教程:管理用于联合单一登录的证书

在本文中,我们将介绍 Microsoft Entra ID 创建的证书的常见问题和相关信息,这些证书旨在与服务型软件 (SaaS) 应用程序建立联合单一登录 (SSO)。 从 Microsoft Entra 应用程序库或使用非库应用程序模板添加应用程序。 使用联合 SSO 选项配置应用程序。

本教程仅适用于配置为通过安全断言标记语言 (SAML) 联合身份验证使用 Microsoft Entra SSO 的应用。

在本教程中,应用程序的管理员将了解如何:

  • 为库和非库应用程序生成证书
  • 自定义证书的到期日期
  • 添加证书到期日期的电子邮件通知地址
  • 续订证书

先决条件

  • 具有活动订阅的 Azure 帐户。 如果没有帐户,可免费创建一个帐户
  • 以下角色之一:特权角色管理员、云应用程序管理员或应用程序管理员。
  • 已在 Microsoft Entra 租户中配置好的企业应用程序。

从库中添加新应用程序并配置基于 SAML 的登录时(通过从应用程序概述页选择“单一登录”>“SAML”),Microsoft Entra ID 将为应用程序生成一个自签名证书,有效期为 3 年。 要下载活动证书作为安全证书 (.cer) 文件,请返回该页面(“基于 SAML 的登录”),选择“SAML 签名证书”标题中的下载链接。 可以在原始(二进制)证书或 Base 64(base 64 编码文本)证书之间进行选择。 对于库应用程序,此部分可能还会显示一个作为联合身份验证元数据 XML下载证书的链接(.xml 文件),具体取决于应用程序的要求。

此外,还可以通过选择“SAML 签名证书”标题的“编辑” 图标(铅笔)来下载活动或非活动证书,该操作将显示“SAML 签名证书”页面。 选择要下载的证书旁边的省略号 ( ... ),然后选择所需的证书格式。 可以使用其他选项,以隐私增强邮件 (PEM) 格式下载证书。 这种格式等同于 Base64,但带有 .pem 文件扩展名,在 Windows 中不会将这种文件识别为证书格式。

SAML 签名证书下载选项(活动和非活动)。

自定义联合身份验证证书的过期日期以及滚动使用新证书

Azure 默认将证书配置为三年后过期,自在 SAML 单一登录配置期间自动创建之时开始算起。 由于证书在保存后无法再更改日期,因此必须:

  1. 按照所需日期创建新证书。
  2. 保存新证书。
  3. 以正确格式下载证书。
  4. 将新证书上传到应用程序。
  5. 使新证书在 Microsoft Entra 管理中心处于活动状态。

以下两个部分将帮助你执行这些步骤。

创建新证书

提示

本文中的步骤可能因开始使用的门户而略有不同。

首先,创建并保存具有不同到期日期的新证书:

  1. 至少以云应用程序管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“应用程序”>“企业应用程序”>“所有应用程序”。
  3. 在“搜索”框中输入现有应用程序的名称,然后从搜索结果中选择该应用程序。
  4. 在“管理”部分选择“单一登录”。
  5. 显示“选择单一登录方法”页时,选择“SAML”。
  6. 在“使用 SAML 设置单一登录”页中,找到“SAML 签名证书”标题,并选择“编辑”图标(铅笔)。 此时将显示“SAML 签名证书”页,其中显示每个证书的状态(“活动”或“非活动”)、到期日期和缩略图(哈希字符串)。
  7. 选择“新建证书”。 证书列表下面会显示一个新行,其中的到期日期默认为当前日期起三年之后。 (由于尚未保存更改,所以仍可以修改到期日期。)
  8. 在新证书行中,将鼠标悬停在到期日期列上,然后选择“选择日期”图标(日历)。 此时将显示一个日历控件,其中显示新行当前到期日期的月份日期。
  9. 使用日历控件设置新日期。 可以设置当前日期到当前日期之后三年之间的任何日期。
  10. 选择“保存”。 现在,将显示新证书的状态“非活动”、所选的到期日期和缩略图。

