Opções avançadas de assinatura de certificado em um token SAML

  • Artigo

Atualmente, o Microsoft Entra ID suporta milhares de aplicativos pré-integrados na Galeria de Aplicativos do Microsoft Entra. Mais de 500 dos aplicativos oferecem suporte ao logon único usando o protocolo SAML (Security Assertion Markup Language ) 2.0, como o aplicativo NetSuite . Quando um cliente se autentica em um aplicativo por meio do Microsoft Entra ID usando SAML, o Microsoft Entra ID envia um token para o aplicativo (por meio de um HTTP POST). Em seguida, o aplicativo valida e usa o token para entrar no cliente em vez de solicitar um nome de usuário e senha. Esses tokens SAML são assinados com o certificado exclusivo gerado no Microsoft Entra ID e por algoritmos padrão específicos.

O Microsoft Entra ID usa algumas das configurações padrão para os aplicativos de galeria. Os valores padrão são configurados com base nos requisitos do aplicativo.

No Microsoft Entra ID, você pode configurar opções de assinatura de certificado e o algoritmo de assinatura de certificado.

Opções de assinatura de certificado

O Microsoft Entra ID suporta três opções de assinatura de certificado:

  • Assine a asserção SAML. Esta opção padrão é definida para a maioria dos aplicativos de galeria. Se você selecionar essa opção, o Microsoft Entra ID como um provedor de identidade (IdP) assina a asserção SAML e o certificado com o certificado X.509 do aplicativo.

  • Assine a resposta SAML. Se você selecionar essa opção, o Microsoft Entra ID como um IdP assina a resposta SAML com o certificado X.509 do aplicativo.

  • Assine a resposta e a asserção SAML. Se você selecionar essa opção, o Microsoft Entra ID como um IdP assina todo o token SAML com o certificado X.509 do aplicativo.

Algoritmos de assinatura de certificado

O Microsoft Entra ID suporta dois algoritmos de assinatura, ou algoritmos de hash seguros (SHAs), para assinar a resposta SAML:

  • SHA-256. O Microsoft Entra ID usa esse algoritmo padrão para assinar a resposta SAML. É o algoritmo mais recente e é mais seguro do que o SHA-1. A maioria das aplicações suporta o algoritmo SHA-256. Se um aplicativo suporta apenas SHA-1 como o algoritmo de assinatura, você pode alterá-lo. Caso contrário, recomendamos que você use o algoritmo SHA-256 para assinar a resposta SAML.

  • SHA-1. Este algoritmo é mais antigo e é tratado como menos seguro do que o SHA-256. Se um aplicativo oferecer suporte apenas a esse algoritmo de assinatura, você poderá selecionar essa opção na lista suspensa Algoritmo de assinatura . Em seguida, o Microsoft Entra ID assina a resposta SAML com o algoritmo SHA-1.

Pré-requisitos

Para alterar as opções de assinatura de certificado SAML de um aplicativo e o algoritmo de assinatura de certificado, você precisa:

  • Uma conta de usuário do Microsoft Entra. Se ainda não tiver uma, pode criar uma conta gratuitamente.
  • Uma das seguintes funções: Administrador Global, Administrador de Aplicações na Cloud, Administrador de Aplicações ou proprietário do principal de serviço.

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Alterar opções de assinatura de certificado e algoritmo de assinatura

Para alterar as opções de assinatura de certificado SAML de um aplicativo e o algoritmo de assinatura de certificado:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Identity>Applications>Enterprise applications>Todos os aplicativos.

  3. Introduza o nome da aplicação existente na caixa de pesquisa e, em seguida, selecione a aplicação nos resultados da pesquisa. Neste exemplo, você usa o aplicativo Salesforce.

    Example: Application overview page

Em seguida, altere as opções de assinatura de certificado no token SAML para esse aplicativo:

  1. No painel esquerdo da página de visão geral do aplicativo, selecione Logon único.

  2. Se a página Configurar Logon Único com SAML for exibida, vá para a etapa 5.

  3. Se a página Configurar Logon Único com SAML não aparecer, selecione Alterar modos de logon único.

  4. Na página Selecione um método de logon único, selecione SAML. Se o SAML não estiver disponível, o aplicativo não suporta SAML e você pode ignorar o restante deste procedimento e artigo.

  5. Na página Configurar Logon Único com SAML, localize o título Certificado de Assinatura SAML e selecione o ícone Editar (um lápis). A página Certificado de Assinatura SAML é exibida.

    Example: SAML signing certificate page

  6. Na lista suspensa Opção de assinatura, escolha Assinar resposta SAML, Assinar asserção SAML ou Assinar resposta e asserção SAML. As descrições dessas opções aparecem anteriormente neste artigo nas opções de assinatura de certificado.

  7. Na lista suspensa Algoritmo de assinatura, escolha SHA-1 ou SHA-256. As descrições dessas opções aparecem anteriormente neste artigo na seção Algoritmos de assinatura de certificado.

  8. Se estiver satisfeito com as suas escolhas, selecione Guardar para aplicar as novas definições de certificado de assinatura SAML. Caso contrário, selecione o X para descartar as alterações.

Próximos passos