Självstudie: Hantera certifikat för federerad enkel inloggning

  • Artikel

I den här artikeln tar vi upp vanliga frågor och information som rör certifikat som Microsoft Entra ID skapar för att upprätta federerad enkel inloggning (SSO) till saaS-program (programvara som en tjänst). Lägg till program från Microsoft Entra-programgalleriet eller med hjälp av en programmall som inte är ett galleri. Konfigurera programmet med hjälp av alternativet federerad enkel inloggning.

Den här självstudien är endast relevant för appar som har konfigurerats för att använda Microsoft Entra SSO via SAML-federation (Security Assertion Markup Language ).

I den här självstudien får en administratör för programmet lära sig att:

  • Generera certifikat för galleri- och icke-galleriprogram
  • Anpassa förfallodatum för certifikat
  • Lägg till e-postadress för certifikatets förfallodatum
  • Förnya certifikat

Förutsättningar

  • Ett Azure-konto med en aktiv prenumeration. Om du inte redan har ett kan du skapa ett konto kostnadsfritt.
  • En av följande roller: Global administratör, privilegierad rolladministratör, molnprogramadministratör eller programadministratör.
  • Ett företagsprogram som konfigurerats i din Microsoft Entra-klientorganisation.

När du lägger till ett nytt program från galleriet och konfigurerar en SAML-baserad inloggning (genom att välja SAML för>enkel inloggning från programöversiktssidan) genererar Microsoft Entra ID ett självsignerat certifikat för programmet som är giltigt i tre år. Om du vill ladda ned det aktiva certifikatet som en säkerhetscertifikatfil (.cer) går du tillbaka till den sidan (SAML-baserad inloggning) och väljer en nedladdningslänk i rubriken SAML-signeringscertifikat. Du kan välja mellan certifikatet raw (binär) eller Base 64-certifikatet (grundläggande 64-kodad text). För galleriprogram kan det här avsnittet också visa en länk för att ladda ned certifikatet som federationsmetadata-XML (en .xml fil), beroende på programmets krav.

Du kan också ladda ned ett aktivt eller inaktivt certifikat genom att välja saml-signeringscertifikatrubrikens redigera-ikon (en penna), som visar sidan SAML-signeringscertifikat. Välj ellipsen (...) bredvid det certifikat som du vill ladda ned och välj sedan vilket certifikatformat du vill ha. Du har det andra alternativet för att ladda ned certifikatet i PEM-format (Privacy Enhanced Mail). Det här formatet är identiskt med Base64 men med filnamnstillägget .pem , som inte känns igen i Windows som ett certifikatformat.

SAML signing certificate download options (active and inactive).

Anpassa förfallodatumet för ditt federationscertifikat och förnya det till ett nytt certifikat

Som standard konfigurerar Azure ett certifikat så att det upphör att gälla efter tre år när du skapar det automatiskt under saml-konfigurationen för enkel inloggning. Eftersom du inte kan ändra datumet för ett certifikat när du har sparat det måste du:

  1. Skapa ett nytt certifikat med önskat datum.
  2. Spara det nya certifikatet.
  3. Ladda ned det nya certifikatet i rätt format.
  4. Ladda upp det nya certifikatet till programmet.
  5. Gör det nya certifikatet aktivt i administrationscentret för Microsoft Entra.

Följande två avsnitt hjälper dig att utföra de här stegen.

Skapa ett nytt certifikat

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Skapa och spara först det nya certifikatet med ett annat förfallodatum:

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>Alla program.
  3. Ange namnet på det befintliga programmet i sökrutan och välj sedan programmet i sökresultaten.
  4. Under avsnittet Hantera väljer du Enkel inloggning.
  5. Om sidan Välj en metod för enkel inloggning visas väljer du SAML.
  6. På sidan Konfigurera enkel inloggning med SAML letar du reda på rubriken SAML-signeringscertifikat och väljer ikonen Redigera (en penna). Sidan SAML-signeringscertifikat visas, som visar statusen (Aktiv eller Inaktiv), förfallodatum och tumavtryck (en hashsträng) för varje certifikat.
  7. Välj Nytt certifikat. En ny rad visas under certifikatlistan, där förfallodatumet är som standard exakt tre år efter det aktuella datumet. (Ändringarna har inte sparats ännu, så du kan fortfarande ändra förfallodatumet.)
  8. Hovra över kolumnen för förfallodatum på den nya certifikatraden och välj ikonen Välj datum (en kalender). En kalenderkontroll visas som visar dagarna i en månad för den nya radens aktuella förfallodatum.
  9. Använd kalenderkontrollen för att ange ett nytt datum. Du kan ange valfritt datum mellan aktuellt datum och tre år efter det aktuella datumet.
  10. Välj Spara. Det nya certifikatet visas nu med statusen Inaktiv, det förfallodatum som du har valt och ett tumavtryck.

    Kommentar

    När du har ett befintligt certifikat som redan har upphört att gälla och du genererar ett nytt certifikat, kommer det nya certifikatet att övervägas för signeringstoken, även om du inte har aktiverat det ännu.

