desteklenir.
  • İstek imzalı değil, ancak doğrulama etkin.
  • SAML isteği imza doğrulaması için yapılandırılmış doğrulama sertifikası yok. Sertifika gereksinimleri hakkında daha fazla bilgi için bkz . Sertifika imzalama seçenekleri.
  • İmza doğrulaması başarısız oldu.
  • İstekteki anahtar tanımlayıcısı eksik ve en son eklenen iki sertifika istek imzası ile eşleşmiyor.
  • İstek imzalandı ancak algoritma eksik.
  • Sağlanan anahtar tanımlayıcısıyla eşleşen sertifika yok.
  • İmza algoritmasına izin verilmiyor. Yalnızca RSA-SHA256 desteklenir.

Not

Signature Öğelerdeki AuthnRequest bir öğe isteğe bağlıdır. İşaretlenmezse Require Verification certificates Microsoft Entra Id, imza varsa imzalı kimlik doğrulama isteklerini doğrulamaz. İstek sahibi doğrulaması yalnızca kayıtlı Onay Tüketici Hizmeti URL'lerine yanıt vererek sağlanır.

İşaretlenirse Require Verification certificates , SAML İstek İmzası Doğrulaması yalnızca SP ile başlatılan (hizmet sağlayıcısı/bağlı olan taraf tarafından başlatılan) kimlik doğrulama istekleri için çalışır. Yalnızca hizmet sağlayıcısı tarafından yapılandırılan uygulama, uygulamadan gelen SAML Kimlik Doğrulama İsteklerini imzalamak için özel ve ortak anahtarlara erişebilir. İsteğin doğrulanmasına izin vermek için ortak anahtar karşıya yüklenmelidir; bu durumda Microsoft Entra Id yalnızca ortak anahtara erişebilir.

Require Verification certificates IDP tarafından başlatılan kimlik doğrulama isteklerinin (SSO test özelliği, MyApps veya M365 uygulama başlatıcısı gibi) IDP'nin kayıtlı uygulamayla aynı özel anahtarlara sahip olmaması nedeniyle etkinleştirilmesine izin verilmeyecektir.

Önkoşullar

SAML istek imzası doğrulamasını yapılandırmak için şunları yapmanız gerekir:

  • Microsoft Entra kullanıcı hesabı. Henüz bir hesabınız yoksa ücretsiz hesap oluşturabilirsiniz.
  • Aşağıdaki rollerden biri: Bulut Uygulaması Yöneticisi, Uygulama Yöneticisi veya hizmet sorumlusunun sahibi.

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

SAML İstek İmzası Doğrulamayı Yapılandırma

  1. Microsoft Entra yönetim merkezinde en az Bir Bulut Uygulaması Yöneticisi olarak oturum açın.

  2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Tüm uygulamalar'a göz atın.

  3. Arama kutusuna mevcut uygulamanın adını girin ve ardından arama sonuçlarından uygulamayı seçin.

  4. Çoklu oturum açma'ya gidin.

  5. Çoklu oturum açma ekranında, SAML Sertifikaları altında Doğrulama sertifikaları adlı alt bölüme kaydırın.

    Kurumsal Uygulama sayfasındaki SAML Sertifikaları altındaki doğrulama sertifikalarının ekran görüntüsü.

  6. Düzenle'yi seçin.

  7. Yeni bölmede, imzalı isteklerin doğrulanmasını etkinleştirebilir ve uygulamanızın kimlik doğrulama isteklerini imzalamak için hala RSA-SHA1 kullanması durumunda zayıf algoritma doğrulamasını kabul edebilirsiniz.

  8. İmzalı isteklerin doğrulanmasını etkinleştirmek için Doğrulama sertifikaları gerektir'i seçin ve isteği imzalamak için kullanılan özel anahtarla eşleşen bir doğrulama ortak anahtarı yükleyin.

    Kurumsal Uygulamalar'da doğrulama sertifikaları gerektir sayfasının ekran görüntüsü.

  9. Doğrulama sertifikanızı karşıya yükledikten sonra Kaydet'i seçin.

  10. İmzalı isteklerin doğrulaması etkinleştirildiğinde, hizmet sağlayıcısının isteği imzalaması gerektiğinden test deneyimi devre dışı bırakılır.

    Kurumsal Uygulama sayfasında imzalı istekler etkinleştirildiğinde devre dışı bırakılmış uyarıyı test etme ekran görüntüsü.

  11. Bir kurumsal uygulamanın geçerli yapılandırmasını görmek istiyorsanız Çoklu Oturum Açma ekranına gidebilir ve SAML Sertifikaları altında yapılandırmanızın özetini görebilirsiniz. Burada, imzalı isteklerin doğrulanmasının etkinleştirilip etkinleştirilmediğini ve Etkin ve Süresi Dolan doğrulama sertifikalarının sayısını görebilirsiniz.

    Çoklu oturum açma ekranında kurumsal uygulama yapılandırmasının ekran görüntüsü.

Sonraki adımlar