SAML 令牌中的進階憑證簽署選項
今天,Microsoft Entra ID 支援 Microsoft Entra App Gallery 中數千個預先整合的應用程式。 超過 500 個應用程式支援單一登錄,方法是使用 安全性判斷提示標記語言 (SAML) 2.0 通訊協定,例如 NetSuite 應用程式。 當客戶使用 SAML 透過 Microsoft Entra 識別碼向應用程式進行驗證時,Microsoft Entra ID 會將令牌傳送至應用程式(透過 HTTP POST)。 然後,應用程式會驗證並使用令牌來登入客戶,而不是提示輸入使用者名稱和密碼。 這些 SAML 令牌會以 Microsoft Entra ID 和特定標準演算法所產生的唯一憑證進行簽署。
Microsoft Entra ID 會使用資源庫應用程式的一些預設設定。 預設值會根據應用程式的需求來設定。
在 Microsoft Entra ID 中,您可以設定憑證簽署選項和憑證簽署演算法。
憑證簽署選項
Microsoft Entra ID 支援三個憑證簽署選項:
簽署 SAML 判斷提示。 這個預設選項會針對大部分的資源庫應用程式設定。 如果您選取此選項,Microsoft Entra ID 作為識別提供者 (IdP) 會使用 應用程式的 X.509 憑證簽署 SAML 判斷提示和憑證。
簽署 SAML 回應。 如果您選取此選項,Microsoft Entra ID 作為 IdP 會使用應用程式的 X.509 憑證簽署 SAML 回應。
簽署 SAML 回應和判斷提示。 如果您選取此選項,Microsoft Entra ID 作為 IdP 會使用應用程式的 X.509 憑證簽署整個 SAML 令牌。
憑證簽署演算法
Microsoft Entra ID 支援兩種簽署演算法或安全哈希演算法 (SHA),以簽署 SAML 回應:
SHA-256。 Microsoft Entra ID 會使用此預設演算法來簽署 SAML 回應。 這是最新的演算法,比 SHA-1 更安全。 大部分的應用程式都支援 SHA-256 演算法。 如果應用程式僅支援 SHA-1 作為簽署演算法,您可以加以變更。 否則,建議您使用 SHA-256 演演算法簽署 SAML 回應。
SHA-1。 此演算法較舊,且被視為比SHA-256不安全。 如果應用程式只支援此簽署演算法,您可以在 [ 簽署演算法 ] 下拉式清單中選取此選項。 Microsoft Entra ID 接著會使用 SHA-1 演算法簽署 SAML 回應。
必要條件
若要變更應用程式的 SAML 憑證簽署選項和憑證簽署演算法,您需要:
- Microsoft Entra 使用者帳戶。 如果您還沒有帳戶,您可以 免費建立帳戶。
- 下列其中一個角色:全域管理員、雲端應用程式管理員、應用程式管理員或服務主體的擁有者。
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
變更憑證簽署選項和簽署演算法
若要變更應用程式的 SAML 憑證簽署選項和憑證簽署演算法:
以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別應用程式>企業應用程式>] [所有應用程式]。
在搜尋方塊中輸入現有應用程式的名稱,然後從搜尋結果中選取應用程式。 在此範例中,您會使用 Salesforce 應用程式。
接下來,變更該應用程式 SAML 令牌中的憑證簽署選項:
在應用程式概觀頁面的左窗格中,選取 [單一登錄]。
如果 [使用 SAML 設定單一登錄] 頁面出現,請移至步驟 5。
如果 [使用 SAML 設定單一登錄] 頁面未出現,請選取 [變更單一登錄模式]。
在 [ 選取單一登錄方法] 頁面中,選取 [SAML]。 如果 SAML 無法使用,則應用程式不支援 SAML,而且您可以忽略此程式和文章的其餘部分。
在 [ 使用 SAML 設定單一登錄] 頁面中,尋找 [SAML 簽署憑證 ] 標題,然後選取 [編輯 ] 圖示 (鉛筆)。 [ SAML 簽署憑證 ] 頁面隨即出現。
在 [ 簽署選項 ] 下拉式清單中,選擇 [ 簽署 SAML 回應]、 [簽署 SAML 判斷提示] 或 [簽署 SAML 回應和判斷提示]。 這些選項的描述會出現在本文稍早的憑證簽署選項中。
在 [ 簽署演算法 ] 下拉式清單中,選擇 [SHA-1 ] 或 [SHA-256]。 這些選項的描述會出現在本文稍早的 一 節中。
如果您滿意您的選擇,請選取 [ 儲存 ] 以套用新的 SAML 簽署憑證設定。 否則,請選取 X 以捨棄變更。