Avancerade alternativ för certifikatsignering i en SAML-token

Idag har Azure Active Directory (Azure AD) stöd för tusentals förintegrerade program i Azure Active Directory-appgalleriet. Över 500 av programmen stöder enkel inloggning med hjälp av SAML 2.0-protokollet ( Security Assertion Markup Language ), till exempel NetSuite-programmet . När en kund autentiserar till ett program via Azure AD med hjälp av SAML skickar Azure AD en token till programmet (via en HTTP POST). Programmet verifierar och använder sedan token för att logga in kunden i stället för att fråga efter användarnamn och lösenord. Dessa SAML-token signeras med det unika certifikat som genereras i Azure AD och av specifika standardalgoritmer.

Azure AD använder några av standardinställningarna för galleriprogrammen. Standardvärdena konfigureras baserat på programmets krav.

I Azure AD kan du konfigurera alternativ för certifikatsignering och certifikatsigneringsalgoritmen.

Alternativ för certifikatsignering

Azure AD stöder tre alternativ för certifikatsignering:

  • Signera SAML-försäkran. Det här standardalternativet är inställt för de flesta galleriprogram. Om du väljer det här alternativet signerar Azure AD som identitetsprovider (IdP) SAML-försäkran och certifikatet med X.509-certifikatet för programmet.

  • Signera SAML-svar. Om du väljer det här alternativet signerar Azure AD som IdP SAML-svaret med X.509-certifikatet för programmet.

  • Signera SAML-svar och -försäkran. Om du väljer det här alternativet signerar Azure AD som IdP hela SAML-token med X.509-certifikatet för programmet.

Algoritmer för certifikatsignering

Azure AD stöder två signeringsalgoritmer eller säkra hashalgoritmer (SHA) för att signera SAML-svaret:

  • SHA-256. Azure AD använder den här standardalgoritmen för att signera SAML-svaret. Det är den senaste algoritmen och säkrare än SHA-1. De flesta program stöder SHA-256-algoritmen. Om ett program endast stöder SHA-1 som signeringsalgoritm kan du ändra det. Annars rekommenderar vi att du använder SHA-256-algoritmen för att signera SAML-svaret.

  • SHA-1. Den här algoritmen är äldre och behandlas som mindre säker än SHA-256. Om ett program endast stöder den här signeringsalgoritmen kan du välja det här alternativet i listrutan Signeringsalgoritm . Azure AD signerar sedan SAML-svaret med SHA-1-algoritmen.

Ändra alternativ för certifikatsignering och signeringsalgoritm

Om du vill ändra ett programs alternativ för SAML-certifikatsignering och certifikatsigneringsalgoritmen väljer du det aktuella programmet:

  1. Logga in på ditt konto i Azure Active Directory-portalen. Sidan Administrationscenter för Azure Active Directory visas.

  2. I den vänstra rutan väljer du Företagsprogram. En lista över företagsprogram i ditt konto visas.

  3. Välj ett program. En översiktssida för programmet visas. I det här exemplet används Salesforce-programmet.

    Example: Application overview page

Ändra sedan alternativen för certifikatsignering i SAML-token för programmet:

  1. I den vänstra rutan på programöversiktssidan väljer du Enkel inloggning.

  2. Om sidan Konfigurera enkel Sign-On med SAML – förhandsversion visas går du till steg 5.

  3. Om sidan Välj en metod för enkel inloggning inte visas väljer du Ändra lägen för enkel inloggning för att visa sidan.

  4. På sidan Välj en metod för enkel inloggning väljer du SAML om det är tillgängligt. (Om SAML inte är tillgängligt stöder programmet inte SAML, och du kan ignorera resten av den här proceduren och artikeln.)

  5. På sidan Konfigurera enkel Sign-On med SAML – förhandsversion letar du upp rubriken SAML-signeringscertifikat och väljer ikonen Redigera (en penna). Sidan SAML-signeringscertifikat visas.

    Example: SAML signing certificate page

  6. I listrutan Signeringsalternativ väljer du Signera SAML-svar, Signera SAML-försäkran eller Signera SAML-svar och -försäkran. Beskrivningar av dessa alternativ visas tidigare i den här artikeln i alternativen för certifikatsignering.

  7. I listrutan Signeringsalgoritm väljer du SHA-1 eller SHA-256. Beskrivningar av dessa alternativ visas tidigare i den här artikeln i avsnittet Certifikatsigneringsalgoritmer .

  8. Om du är nöjd med dina val väljer du Spara för att tillämpa de nya inställningarna för SAML-signeringscertifikat. Annars väljer du X för att ignorera ändringarna.

Nästa steg