Microsoft Entra SAML belirteç şifrelemesini yapılandırma

Not

Belirteç şifrelemesi bir Microsoft Entra ID P1 veya P2 özelliğidir. Microsoft Entra sürümleri, özellikleri ve fiyatlandırması hakkında daha fazla bilgi edinmek için bkz . Microsoft Entra fiyatlandırması.

SAML belirteci şifrelemesi, onu destekleyen bir uygulamayla şifrelenmiş SAML onaylarının kullanılmasını sağlar. Bir uygulama için yapılandırıldığında, Microsoft Entra Id, Microsoft Entra ID'de depolanan bir sertifikadan alınan ortak anahtarı kullanarak bu uygulama için yaydığı SAML onaylarını şifreler. Uygulamanın, oturum açmış kullanıcının kimlik doğrulaması kanıtı olarak kullanılabilmesi için önce belirtecin şifresini çözmek için eşleşen özel anahtarı kullanması gerekir.

Microsoft Entra Id ile uygulama arasındaki SAML onaylarının şifrelenmesi, belirtecin içeriğinin kesilememe ve kişisel veya kurumsal verilerin gizliliğinin tehlikeye girilebileceği konusunda ek güvence sağlar.

Belirteç şifrelemesi olmadan bile, Microsoft Entra SAML belirteçleri ağa hiçbir zaman net bir şekilde geçirilmedi. Microsoft Entra Id, IDP, tarayıcı ve uygulama arasındaki iletişimin şifrelenmiş bağlantılar üzerinden gerçekleşmesi için şifrelenmiş HTTPS/TLS kanalları üzerinden belirteç isteği/yanıt değişimleri yapılmasını gerektirir. Daha fazla sertifika yönetme ek yüküyle karşılaştırıldığında, durumunuz için belirteç şifrelemesinin değerini göz önünde bulundurun.

Belirteç şifrelemesini yapılandırmak için, ortak anahtarı içeren bir X.509 sertifika dosyasını uygulamayı temsil eden Microsoft Entra uygulama nesnesine yüklemeniz gerekir. X.509 sertifikasını almak için uygulamanın kendisinden indirebilir veya uygulama satıcısının şifreleme anahtarları sağladığı durumlarda veya uygulamanın özel anahtar sağlamanızı beklediği durumlarda, şifreleme araçları, uygulamanın anahtar deposuna yüklenen özel anahtar bölümü ve Microsoft Entra Id'ye yüklenen eşleşen ortak anahtar sertifikası kullanılarak oluşturulabilir.

Microsoft Entra ID, SAML onay verilerini şifrelemek için AES-256 kullanır.

Önkoşullar

SAML belirteci şifrelemesini yapılandırmak için şunları yapmanız gerekir:

• Microsoft Entra kullanıcı hesabı. Henüz bir hesabınız yoksa ücretsiz hesap oluşturabilirsiniz.
• Şu rollerden biri: Genel Yönetici, Bulut Uygulaması Yöneticisi, Uygulama Yöneticisi veya hizmet sorumlusu sahibi.

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Kurumsal uygulama SAML belirteci şifrelemeyi yapılandırma

Bu bölümde, kurumsal uygulamanın SAML belirteci şifrelemesini yapılandırma açıklanmaktadır. Microsoft Entra yönetim merkezindeki Kurumsal uygulamalar dikey penceresinden, Uygulama Galerisi'nden veya Galeri Dışı bir uygulamadan ayarlanan uygulamalar. Uygulama kayıtları deneyimi aracılığıyla kaydedilen uygulamalar için Kayıtlı uygulama SAML belirteci şifrelemesini yapılandırma yönergelerini izleyin.

Kurumsal uygulamanın SAML belirteci şifrelemesini yapılandırmak için şu adımları izleyin:

1. Uygulamada yapılandırılan özel anahtarla eşleşen bir ortak anahtar sertifikası alın.

   Şifreleme için kullanılacak bir asimetrik anahtar çifti oluşturun. Ya da uygulama şifreleme için kullanılacak bir ortak anahtar sağlarsa, X.509 sertifikasını indirmek için uygulamanın yönergelerini izleyin.

   Ortak anahtar .cer biçimde bir X.509 sertifika dosyasında depolanmalıdır. Sertifika dosyasının içeriğini bir metin düzenleyicisine kopyalayabilir ve .cer dosyası olarak kaydedebilirsiniz. Sertifika dosyası özel anahtarı değil yalnızca ortak anahtarı içermelidir.

   Uygulama örneğiniz için oluşturduğunuz bir anahtarı kullanıyorsa, uygulamanızın Microsoft Entra kiracınızdaki belirteçlerin şifresini çözmek için kullanacağı özel anahtarı yüklemeye yönelik yönergeleri izleyin.

2. Sertifikayı Microsoft Entra Id'deki uygulama yapılandırmasına ekleyin.

Microsoft Entra yönetim merkezinde belirteç şifrelemesini yapılandırma

Genel sertifikayı Microsoft Entra yönetim merkezinde uygulama yapılandırmanıza ekleyebilirsiniz.

1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.

