Modificare l'algoritmo hash della firma relativo al trust della relying party di Office 365

Panoramica

Azure Active Directory Federation Services (AD FS) esegue la firma dei token per Microsoft Azure Active Directory per evitare che possano essere alterati. Questa firma può essere basata sull'algoritmo SHA1 o SHA256. Azure Active Directory ora supporta i token firmati con un algoritmo SHA256, quindi è consigliabile impostare l'algoritmo per la firma di token su SHA256 per garantire il massimo livello di sicurezza. Questo articolo descrive i passaggi necessari per impostare l'algoritmo per la firma di token sul più sicuro livello SHA256.

Nota

Microsoft consiglia di usare SHA256 come algoritmo per la firma dei token poiché è più sicuro rispetto a SHA1 ma SHA1 rimane comunque un'opzione supportata.

Modificare l'algoritmo per la firma di token

Dopo avere impostato l'algoritmo di firma con uno dei due processi seguenti, AD FS firma i token per il trust della relying party di Office 365 con SHA256. Non è necessario apportare modifiche di configurazione aggiuntive e questa modifica non incide sulla possibilità di accedere a Office 365 o altre applicazioni Azure AD.

Console di gestione di AD FS

  1. Aprire la console di gestione di AD FS nel server AD FS primario.
  2. Espandere il nodo AD FS e fare clic su Trust relying party.
  3. Fare clic con il pulsante destro del mouse sul trust della relying party di Office 365/Azure e scegliere Proprietà.
  4. Nella scheda Avanzate selezionare SHA256 come algoritmo hash sicuro.
  5. Fare clic su OK.

Algoritmo di firma SHA256 - MMC

Cmdlet di AD FS PowerShell

  1. Aprire PowerShell da qualsiasi server AD FS con privilegi di amministratore.
  2. Impostare l'algoritmo hash sicuro con il cmdlet Set-AdfsRelyingPartyTrust .

    Set-AdfsRelyingPartyTrust -TargetName 'Microsoft Office 365 Identity Platform' -SignatureAlgorithm 'http://www.w3.org/2001/04/xmldsig-more#rsa-sha256'

Vedere anche