Speciális tanúsítvány-aláírási lehetőségek SAML-jogkivonatban

  • Cikk

A Microsoft Entra ID jelenleg több ezer előre elkészített alkalmazást támogat a Microsoft Entra App Galleryben. Az alkalmazások közül több mint 500 támogatja az egyszeri bejelentkezést a Security Assertion Markup Language (SAML) 2.0 protokoll, például a NetSuite alkalmazás használatával. Amikor egy ügyfél a Microsoft Entra ID-n keresztül hitelesíti az alkalmazást AZ SAML használatával, a Microsoft Entra ID egy jogkivonatot küld az alkalmazásnak (HTTP POST-en keresztül). Az alkalmazás ezután érvényesíti és a jogkivonat használatával bejelentkezik az ügyfélbe a felhasználónév és a jelszó kérése helyett. Ezek az SAML-jogkivonatok a Microsoft Entra ID-ban létrehozott egyedi tanúsítvánnyal és meghatározott szabványos algoritmusokkal vannak aláírva.

A Microsoft Entra ID a katalógusalkalmazások néhány alapértelmezett beállítását használja. Az alapértelmezett értékek az alkalmazás követelményei alapján vannak beállítva.

A Microsoft Entra ID-ban beállíthatja a tanúsítvány-aláírási beállításokat és a tanúsítvány-aláíró algoritmust.

Tanúsítvány-aláírási lehetőségek

A Microsoft Entra ID három tanúsítvány-aláírási lehetőséget támogat:

  • SAML-állítás aláírása. Ez az alapértelmezett beállítás a katalógusalkalmazások többségénél be van állítva. Ha ezt a lehetőséget választja, a Microsoft Entra ID mint identitásszolgáltató aláírja az SAML-állítást és a tanúsítványt az alkalmazás X.509-tanúsítványával .

  • SAML-válasz aláírása. Ha ezt a lehetőséget választja, a Microsoft Entra ID mint azonosító azonosító az alkalmazás X.509-tanúsítványával aláírja az SAML-választ.

  • SAML-válasz és -állítás aláírása. Ha ezt a lehetőséget választja, a Microsoft Entra idP-azonosítója az alkalmazás X.509-tanúsítványával aláírja a teljes SAML-jogkivonatot.

Tanúsítvány-aláírási algoritmusok

A Microsoft Entra ID két aláíró algoritmust vagy biztonságos kivonatoló algoritmust (SHA) támogat az SAML-válasz aláírásához:

  • SHA-256. A Microsoft Entra ID ezt az alapértelmezett algoritmust használja az SAML-válasz aláírásához. Ez a legújabb algoritmus, és biztonságosabb, mint az SHA-1. A legtöbb alkalmazás támogatja az SHA-256 algoritmust. Ha egy alkalmazás csak az SHA-1-et támogatja aláírási algoritmusként, módosíthatja azt. Ellenkező esetben javasoljuk, hogy az SHA-256 algoritmust használja az SAML-válasz aláírásához.

  • SHA-1. Ez az algoritmus régebbi, és kevésbé biztonságos, mint az SHA-256. Ha egy alkalmazás csak ezt az aláíró algoritmust támogatja, ezt a lehetőséget az Aláíró algoritmus legördülő listában választhatja ki. A Microsoft Entra ID ezután aláírja az SAML-választ az SHA-1 algoritmussal.

Előfeltételek

Az alkalmazás SAML-tanúsítvány-aláírási beállításainak és a tanúsítvány-aláíró algoritmusnak a módosításához a következőkre van szükség:

  • Egy Microsoft Entra felhasználói fiók. Ha még nem rendelkezik ilyen fiókkal, ingyenesen létrehozhat egy fiókot.
  • A következő szerepkörök egyike: Globális rendszergazda, Felhőalkalmazás-rendszergazda, Alkalmazás-rendszergazda vagy a szolgáltatásnév tulajdonosa.

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Tanúsítvány-aláírási beállítások és aláírási algoritmus módosítása

Az alkalmazás SAML-tanúsítvány-aláírási beállításainak és a tanúsítványaláíró algoritmusnak a módosítása:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Az összes alkalmazás.

  3. Írja be a meglévő alkalmazás nevét a keresőmezőbe, majd válassza ki az alkalmazást a keresési eredmények közül. Ebben a példában a Salesforce alkalmazást használja.

    Example: Application overview page

Ezután módosítsa a tanúsítvány-aláírási beállításokat az alkalmazás SAML-jogkivonatában:

  1. Az alkalmazás áttekintési oldalának bal oldali ablaktábláján válassza az Egyszeri bejelentkezés lehetőséget.

  2. Ha megjelenik az egyszeri bejelentkezés beállítása SAML-oldallal , lépjen az 5. lépésre.

  3. Ha nem jelenik meg az egyszeri bejelentkezés beállítása SAML-oldallal , válassza az Egyszeri bejelentkezési módok módosítása lehetőséget.

  4. A Select a single sign-on metódus lapon válassza az SAML lehetőséget. Ha az SAML nem érhető el, az alkalmazás nem támogatja az SAML-t, és figyelmen kívül hagyhatja az eljárás és a cikk többi részét.

  5. Az egyszeri bejelentkezés beállítása SAML-lel lapon keresse meg az SAML aláíró tanúsítvány fejlécét, és válassza a Szerkesztés ikont (ceruza). Megjelenik az SAML aláíró tanúsítvány lap.

    Example: SAML signing certificate page

  6. Az Aláírási beállítás legördülő listában válassza az SAML-válasz aláírása, az SAML-állítás aláírása vagy az SAML-válasz és -állítás aláírása lehetőséget. Ezeknek a beállításoknak a leírása a jelen cikk korábbi részében, a Tanúsítvány-aláírási beállítások között jelenik meg.

  7. Az Aláíró algoritmus legördülő listában válassza az SHA-1 vagy az SHA-256 lehetőséget. Ezeknek a beállításoknak a leírása a jelen cikkben, a Tanúsítvány-aláírási algoritmusok szakaszban jelenik meg.

  8. Ha elégedett a választási lehetőségeivel, válassza a Mentés lehetőséget az új SAML aláíró tanúsítványbeállítások alkalmazásához. Ellenkező esetben a módosítások elvetéséhez jelölje ki az X-et .

Következő lépések