A Microsoft Entra SAML token titkosításának beállítása

  • Cikk

Feljegyzés

A tokentitkosítás a Microsoft Entra id P1 vagy P2 funkciója. A Microsoft Entra kiadásairól, funkcióiról és díjszabásáról további információt a Microsoft Entra díjszabásában talál.

Az SAML-tokentitkosítás lehetővé teszi a titkosított SAML-állítások használatát egy olyan alkalmazással, amely támogatja azt. Ha egy alkalmazáshoz van konfigurálva, a Microsoft Entra ID titkosítja az alkalmazáshoz kibocsátott SAML-állításokat a Microsoft Entra ID-ban tárolt tanúsítványból beszerzett nyilvános kulccsal. Az alkalmazásnak a megfelelő titkos kulcsot kell használnia a jogkivonat visszafejtéséhez, mielőtt az a bejelentkezett felhasználó hitelesítésének bizonyítékaként használható lenne.

A Microsoft Entra ID és az alkalmazás közötti SAML-állítások titkosítása további biztosítékot nyújt arra vonatkozóan, hogy a jogkivonat tartalmát nem lehet elfogni, és a személyes vagy vállalati adatok sérülnek.

A Microsoft Entra SAML-jogkivonatok még tokentitkosítás nélkül sem lesznek átadva a hálózaton. A Microsoft Entra ID megköveteli, hogy a jogkivonat-kérések/válaszcserék titkosított HTTPS/TLS-csatornákon keresztül valósuljanak meg, hogy az IDP, a böngésző és az alkalmazás közötti kommunikáció titkosított hivatkozásokon keresztül valósuljon meg. Vegye figyelembe a jogkivonat-titkosítás értékét a további tanúsítványok kezelésével kapcsolatos többletterheléshez képest.

A tokentitkosítás konfigurálásához fel kell töltenie egy X.509-tanúsítványfájlt, amely tartalmazza a nyilvános kulcsot az alkalmazást jelképező Microsoft Entra alkalmazásobjektumba. Az X.509-tanúsítvány beszerzéséhez letöltheti az alkalmazásból, vagy lekérheti az alkalmazás szállítójától olyan esetekben, amikor az alkalmazás szállítója titkosítási kulcsokat biztosít, vagy ha az alkalmazás egy titkos kulcs megadását várja, akkor a titkosítási eszközökkel, az alkalmazás kulcstárolójába feltöltött titkos kulcsrészlel és a Microsoft Entra-azonosítóba feltöltött megfelelő nyilvános kulcstanúsítványsal hozható létre.

A Microsoft Entra ID az AES-256 használatával titkosítja az SAML-helyességi adatokat.

Előfeltételek

Az SAML-tokentitkosítás konfigurálásához a következőkre van szükség:

  • Egy Microsoft Entra felhasználói fiók. Ha még nem rendelkezik ilyen fiókkal, ingyenesen létrehozhat egy fiókot.
  • A következő szerepkörök egyike: Globális rendszergazda, Felhőalkalmazás-rendszergazda, Alkalmazás-rendszergazda vagy a szolgáltatásnév tulajdonosa.

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Vállalati alkalmazás SAML-tokentitkosításának konfigurálása

Ez a szakasz a vállalati alkalmazás SAML-jogkivonat-titkosításának konfigurálását ismerteti. A Microsoft Entra Felügyeleti központ Nagyvállalati alkalmazások paneljén beállított alkalmazások az Alkalmazáskatalógusból vagy egy nem katalógusbeli alkalmazásból. A Alkalmazásregisztrációk felületen regisztrált alkalmazások esetében kövesse a regisztrált alkalmazás SAML-jogkivonat-titkosítási útmutatóját.

A vállalati alkalmazás SAML-tokentitkosításának konfigurálásához kövesse az alábbi lépéseket:

  1. Szerezze be az alkalmazásban konfigurált titkos kulcsnak megfelelő nyilvánoskulcs-tanúsítványt.

    Hozzon létre egy aszimmetrikus kulcspárt a titkosításhoz. Ha az alkalmazás rendelkezik egy titkosításhoz használható nyilvános kulccsal, kövesse az alkalmazás utasításait az X.509-tanúsítvány letöltéséhez.

