教學課程:管理同盟單一登錄的憑證

  • 發行項

在本文中,我們會討論與 Microsoft Entra ID 建立的憑證相關的常見問題和資訊,以建立軟體即服務 (SaaS) 應用程式的同盟單一登錄 (SSO)。 從 Microsoft Entra 應用連結庫或使用非資源庫應用程式範本新增應用程式。 使用同盟 SSO 選項設定應用程式。

本教學課程僅與設定為透過 安全性聲明標記語言 (SAML) 同盟使用 Microsoft Entra SSO 的應用程式相關。

在本教學課程中,應用程式的系統管理員會瞭解如何:

  • 產生資源庫和非資源庫應用程式的憑證
  • 自定義憑證的到期日
  • 新增憑證到期日的電子郵件通知位址
  • 更新憑證

必要條件

  • 具有有效訂用帳戶的 Azure 帳戶。 如果您還沒有帳戶, 請免費建立帳戶。
  • 下列其中一個角色:全域 管理員 istrator、Privileged Role 管理員 istrator、Cloud Application 管理員 istrator 或 Application 管理員 istrator。
  • 在您的 Microsoft Entra 租用戶中設定的企業應用程式。

當您從資源庫新增應用程式並設定 SAML 型登入時(從應用程式概觀頁面選取 [單一登錄>SAML] 時,Microsoft Entra ID 會為有效三年的應用程式產生自我簽署憑證。 若要將使用中憑證下載為安全性憑證(.cer)檔案,請返回該頁面(SAML 型登入),然後選取 [SAML 簽署憑證] 標題中的下載連結。 您可以選擇原始 (二進位) 憑證或 Base 64 (base 64 編碼文字) 憑證。 針對資源庫應用程式,本節也可能顯示鏈接,根據應用程式的需求,將憑證下載為同盟元數據 XML( .xml 檔案)。

您也可以選取 [SAML 簽署憑證] 標題的 [編輯] 圖示 (鉛筆),以顯示 [SAML 簽署憑證] 頁面,以下載作用中或非使用中的憑證。 選取您要下載之憑證旁邊的省略號 (...),然後選擇您想要的憑證格式。 您可以選擇使用隱私權增強郵件 (PEM) 格式下載憑證。 此格式與Base64相同,但擴展名 為 .pem ,在 Windows 中無法辨識為憑證格式。

SAML signing certificate download options (active and inactive).

自定義同盟憑證的到期日,並將其變換至新的憑證

根據預設,當您在 SAML 單一登錄設定期間自動建立憑證時,Azure 會將憑證設定為在三年後到期。 因為您無法在儲存憑證之後變更憑證的日期,因此您必須:

  1. 建立具有所需日期的新憑證。
  2. 儲存新的憑證。
  3. 以正確的格式下載新憑證。
  4. 將新的憑證上傳至應用程式。
  5. 讓新憑證在 Microsoft Entra 系統管理中心處於作用中狀態。

下列兩節可協助您執行這些步驟。

建立新的憑證

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

請先建立並儲存具有不同到期日的新憑證:

  1. 以至少雲端應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [身分>識別應用程式>企業應用程式>] [所有應用程式]。
  3. 在搜尋方塊中輸入現有應用程式的名稱,然後從搜尋結果中選取應用程式。
  4. 在 [ 管理] 區段底下,選取 [ 單一登錄]。
  5. 如果 [選取單一登錄方法] 頁面出現,請選取 [SAML]。
  6. 在 [ 使用 SAML 設定單一登錄] 頁面中,尋找 [SAML 簽署憑證 ] 標題,然後選取 [編輯 ] 圖示 (鉛筆)。 [ SAML 簽署憑證 ] 頁面隨即出現,其中顯示每個憑證的狀態 (作用 中或 使用中)、到期日和指紋 (哈希字串)。
  7. 選取 [ 新增憑證]。 憑證清單下方會出現新的數據列,到期日預設為目前日期后的三年。 (您的變更尚未儲存,因此您仍然可以修改到期日。
  8. 在新憑證數據列中,將滑鼠停留在到期日數據行上,然後選取 [選取 日期 ] 圖示 (行事曆)。 行事曆控件隨即出現,顯示新數據列目前到期日的月份天數。
  9. 使用行事歷控件來設定新的日期。 您可以設定目前日期與目前日期之後三年之間的任何日期。
  10. 選取 [儲存]。 新的憑證現在會出現狀態為 [非使用中]、您選擇的到期日,以及指紋。