    注意

    在现有证书过期后,如果你生成新的证书,即使未激活新证书,它也会被视为签名令牌。

  11. 选择“X”返回到“使用 SAML 设置单一登录”页。

上传并激活证书

接下来,以正确格式下载新证书,将其上传到应用程序,使其在 Microsoft Entra ID 中处于活动状态:

  1. 使用以下任一选项,查看应用程序的更多 SAML 登录配置说明。

    • 选择“配置指南”链接,在单独的浏览器窗口或选项卡中查看
    • 浏览到“设置”标题,然后选择“查看分步说明”,在边栏中查看
  2. 记下说明中所述的证书上传所需的编码格式。

  3. 按照前面为库和非库应用程序自动生成证书部分的说明执行操作。 此步骤将以应用程序上传所需的编码格式下载证书。

  4. 如果要滚动到新证书,请返回“SAML 签名证书”页,在新保存的证书行中,选择省略号 (...),然后选择“激活证书”。 新证书的状态将变为“活动”,以前处于活动状态的证书将变为“非活动”。

  5. 继续按照前面显示的应用程序的 SAML 登录配置说明执行操作,以便以正确的编码格式上传 SAML 签名证书。

如果应用缺少证书过期验证,并且证书与 Microsoft Entra ID 和应用都匹配,即使证书过期,也仍可访问应用。 确保应用程序可以验证证书的过期日期。

如果打算一直禁用证书过期验证,则在证书滚动更新的计划维护时段之前,不应创建新证书。 如果应用程序上同时存在过期证书和非活动的有效证书,Microsoft Entra ID 会自动使用有效证书。 在这种情况下,用户可能会遇到应用程序中断。

添加证书过期的电子邮件通知地址

Microsoft Entra ID 分别在 SAML 证书到期前 60 天、30 天和 7 天发送电子邮件通知。 可以添加多个电子邮件地址来接收通知。 指定一个或多个要将通知发送到的电子邮件地址:

  1. 在“SAML 签名证书”页中,转到“通知电子邮件地址”标题。 默认情况下,此标题仅使用添加该应用程序的管理员的电子邮件地址。
  2. 在最后的电子邮件地址下,键入应接收证书过期通知的电子邮件地址,然后按 Enter。
  3. 对于要添加的每个电子邮件地址重复上述步骤。
  4. 对于要删除每个电子邮件地址,请选择电子邮件地址旁边的“删除”图标(垃圾桶)。
  5. 选择“保存”。

最多可以在通知列表中添加 5 个电子邮件地址(包括添加应用程序的管理员的电子邮件地址)。 如果需要更多人员收到通知,请使用通讯组电子邮件。

你将接收来自 azure-noreply@microsoft.com 的通知电子邮件。 为避免电子邮件进入垃圾邮件位置,请将此电子邮件添加为联系人。

续订即将过期的证书

如果证书即将过期,则可以按照一定的过程续订证书,以避免造成用户严重停机。 续订即将到期的证书:

  1. 按照前面“创建新证书”部分的说明执行操作,使用一个与现有证书重叠的日期。 该日期可限制证书过期导致的停机时间。

  2. 如果应用程序可以自动滚动更新证书,请按照以下步骤将新证书设置为“活动”。

    1. 返回到“SAML 签名证书”页。
    2. 在新保存的证书行中,选择省略号 (...),然后选择“激活证书”。
    3. 跳过接下来的两个步骤。
  3. 如果应用程序一次只能处理一个证书,请选择执行下一步的故障时间间隔。 (或者,如果应用程序不会自动选取新证书,但可以处理多个签名证书,则可以随时执行下一步。)

  4. 在旧证书过期之前,请按照前面“上传和激活证书”部分的说明进行操作。 如果在 Microsoft Entra ID 中更新新证书后,应用程序证书未更新,则应用程序上的身份验证可能会失败。

  5. 登录到应用程序,确保证书正常工作。

如果应用缺少证书过期验证,并且证书与 Microsoft Entra ID 和应用都匹配,即使证书过期,也仍可访问应用。 确保应用程序可以验证证书是否过期。