2. Kimlik>Uygulamaları>Kurumsal uygulamaları>Tüm uygulamalar'a göz atın.

3. Arama kutusuna mevcut uygulamanın adını girin ve ardından arama sonuçlarından uygulamayı seçin.

4. Uygulamanın sayfasında Belirteç şifrelemesi'ni seçin.

   

   Not

   Belirteç şifreleme seçeneği yalnızca Uygulama Galerisi'nden veya Galeri Dışı bir uygulamadan Microsoft Entra yönetim merkezindeki Kurumsal uygulamalar dikey penceresinden ayarlanmış SAML uygulamaları için kullanılabilir. Diğer uygulamalarda bu menü seçeneği devre dışı bırakılır.

5. Belirteç şifreleme sayfasında Sertifikayı İçeri Aktar'ı seçerek genel X.509 sertifikanızı içeren .cer dosyasını içeri aktarın.

   

6. Sertifika içeri aktarıldıktan ve özel anahtar uygulama tarafında kullanılmak üzere yapılandırıldıktan sonra parmak izi durumunun yanındaki ... öğesini seçerek şifrelemeyi etkinleştirin ve açılan menüdeki seçeneklerden Belirteç şifrelemesini etkinleştir'i seçin.

7. Belirteç şifreleme sertifikasının etkinleştirilmesini onaylamak için Evet'i seçin.

8. Uygulama için yayılan SAML onaylarının şifrelendiğini onaylayın.

Microsoft Entra yönetim merkezinde belirteç şifrelemesini devre dışı bırakmak için

1. Microsoft Entra yönetim merkezinde Kimlik>Uygulamaları>Kurumsal uygulamalar Tüm uygulamalar'a> gidin ve SAML belirteci şifrelemesinin etkinleştirildiği uygulamayı seçin.

2. Uygulamanın sayfasında Belirteç şifrelemesi'ni seçin, sertifikayı bulun ve açılan menüyü göstermek için ... seçeneğini belirleyin.

3. Belirteç şifrelemeyi devre dışı bırak'ı seçin.

Kayıtlı uygulama SAML belirteci şifrelemeyi yapılandırma

Bu bölümde, kayıtlı uygulamanın SAML belirteci şifrelemesini yapılandırma açıklanmaktadır. Microsoft Entra yönetim merkezindeki Uygulama kayıtları dikey penceresinden ayarlanan uygulamalar. Kurumsal uygulama için Kurumsal uygulama SAML belirteci şifrelemesini yapılandırma yönergelerini izleyin.

Şifreleme sertifikaları, Microsoft Entra Id içindeki uygulama nesnesinde kullanım encrypt etiketiyle depolanır. Birden çok şifreleme sertifikası yapılandırabilirsiniz ve belirteçleri şifrelemek için etkin olan sertifika özniteliği tarafından tokenEncryptionKeyID tanımlanır.

Microsoft Graph API veya PowerShell kullanarak belirteç şifrelemesini yapılandırmak için uygulamanın nesne kimliğine ihtiyacınız olacaktır. Bu değeri program aracılığıyla veya Microsoft Entra yönetim merkezinde uygulamanın Özellikler sayfasına gidip Nesne Kimliği değerini not ederek bulabilirsiniz.

Graph, PowerShell veya uygulama bildiriminde kullanarak bir keyCredential yapılandırdığınızda, keyId için kullanılacak bir GUID oluşturmanız gerekir.

Uygulama kaydı için belirteç şifrelemesini yapılandırmak için şu adımları izleyin:

Portal

1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.

2. Kimlik>Uygulamaları> Uygulama kayıtları> Tüm uygulamalar'a göz atın.

3. Arama kutusuna mevcut uygulamanın adını girin ve ardından arama sonuçlarından uygulamayı seçin.

4. Uygulama bildirimini düzenlemek için uygulamanın sayfasında Bildirim'i seçin.

   Aşağıdaki örnekte, iki şifreleme sertifikasıyla yapılandırılan ve ikincisi tokenEncryptionKeyId kullanılarak etkin olan olarak seçilen bir uygulama bildirimi gösterilmektedir.