    注意

    當您現有的憑證已過期,而且您產生新的憑證時,即使尚未啟用憑證,也會將新憑證視為簽署令牌。

  11. 選取 X 以傳回 [使用 SAML 設定單一登入] 頁面。

上傳並啟動憑證

接下來,以正確的格式下載新憑證,將其上傳至應用程式,並在 Microsoft Entra ID 中啟用:

  1. 使用下列其中一個選項,檢視應用程式的更多 SAML 登入設定指示。

    • 選取組 態指南 連結,以在不同的瀏覽器視窗或索引卷標中檢視。
    • 瀏覽至 設定 標題,然後選取 [檢視逐步指示 ] 以在提要檢視的提要欄位中檢視。

  2. 在指示中,記下憑證上傳所需的編碼格式。

  3. 請遵循稍早針對資源庫和非資源庫應用程式自動產生的憑證一節中的指示。 此步驟會以應用程式上傳所需的編碼格式下載憑證。

  4. 當您想要變換至新的憑證時,請返回 [SAML 簽署憑證 ] 頁面,然後在新儲存的憑證數據列中,選取省略號 (...) 並選取 [ 讓憑證成為使用中]。 新憑證的狀態會變更為 [作用中],而先前的作用中憑證會變更為 [非作用中] 狀態

  5. 繼續遵循您稍早顯示的 SAML 登入設定指示,以便以正確的編碼格式上傳 SAML 簽署憑證。

如果您的應用程式缺少憑證到期驗證,且憑證符合 Microsoft Entra ID 和您的應用程式,則即使過期,仍可存取它。 請確定您的應用程式可以驗證憑證的到期日。

如果您想要停用憑證到期驗證,則應該在憑證變換的排程維護期間之前建立新的憑證。 如果應用程式上同時存在過期和非作用中有效憑證,Microsoft Entra ID 會自動利用有效的憑證。 在此情況下,使用者可能會遇到應用程式中斷的情況。

新增憑證到期的電子郵件通知位址

Microsoft Entra ID 會在 SAML 憑證到期的 60 天、30 天和 7 天之前各傳送一則電子郵件通知。 您可以新增多個電子郵件地址來接收通知。 若要指定一或多個電子郵件位址,您想要將通知傳送到:

  1. 在 [ SAML 簽署憑證 ] 頁面中,移至 通知電子郵件地址 標題。 根據預設,此標題只會使用新增應用程式之系統管理員的電子郵件位址。
  2. 在最終電子郵件位址下方,輸入應接收憑證到期通知的電子郵件地址,然後按 Enter。
  3. 針對您想要新增的每個電子郵件地址重複上一個步驟。
  4. 針對您想要刪除的每個電子郵件地址,選取 電子郵件位址旁的 [刪除 ] 圖示 (垃圾箱)。
  5. 選取 [儲存]。

您可以將最多五個電子郵件位址新增至通知清單(包括新增應用程式之系統管理員的電子郵件位址)。 如果您需要更多人員收到通知,請使用通訊組清單電子郵件。

您會收到 來自 azure-noreply@microsoft.com的通知電子郵件。 若要避免電子郵件移至您的垃圾郵件位置,請將此電子郵件新增至您的聯繫人。

更新即將到期的憑證

如果憑證即將到期,您可以使用一個程式來更新它,這會導致用戶沒有重大停機時間。 若要更新過期的憑證:

  1. 使用與現有憑證重疊的日期,遵循稍早建立新憑證一節中的指示。 該日期會限制憑證到期所造成的停機時間。

  2. 如果應用程式可以自動變換憑證,請遵循下列步驟,將新的憑證設定為作用中。

    1. 返回 [SAML 簽署憑證] 頁面。
    2. 在新儲存的憑證數據列中,選取省略號 (...),然後選取 [ 讓憑證成為使用中]。
    3. 略過接下來的兩個步驟。

  3. 如果應用程式一次只能處理一個憑證,請挑選停機時間間隔來執行下一個步驟。 (否則,如果應用程式不會自動挑選新的憑證,但可以處理多個簽署憑證,您可以隨時執行下一個步驟。

  4. 在舊憑證到期之前,請遵循稍早上傳並啟用憑證一節中的指示。 如果您的應用程式憑證在 Microsoft Entra ID 中更新新的憑證之後未更新,則應用程式上的驗證可能會失敗。

  5. 登入應用程式以確定憑證正常運作。

如果您的應用程式缺少憑證到期驗證,且憑證符合 Microsoft Entra ID 和您的應用程式,則即使過期,仍可存取它。 請確定您的應用程式可以驗證憑證到期日。