    A nyilvános kulcsot X.509-tanúsítványfájlban kell tárolni .cer formátumban. A tanúsítványfájl tartalmát átmásolhatja egy szövegszerkesztőbe, és mentheti .cer fájlként. A tanúsítványfájlnak csak a nyilvános kulcsot kell tartalmaznia, a titkos kulcsot nem.

    Ha az alkalmazás a példányhoz létrehozott kulcsot használja, kövesse az alkalmazás által a Microsoft Entra-bérlőből visszafejtendő titkos kulcs telepítésére vonatkozó utasításokat.

  2. Adja hozzá a tanúsítványt az alkalmazáskonfigurációhoz a Microsoft Entra-azonosítóban.

Tokentitkosítás konfigurálása a Microsoft Entra felügyeleti központban

A nyilvános tanúsítványt hozzáadhatja az alkalmazás konfigurációjához a Microsoft Entra felügyeleti központban.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat>Az összes alkalmazás.

  3. Írja be a meglévő alkalmazás nevét a keresőmezőbe, majd válassza ki az alkalmazást a keresési eredmények közül.

  4. Az alkalmazás oldalán válassza a Jogkivonat-titkosítás lehetőséget.

    Screenshot shows how to select the Token encryption option in the Microsoft Entra admin center.

    Feljegyzés

    A tokentitkosítási beállítás csak olyan SAML-alkalmazásokhoz érhető el, amelyeket a Microsoft Entra Felügyeleti központ Nagyvállalati alkalmazások paneljén állítottak be, akár az alkalmazáskatalógusból, akár egy nem katalógusbeli alkalmazásból. Egyéb alkalmazások számára ez a menüpont le van tiltva.

  5. A Jogkivonat titkosítása lapon válassza a Tanúsítvány importálása lehetőséget a nyilvános X.509-tanúsítványt tartalmazó .cer fájl importálásához.

    Screenshot shows how to import a certificate file using Microsoft Entra admin center.

  6. Miután importálta a tanúsítványt, és a titkos kulcs az alkalmazás oldalán való használatra van konfigurálva, aktiválja a titkosítást az ujjlenyomat állapota melletti ... elemet választva, majd válassza a tokentitkosítás aktiválása lehetőséget a legördülő menü beállításai közül.

  7. Válassza az Igen lehetőséget a tokentitkosítási tanúsítvány aktiválásának megerősítéséhez.

  8. Győződjön meg arról, hogy az alkalmazáshoz kibocsátott SAML-állítások titkosítva vannak.

Tokentitkosítás inaktiválása a Microsoft Entra felügyeleti központban

  1. A Microsoft Entra Felügyeleti központban lépjen az Identity>Applications>Enterprise-alkalmazások minden alkalmazásához>, majd válassza ki azt az alkalmazást, amelyen engedélyezve van az SAML-jogkivonat-titkosítás.

  2. Az alkalmazás oldalán válassza a Jogkivonat-titkosítás lehetőséget, keresse meg a tanúsítványt, majd válassza a ... lehetőséget a legördülő menü megjelenítéséhez.

  3. Válassza a Jogkivonat-titkosítás inaktiválása lehetőséget.

Regisztrált alkalmazás SAML-tokentitkosításának konfigurálása

Ez a szakasz a regisztrált alkalmazás SAML-jogkivonat-titkosításának konfigurálását ismerteti. A Microsoft Entra Felügyeleti központ Alkalmazásregisztrációk paneljén beállított alkalmazások. Vállalati alkalmazás esetén kövesse a vállalati alkalmazás SAML-tokentitkosítási útmutatóját.

A titkosítási tanúsítványok az alkalmazásobjektumon tárolódnak a Microsoft Entra-azonosítóban egy encrypt használati címkével. Több titkosítási tanúsítványt is konfigurálhat, és a jogkivonatok titkosításához aktív tanúsítványt az tokenEncryptionKeyID attribútum azonosítja.

