Opciones avanzadas de firma de certificados en un token SAML

  • Artículo

A día de hoy, Microsoft Entra ID admite miles de aplicaciones preintegradas en la galería de aplicaciones de Microsoft Entra. Más de 500 de estas aplicaciones admiten el inicio de sesión único mediante el protocolo Lenguaje de marcado de aserción de seguridad (SAML) 2.0, como la aplicación NetSuite. Cuando un cliente se autentica en una aplicación a través de Microsoft Entra ID con SAML, Microsoft Entra ID envía un token a la aplicación (mediante HTTP POST). Después, la aplicación valida y usa el token para iniciar la sesión del cliente, en lugar de solicitar un nombre de usuario y una contraseña. Estos tokens SAML se firman con el certificado único que se genera en Microsoft Entra ID y mediante algoritmos estándar específicos.

Microsoft Entra ID usa algunos de los valores predeterminados para las aplicaciones de la galería. Los valores predeterminados se configuran según los requisitos de la aplicación.

En Microsoft Entra ID, puede configurar las opciones de firma de certificado y el algoritmo correspondiente.

Opciones de firma de certificado

Microsoft Entra ID admite tres opciones avanzadas de firma de certificado:

  • Firmar aserción SAML Esta opción predeterminada se establece para la mayoría de las aplicaciones de la galería. Si se selecciona esta opción, Microsoft Entra ID como proveedor de identidades (IdP) firma la aserción SAML y el certificado con el certificado X509 de la aplicación.

  • Firmar respuesta SAML Si se selecciona esta opción, Microsoft Entra ID como IdP firma la respuesta SAML con el certificado X509 de la aplicación.

  • Firmar respuesta y aserción SAML Si se selecciona esta opción, Microsoft Entra ID como IdP firma todo el token SAML con el certificado X509 de la aplicación.

Algoritmos de firma de certificado

Microsoft Entra ID admite dos algoritmos de firmas, o algoritmos hash seguros (SHA) para firmar la respuesta SAML:

  • SHA-256. Microsoft Entra ID utiliza este algoritmo predeterminado para firmar la respuesta SAML. Es el algoritmo más reciente y se considera más seguro que SHA-1. La mayoría de las aplicaciones admiten el algoritmo SHA-256. Si una aplicación solo admite SHA-1 como algoritmo de firma, puede cambiarlo. En caso contrario, se recomienda utilizar el algoritmo SHA-256 para firmar la respuesta SAML.

  • SHA-1. Es un algoritmo más antiguo y se considera menos seguro que SHA-256. Si la aplicación admite solo este algoritmo de firma, puede seleccionar esta opción en la lista desplegable Algoritmo de firma. Microsoft Entra ID firma entonces la respuesta SAML con el algoritmo SHA-1.

Requisitos previos

Para cambiar las opciones de firma de certificados SAML y el algoritmo de firma de certificados de una aplicación, necesita:

  • Una cuenta de usuario de Microsoft Entra. Si no la tiene, puede crear una cuenta gratis.
  • Uno de los siguientes roles: Administrador global, Administrador de aplicaciones en la nube, Administrador de aplicaciones o Propietario de la entidad de servicio.

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Cambio de las opciones de firma de certificados y del algoritmo de firma

Para cambiar las opciones de firma de certificados SAML y el algoritmo de firma de certificados de una aplicación:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.

  2. Vaya a Identidad> Aplicaciones>aplicaciones para empresas> Todas las aplicaciones.

  3. Escriba el nombre de la aplicación existente en el cuadro de búsqueda y seleccione la aplicación existente en los resultados de la búsqueda. En este ejemplo, se usa la aplicación Salesforce.

    Example: Application overview page

Después, cambie las opciones de firma de certificados en el token SAML de esa aplicación:

  1. En el panel izquierdo de la página de información general de la aplicación, seleccione Inicio de sesión único.

  2. Si se muestra la página Configurar el inicio de sesión único con SAML, vaya al paso 5.

  3. Si no aparece la página Configure el inicio de sesión único con SAML, seleccione Cambiar los modos de inicio de sesión único.

  4. En la página Seleccione un método de inicio de sesión único, elija SAML. Si SAML no está disponible, la aplicación no es compatible con SAML, por lo que puede omitir el resto de este procedimiento y el artículo.

  5. En la página Configurar el inicio de sesión único con SAML, busque el encabezado Certificado de firma de SAML y seleccione el icono Editar (con forma de lápiz). Aparecerá la página Certificado de firma de SAML.

    Example: SAML signing certificate page

  6. En la lista desplegable Opción de firma, seleccione Firmar respuesta SAML, Firmar aserción SAML o Firmar respuesta y aserción SAML. Las descripciones de estas opciones aparecen en la sección Opciones de firma de certificado, anteriormente en este artículo.

  7. En la lista desplegable Algoritmo de firma, elija SHA-1 o SHA-256. Las descripciones de estas opciones aparecen en la sección Algoritmos de firma de certificado, anteriormente en este artículo.

  8. Si está satisfecho con las opciones que ha seleccionado, haga clic en Guardar para aplicar la nueva configuración del certificado de firma de SAML. En caso contrario, seleccione X para descartar los cambios.

Pasos siguientes