As opções avançadas de assinatura de certificado no token SAML para aplicativos da galeria no Azure Active DirectoryAdvanced certificate signing options in the SAML token for gallery apps in Azure Active Directory

Atualmente, o Azure Active Directory (AD do Azure) oferece suporte a milhares de aplicativos pré-integrados na Galeria de aplicativo do Azure Active Directory.Today Azure Active Directory (Azure AD) supports thousands of pre-integrated applications in the Azure Active Directory App Gallery. Mais de 500 dos aplicativos dão suporte ao logon único usando o protocolo Security Assertion Markup Language (SAML) 2,0, como o aplicativo NetSuite .Over 500 of the applications support single sign-on by using the Security Assertion Markup Language (SAML) 2.0 protocol, such as the NetSuite application. Quando um cliente é autenticado em um aplicativo por meio do AD do Azure usando SAML, o Azure AD envia um token para o aplicativo (por meio de um HTTP POST).When a customer authenticates to an application through Azure AD by using SAML, Azure AD sends a token to the application (via an HTTP POST). Em seguida, o aplicativo valida e usa o token para entrar no cliente, em vez de solicitar um nome de usuário e uma senha.The application then validates and uses the token to sign in the customer instead of prompting for a username and password. Esses tokens SAML são assinados com o certificado exclusivo que é gerado no Azure AD e por algorítimos padrão específicos.These SAML tokens are signed with the unique certificate that's generated in Azure AD and by specific standard algorithms.

O Azure AD usa algumas das configurações padrão para os aplicativos de galeria.Azure AD uses some of the default settings for the gallery applications. Os valores padrão são configurados com base nos requisitos do aplicativo.The default values are set up based on the application's requirements.

No Azure AD, você pode configurar opções de assinatura de certificado e o algoritmo de assinatura de certificado.In Azure AD, you can set up certificate signing options and the certificate signing algorithm.

Opções de assinatura de certificadoCertificate signing options

O Azure AD dá suporte a três opções de assinatura de certificado:Azure AD supports three certificate signing options:

  • Assinar declaração SAML.Sign SAML assertion. A opção padrão é definida para a maioria dos aplicativos de galeria.This default option is set for most of the gallery applications. Se você selecionar essa opção, o AD do Azure como um IdP (provedor de identidade) assinará a Asserção SAML e o certificado com o certificado X. 509 do aplicativo.If you select this option, Azure AD as an Identity Provider (IdP) signs the SAML assertion and certificate with the X.509 certificate of the application.

  • Assinar resposta SAML.Sign SAML response. Se você selecionar essa opção, o Azure AD como um IdP assinará a resposta SAML com o certificado X. 509 do aplicativo.If you select this option, Azure AD as an IdP signs the SAML response with the X.509 certificate of the application.

  • Assinar resposta SAML e declaração.Sign SAML response and assertion. Se você selecionar essa opção, o Azure AD como um IdP assinará o token SAML inteiro com o certificado X. 509 do aplicativo.If you select this option, Azure AD as an IdP signs the entire SAML token with the X.509 certificate of the application.

Algoritmo de assinatura de certificadoCertificate signing algorithms

O Azure AD dá suporte a dois algoritmos de assinatura, ou SHAs (algoritmos de hash seguro), para assinar a resposta SAML:Azure AD supports two signing algorithms, or secure hash algorithms (SHAs), to sign the SAML response:

  • SHA-256.SHA-256. O Azure AD dá suporte a dois algoritmos de assinatura para assinar resposta SAML.Azure AD uses this default algorithm to sign the SAML response. É o algoritmo mais recente e é mais seguro do que o SHA-1.It's the newest algorithm and is more secure than SHA-1. A maioria dos aplicativos dá suporte ao algoritmo SHA-256.Most of the applications support the SHA-256 algorithm. Se um aplicativo suporta somente SHA-1 como o algoritmo de assinatura, você pode alterá-lo.If an application supports only SHA-1 as the signing algorithm, you can change it. Caso contrário, é recomendável usar o algoritmo SHA256 para assinar a resposta SAML.Otherwise, we recommend that you use the SHA-256 algorithm for signing the SAML response.