A jogkivonat-titkosítás Microsoft Graph API vagy PowerShell használatával történő konfigurálásához szüksége lesz az alkalmazás objektumazonosítójára. Ezt az értéket programozott módon, vagy a Microsoft Entra Felügyeleti központban az alkalmazás Tulajdonságok lapjára lépve és az objektumazonosító értékének jelölésével keresheti meg.

Amikor a KeyCredentialt a Graph, a PowerShell vagy az alkalmazásjegyzék használatával konfigurálja, létre kell hoznia egy GUID azonosítót a keyId használatához.

Az alkalmazásregisztráció tokentitkosításának konfigurálásához kövesse az alábbi lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőalkalmazásként Rendszergazda istratorként.

  2. Keresse meg az Identitásalkalmazások>> Alkalmazásregisztrációk> Az összes alkalmazást.

  3. Írja be a meglévő alkalmazás nevét a keresőmezőbe, majd válassza ki az alkalmazást a keresési eredmények közül.

  4. Az alkalmazás oldalán válassza a Jegyzék elemet az alkalmazásjegyzék szerkesztéséhez.

    Az alábbi példa egy két titkosítási tanúsítvánnyal konfigurált alkalmazásjegyzéket mutat be, a második pedig aktívként van kiválasztva a tokenEncryptionKeyId használatával.

    { 
  "id": "3cca40e2-367e-45a5-8440-ed94edd6cc35",
  "accessTokenAcceptedVersion": null,
  "allowPublicClient": false,
  "appId": "cb2df8fb-63c4-4c35-bba5-3d659dd81bf1",
  "appRoles": [],
  "oauth2AllowUrlPathMatching": false,
  "createdDateTime": "2017-12-15T02:10:56Z",
  "groupMembershipClaims": "SecurityGroup",
  "informationalUrls": { 
     "termsOfService": null, 
     "support": null, 
     "privacy": null, 
     "marketing": null 
  },
  "identifierUris": [ 
    "https://testapp"
  ],
  "keyCredentials": [ 
    { 
      "customKeyIdentifier": "Tog/O1Hv1LtdsbPU5nPphbMduD=", 
      "endDate": "2039-12-31T23:59:59Z", 
      "keyId": "8be4cb65-59d9-404a-a6f5-3d3fb4030351", 
      "startDate": "2018-10-25T21:42:18Z", 
      "type": "AsymmetricX509Cert", 
      "usage": "Encrypt", 
      "value": <Base64EncodedKeyFile> 
      "displayName": "CN=SAMLEncryptTest" 
    }, 
    {
      "customKeyIdentifier": "U5nPphbMduDmr3c9Q3p0msqp6eEI=",
      "endDate": "2039-12-31T23:59:59Z", 
      "keyId": "6b9c6e80-d251-43f3-9910-9f1f0be2e851",
      "startDate": "2018-10-25T21:42:18Z", 
      "type": "AsymmetricX509Cert", 
      "usage": "Encrypt", 
      "value": <Base64EncodedKeyFile> 
      "displayName": "CN=SAMLEncryptTest2" 
    } 
  ], 
  "knownClientApplications": [], 
  "logoUrl": null, 
  "logoutUrl": null, 
  "name": "Test SAML Application", 
  "oauth2AllowIdTokenImplicitFlow": true, 
  "oauth2AllowImplicitFlow": false, 
  "oauth2Permissions": [], 
  "oauth2RequirePostResponse": false, 
  "orgRestrictions": [], 
  "parentalControlSettings": { 
     "countriesBlockedForMinors": [], 
     "legalAgeGroupRule": "Allow" 
    }, 
  "passwordCredentials": [], 
  "preAuthorizedApplications": [], 
  "publisherDomain": null, 
  "replyUrlsWithType": [], 
  "requiredResourceAccess": [], 
  "samlMetadataUrl": null, 
  "signInUrl": "https://127.0.0.1:444/applications/default.aspx?metadata=customappsso|ISV9.1|primary|z" 
  "signInAudience": "AzureADMyOrg",
  "tags": [], 
  "tokenEncryptionKeyId": "6b9c6e80-d251-43f3-9910-9f1f0be2e851" 
}

Következő lépések