  11. Välj X för att återgå till sidan Konfigurera enkel inloggning med SAML.

Ladda upp och aktivera ett certifikat

Ladda sedan ned det nya certifikatet i rätt format, ladda upp det till programmet och gör det aktivt i Microsoft Entra-ID:

  1. Visa fler konfigurationsinstruktioner för SAML-inloggning för programmet med något av följande alternativ.

    • Välj länken för konfigurationsguiden som du vill visa i ett separat webbläsarfönster eller en separat flik.
    • Bläddra till den konfigurerade rubriken och välj Visa stegvisa instruktioner för att visa i ett sidofält.

  2. Observera det kodningsformat som krävs för certifikatuppladdningen i anvisningarna.

  3. Följ anvisningarna i avsnittet Automatiskt genererade certifikat för galleri- och program som inte är galleriprogram tidigare. Det här steget laddar ned certifikatet i det kodningsformat som krävs för uppladdning av programmet.

  4. När du vill rulla över till det nya certifikatet går du tillbaka till sidan SAML-signeringscertifikat och i den nyligen sparade certifikatraden väljer du ellipsen (...) och väljer Gör certifikatet aktivt. Statusen för det nya certifikatet ändras till Aktiv och det tidigare aktiva certifikatet ändras till statusen Inaktiv.

  5. Fortsätt att följa programmets konfigurationsinstruktioner för SAML-inloggning som du visade tidigare, så att du kan ladda upp SAML-signeringscertifikatet i rätt kodningsformat.

Om din app saknar validering av certifikatets giltighetstid och certifikatet matchar både Microsoft Entra-ID och din app förblir det tillgängligt trots att det har upphört att gälla. Se till att ditt program kan verifiera certifikatets utgångsdatum.

Om du tänker inaktivera certifikatets förfallovalidering bör det nya certifikatet inte skapas förrän det schemalagda underhållsfönstret för certifikatet har återställts. Om både ett utgånget och ett inaktivt giltigt certifikat finns i programmet använder Microsoft Entra-ID automatiskt det giltiga certifikatet. I det här fallet kan användare uppleva programstopp.

Lägga till e-postaviseringsadresser för certifikatets giltighetstid

Microsoft Entra ID skickar ett e-postmeddelande 60, 30 och 7 dagar innan SAML-certifikatet upphör att gälla. Du kan lägga till fler än en e-postadress som ska få meddelanden. Om du vill ange en eller flera e-postadresser vill du att meddelandena ska skickas till:

  1. På sidan SAML-signeringscertifikat går du till rubriken e-postadresser för aviseringar. Som standard använder den här rubriken endast e-postadressen till administratören som lade till programmet.
  2. Under den slutliga e-postadressen skriver du den e-postadress som ska ta emot certifikatets förfallomeddelande och trycker sedan på Retur.
  3. Upprepa föregående steg för varje e-postadress som du vill lägga till.
  4. För varje e-postadress som du vill ta bort väljer du ikonen Ta bort (skräp kan) bredvid e-postadressen.
  5. Välj Spara.

Du kan lägga till upp till fem e-postadresser i meddelandelistan (inklusive e-postadressen till administratören som lade till programmet). Om du behöver fler personer som ska meddelas använder du e-postmeddelandena i distributionslistan.

Du får e-postmeddelandet från azure-noreply@microsoft.com. Lägg till det här e-postmeddelandet till dina kontakter för att undvika att e-postmeddelandet hamnar på din skräppostplats.

Förnya ett certifikat som snart kommer att upphöra att gälla

Om ett certifikat snart upphör att gälla kan du förnya det med hjälp av en procedur som inte resulterar i någon betydande stilleståndstid för dina användare. Så här förnyar du ett certifikat som upphör att gälla:

  1. Följ anvisningarna i avsnittet Skapa ett nytt certifikat tidigare, med ett datum som överlappar det befintliga certifikatet. Det datumet begränsar mängden stilleståndstid som orsakas av certifikatets förfallotid.

  2. Om programmet automatiskt kan rulla över ett certifikat anger du det nya certifikatet till aktivt genom att följa dessa steg.

    1. Gå tillbaka till sidan SAML-signeringscertifikat .
    2. På den nyligen sparade certifikatraden väljer du ellipsen (...) och sedan Gör certifikatet aktivt.
    3. Hoppa över de kommande två stegen.

  3. Om programmet bara kan hantera ett certifikat i taget väljer du ett avbrottsintervall för att utföra nästa steg. (Om programmet inte automatiskt hämtar det nya certifikatet men kan hantera fler än ett signeringscertifikat kan du utföra nästa steg när som helst).

  4. Innan det gamla certifikatet upphör att gälla följer du anvisningarna i avsnittet Ladda upp och aktivera ett certifikat tidigare. Om programcertifikatet inte uppdateras när ett nytt certifikat har uppdaterats i Microsoft Entra-ID kan autentiseringen i ditt program misslyckas.

  5. Logga in på programmet för att kontrollera att certifikatet fungerar korrekt.

Om din app saknar validering av certifikatets giltighetstid och certifikatet matchar både Microsoft Entra-ID och din app förblir det tillgängligt trots att det har upphört att gälla. Kontrollera att programmet kan verifiera att certifikatet upphör att gälla.