   { 
     "id": "3cca40e2-367e-45a5-8440-ed94edd6cc35",
     "accessTokenAcceptedVersion": null,
     "allowPublicClient": false,
     "appId": "cb2df8fb-63c4-4c35-bba5-3d659dd81bf1",
     "appRoles": [],
     "oauth2AllowUrlPathMatching": false,
     "createdDateTime": "2017-12-15T02:10:56Z",
     "groupMembershipClaims": "SecurityGroup",
     "informationalUrls": { 
        "termsOfService": null, 
        "support": null, 
        "privacy": null, 
        "marketing": null 
     },
     "identifierUris": [ 
       "https://testapp"
     ],
     "keyCredentials": [ 
       { 
         "customKeyIdentifier": "Tog/O1Hv1LtdsbPU5nPphbMduD=", 
         "endDate": "2039-12-31T23:59:59Z", 
         "keyId": "8be4cb65-59d9-404a-a6f5-3d3fb4030351", 
         "startDate": "2018-10-25T21:42:18Z", 
         "type": "AsymmetricX509Cert", 
         "usage": "Encrypt", 
         "value": <Base64EncodedKeyFile> 
         "displayName": "CN=SAMLEncryptTest" 
       }, 
       {
         "customKeyIdentifier": "U5nPphbMduDmr3c9Q3p0msqp6eEI=",
         "endDate": "2039-12-31T23:59:59Z", 
         "keyId": "6b9c6e80-d251-43f3-9910-9f1f0be2e851",
         "startDate": "2018-10-25T21:42:18Z", 
         "type": "AsymmetricX509Cert", 
         "usage": "Encrypt", 
         "value": <Base64EncodedKeyFile> 
         "displayName": "CN=SAMLEncryptTest2" 
       } 
     ], 
     "knownClientApplications": [], 
     "logoUrl": null, 
     "logoutUrl": null, 
     "name": "Test SAML Application", 
     "oauth2AllowIdTokenImplicitFlow": true, 
     "oauth2AllowImplicitFlow": false, 
     "oauth2Permissions": [], 
     "oauth2RequirePostResponse": false, 
     "orgRestrictions": [], 
     "parentalControlSettings": { 
        "countriesBlockedForMinors": [], 
        "legalAgeGroupRule": "Allow" 
       }, 
     "passwordCredentials": [], 
     "preAuthorizedApplications": [], 
     "publisherDomain": null, 
     "replyUrlsWithType": [], 
     "requiredResourceAccess": [], 
     "samlMetadataUrl": null, 
     "signInUrl": "https://127.0.0.1:444/applications/default.aspx?metadata=customappsso|ISV9.1|primary|z" 
     "signInAudience": "AzureADMyOrg",
     "tags": [], 
     "tokenEncryptionKeyId": "6b9c6e80-d251-43f3-9910-9f1f0be2e851" 
   }  
   

Azure AD PowerShell

1. Kiracınıza bağlanmak için en son Azure AD PowerShell modülünü kullanın. En azından bulut uygulaması Yönetici istrator olarak oturum açmanız gerekir.

2. Set-AzureApplication komutunu kullanarak belirteç şifreleme ayarlarını yapın.

   Set-AzureADApplication -ObjectId <ApplicationObjectId> -KeyCredentials "<KeyCredentialsObject>"  -TokenEncryptionKeyId <keyID>
   

3. Aşağıdaki komutları kullanarak belirteç şifreleme ayarlarını okuyun.

   $app=Get-AzureADApplication -ObjectId <ApplicationObjectId>
   $app.KeyCredentials
   $app.TokenEncryptionKeyId
   

Microsoft Graph PowerShell

1. Kiracınıza bağlanmak için Microsoft Graph PowerShell modülünü kullanın. En azından bulut uygulaması Yönetici istrator olarak oturum açmanız gerekir.

2. Update-MgApplication komutunu kullanarak belirteç şifreleme ayarlarını yapın.

   
   Update-MgApplication -ApplicationId <ApplicationObjectId> -KeyCredentials "<KeyCredentialsObject>"  -TokenEncryptionKeyId <keyID>
   
   

3. Aşağıdaki komutları kullanarak belirteç şifreleme ayarlarını okuyun.

   
   $app=Get-MgApplication -ApplicationId <ApplicationObjectId>
   
   $app.KeyCredentials
   
   $app.TokenEncryptionKeyId
   
   

Microsoft Graph

1. Şifreleme için bir X.509 sertifikasıyla uygulamanın uygulamalarını keyCredentials güncelleştirin. Aşağıdaki örnekte, uygulamayla ilişkilendirilmiş anahtar kimlik bilgileri koleksiyonuna sahip bir Microsoft Graph JSON yükü gösterilmektedir.

   PATCH https://graph.microsoft.com/beta/applications/<application objectid>
   
   { 
      "keyCredentials":[ 
         { 
            "type":"AsymmetricX509Cert","usage":"Encrypt",
            "keyId":"fdf8c5d8-f727-43fd-beaf-0f1521cf3d35",    (Use a GUID generator to obtain a value for the keyId)
            "key": "MIICADCCAW2gAwIBAgIQ5j9/b+n2Q4pDvQUCcy3…"  (Base64Encoded .cer file)
         }
       ]
   }
   

2. Belirteçleri şifrelemek için etkin olan şifreleme sertifikasını belirleyin. Aşağıdaki örnekte öğesiyle birlikte bir Microsoft Graph JSON yükü gösterilmektedir tokenEncryptionKeyId . öğesi, tokenEncryptionKeyId koleksiyondaki keyCredentials ortak anahtarın anahtar kimliğini belirtir.

   PATCH https://graph.microsoft.com/beta/applications/<application objectid> 
   
   { 
      "tokenEncryptionKeyId":"fdf8c5d8-f727-43fd-beaf-0f1521cf3d35" (The keyId of the keyCredentials entry to use)
   }
   

Sonraki adımlar

• Microsoft Entra ID'nin SAML protokollerini nasıl kullandığını öğrenin
• Microsoft Entra Id'de SAML belirteçlerinin biçimini, güvenlik özelliklerini ve içeriğini öğrenin