  • SHA-1.SHA-1. Esse algoritmo é mais antigo e é tratado como menos seguro do que o SHA-256.This algorithm is older, and it's treated as less secure than SHA-256. Se o aplicativo der suporte somente a esse algoritmo de assinatura, você poderá selecionar essa opção na lista suspensa de Algorítimo de Assinatura.If an application supports only this signing algorithm, you can select this option in the Signing Algorithm drop-down list. O Azure AD assina a resposta SAML com o algoritmo SHA-1.Azure AD then signs the SAML response with the SHA-1 algorithm.

Alterar as opções de assinatura de certificado e o algoritmo de assinaturaChange certificate signing options and signing algorithm

Para alterar as opções de assinatura de certificado SAML de um aplicativo e o algoritmo de assinatura de certificado, selecione o aplicativo em questão:To change an application's SAML certificate signing options and the certificate signing algorithm, select the application in question:

  1. No portal de Azure Active Directory, entre em sua conta.In the Azure Active Directory portal, sign in to your account. A página Azure Active Directory centro de administração é exibida.The Azure Active Directory admin center page appears.

  2. No painel esquerdo, selecione Aplicativos Empresariais.In the left pane, select Enterprise applications. É exibida uma lista dos aplicativos empresariais em sua conta.A list of the enterprise applications in your account appears.

  3. Selecione um aplicativo.Select an application. Uma página de visão geral do aplicativo é exibida.An overview page for the application appears.

    Exemplo: página Visão geral do aplicativo

Em seguida, altere as opções de assinatura de certificado no token SAML para esse aplicativo:Next, change the certificate signing options in the SAML token for that application:

  1. No painel esquerdo da página Visão geral do aplicativo, selecione logon único.In the left pane of the application overview page, select Single sign-on.

  2. Se a página Configurar logon único com SAML-Preview for exibida, vá para a etapa 5.If the Set up Single Sign-On with SAML - Preview page appears, go to step 5.

  3. Se a página selecionar um método de logon único não for exibida, selecione Alterar modos de logon único para exibir essa página.If the Select a single sign-on method page doesn't appear, select Change single sign-on modes to display that page.

  4. Na página selecionar um método de logon único , selecione SAML , se disponível.In the Select a single sign-on method page, select SAML if available. (Se o SAML não estiver disponível, o aplicativo não oferece suporte a SAML e você poderá ignorar o restante deste procedimento e artigo.)(If SAML isn't available, the application doesn't support SAML, and you may ignore the rest of this procedure and article.)

  5. Na página Configurar logon único com SAML-Preview , localize o cabeçalho do certificado de autenticação SAML e selecione o ícone de edição (um lápis).In the Set up Single Sign-On with SAML - Preview page, find the SAML Signing Certificate heading and select the Edit icon (a pencil). A página certificado de autenticação SAML é exibida.The SAML Signing Certificate page appears.

    Exemplo: página de certificado de autenticação SAML

  6. Na lista suspensa Opção de Assinatura, escolha Assinar resposta SAML, Assinar declaração SAML ou Assinar resposta e declaração SAML.In the Signing Option drop-down list, choose Sign SAML response, Sign SAML assertion, or Sign SAML response and assertion. As descrições dessas opções aparecem anteriormente neste artigo nas opções de assinatura de certificado.Descriptions of these options appear earlier in this article in the Certificate signing options.

  7. Na lista suspensa Algoritmo de Assinatura, escolha SHA-1 ou SHA-256.In the Signing Algorithm drop-down list, choose SHA-1 or SHA-256. As descrições dessas opções aparecem anteriormente neste artigo na seção algoritmos de assinatura de certificado .Descriptions of these options appear earlier in this article in the Certificate signing algorithms section.

  8. Se estiver satisfeito com suas escolhas, selecione salvar para aplicar as novas configurações de certificado de autenticação SAML.If you're satisfied with your choices, select Save to apply the new SAML signing certificate settings. Caso contrário, selecione o X para descartar as alterações.Otherwise, select the X to discard the changes.

Próximas etapasNext steps