分享方式:


SAML 權杖中的進階憑證簽署選項

現今,Microsoft Entra ID 支援 Microsoft Entra 應用程式資料庫中數千個預先整合的應用程式。 超過 500 種應用程式支援透過安全性聲明標記語言 (SAML) 2.0 通訊協定(例如 NetSuite 應用程式),進行單一登入。 當客戶使用 SAML 透過 Microsoft Entra ID 驗證應用程式時,Microsoft Entra ID 會將權杖傳送給應用程式(透過 HTTP POST)。 接著應用程式會驗證並使用權杖將使用者登入,而不會提示輸入使用者名稱和密碼。 這些 SAML 權杖會使用 Microsoft Entra ID 中產生的唯一憑證以及特定標準演算法產生的唯一憑證加以簽署。

Microsoft Entra ID 為資源庫應用程式使用某些預設設定。 預設值是設定根據應用程式需求設定的。

在 Microsoft Entra ID,您可以設定憑證簽署選項和憑證簽署演算法。

憑證簽署選項

Microsoft Entra ID 支援三個憑證簽署選項:

  • 簽署 SAML 判斷提示。 此預設選項是針對大部分的資源庫應用程式而設定的。 如果您選取此選項,則作為識別提供者 (IdP) 的 Microsoft Entra ID 會使用應用程式的 X.509 憑證簽署 SAML 判斷提示及憑證。

  • 簽署 SAML 回應。 如果您選取此選項,則作為 IdP 的 Microsoft Entra ID 會使用應用程式的 X.509 憑證簽署 SAML 回覆。

  • 簽署 SAML 回覆及判斷提示。 如果您選取此選項,則作為 IdP 的 Microsoft Entra ID 會使用應用程式的 X.509 憑證簽署整個 SAML 權杖。

憑證簽署演算法

Microsoft Entra ID 支援兩種簽署演算法,或安全雜湊演算法 (SHA) 來簽署 SAML 回覆:

  • SHA-256。 Microsoft Entra ID 使用這個預設演算法簽署 SAML 回應。 此為最新的演算法,且相較於 SHA-1 更為安全。 大部分的應用程式都支援 SHA-256 演算法。 如果應用程式僅支援 SHA-1 作為簽署演算法,您可以加以變更。 否則,我們建議使用 SHA-256 演算法簽署 SAML 回覆。

  • SHA-1。 此演算法較舊,安全性不如 SHA-256。 如果應用程式僅支援此簽署演算法,您可以在 [簽署演算法] 下拉式清單中選取此選項。 接著,Microsoft Entra ID 會使用 SHA-1 演算法簽署 SAML 回覆。

必要條件

若要變更應用程式的 SAML 憑證簽署選項和憑證簽署演算法,您需要:

  • Microsoft Entra 使用者帳戶。 若還沒有帳戶,可以免費建立帳戶
  • 下列其中一個角色:雲端應用程式管理員、應用程式系統管理員。

提示

本文中的步驟可能會依據您開始的入口網站而稍有不同。

變更憑證簽署選項和簽署演算法

若要變更應用程式的 SAML 憑證簽署選項和憑證簽署演算法:

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > [所有應用程式]
  3. 在搜尋框中輸入現有應用程式的名稱,然後從搜尋結果中選取應用程式。

接下來,變更該應用程式 SAML 權杖中的憑證簽署選項:

  1. 在應用程式概觀頁面的左側窗格中,選取 [單一登入]
  2. 如果出現 [設定使用 SAML 的單一登入] 頁面,則請移至步驟 5。
  3. 如果未出現 [設定使用 SAML 的單一登入] 頁面,則請選取 [變更單一登入模式]
  4. 在 [選取單一登入方法] 頁面中,選取 [SAML]。 如果沒有 SAML 可用,則此應用程式不支援 SAML,而且可以忽略此程序和文章的其餘部分。
  5. 在 [設定使用 SAML 的單一登入] 分頁中,尋找 [SAML 簽署憑證] 標題,並選取 [編輯] 圖示(鉛筆)。 [SAML 簽署憑證] 頁面隨即出現。
  6. 簽署選項下拉式清單中,選擇 [簽署 SAML回覆]、[簽署 SAML 判斷提示] 或 [簽署 SAML 回覆和判斷提示]。 這些選項的說明出現於本文先前的憑證簽署選項
  7. 簽署演算法下拉式清單中,選擇 [SHA-1] 或 [SHA-256]。 這些選項的說明出現於本文先前的憑證簽署選演算法一節。
  8. 如果您滿意自身選擇,請選取 [儲存],套用新的 SAML 簽署憑證設定。 否則,請選取 [X],捨棄變更。

下一步