強制執行已簽署的 SAML 驗證要求
SAML 要求簽章驗證是驗證已簽署驗證要求簽章的功能。 應用程式管理員現在可以啟用和停用已簽署要求的強制執行,並上傳應該用來進行驗證的公開金鑰。
如果啟用 Microsoft Entra ID,將會根據設定的公開金鑰來驗證要求。 在某些情況下,驗證要求可能會失敗:
- 已簽署的要求不允許通訊協定。 僅支援 SAML 通訊協定。
- 要求未簽署,但已啟用驗證。
- 未設定 SAML 要求簽章驗證的驗證憑證。 如需憑證需求的詳細資訊,請參閱憑證簽署要求。
- 簽章驗證失敗。
- 要求中的金鑰識別碼遺失,且最近新增的兩個憑證與要求簽章不符。
- 要求已簽署但演算法遺失。
- 沒有憑證與提供的金鑰識別碼相符。
- 不允許簽章演算法。 僅支援 RSA-SHA256。
注意
AuthnRequest 元素中的 Signature 元素是選擇性的。 如果沒有檢查 Require Verification certificates 且簽章存在,Microsoft Entra ID 不會驗證已簽署的驗證要求。 提供要求者驗證只是為了回應已註冊的判斷提示取用者服務 URL。
如果已檢查
Require Verification certificates,SAML 要求簽章驗證僅適用於 SP 發起的 (服務提供者/信賴憑證者發起的) 驗證要求。 只有服務提供者所設定的應用程式才能存取私鑰和公鑰,以便從應用程式簽署傳入的 [SAML 驗證要求]。 應該上傳公開金鑰以允許驗證要求,在此情況下,Microsoft Entra ID 只能存取公開金鑰。
啟用
Require Verification certificates不會允許 IDP 發起的驗證要求 (例如 SSO 測試功能、MyApps 或 M365 應用程式啟動器)驗證,因為 IDP 不會擁有與已註冊應用程式相同的私人金鑰。
必要條件
若要設定 SAML 要求簽章驗證,您需要:
- Microsoft Entra 使用者帳戶。 若尚未有帳戶,可以免費建立帳戶。
- 下列其中一個角色:雲端應用程式管理員、應用程式系統管理員或服務主體擁有者。
提示
根據您開始使用的不同入口網站,本文中的步驟可能略有變化。
設定 SAML 要求簽章驗證
以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > [所有應用程式]。
在搜尋方塊中輸入現有應用程式的名稱,然後從搜尋結果中選取應用程式。
瀏覽至 [單一登入]。
在 [單一登入] 畫面的 [SAML 憑證] 下,捲動至 [驗證憑證] 的新子區段。
![[企業應用程式] 頁面上 [SAML 憑證] 下的驗證憑證螢幕擷取畫面。](media/howto-enforce-signed-saml-authentication/samlsignaturevalidation3.png)
選取編輯。
在新窗格中,您將能夠啟用已簽署要求的驗證,並加入宣告弱式演算法驗證,以防您的應用程式仍然使用 RSA-SHA1 來簽署驗證要求。
若要啟用已簽署要求的驗證,選取 [要求驗證憑證],然後上傳與用來簽署要求的私密金鑰相符的驗證公開金鑰。
![[企業應用程式]中要求驗證憑證的螢幕擷取畫面。](media/howto-enforce-signed-saml-authentication/samlsignaturevalidation4.png)
上傳驗證憑證後,選取 [儲存]。
當啟用了對已簽署要求的驗證時,將停用測試體驗,因為服務提供者必須對要求進行簽署。
![[企業應用程式] 中啟用已簽署要求時測試停用警告的螢幕擷取畫面。](media/howto-enforce-signed-saml-authentication/samlsignaturevalidation9.png)
如果您想要查看企業應用程式的目前設定,可以瀏覽至 [單一登入] 畫面,並在 [SAML 憑證] 底下查看設定的摘要。 您將能夠查看是否已啟用已簽署要求的驗證,以及「作用中」和「過期」驗證憑證的計數。
下一步
- 瞭解 Microsoft Entra ID 如何使用 SAML 通訊協定
- 了解 Microsoft Entra ID 中 SAML 權杖的格式、安全性特性和內容