Kurz: Správa certifikátů pro federované jednotné přihlašování
V tomto článku se budeme zabývat běžnými dotazy a informacemi souvisejícími s certifikáty, které vytvoří Microsoft Entra ID pro vytvoření federovaného jednotného přihlašování (SSO) k vašim aplikacím saaS (software jako služba). Přidejte aplikace z galerie aplikací Microsoft Entra nebo pomocí šablony aplikace mimo galerii. Nakonfigurujte aplikaci pomocí možnosti federovaného jednotného přihlašování.
Tento kurz je relevantní jenom pro aplikace, které jsou nakonfigurované tak, aby používaly jednotné přihlašování Microsoft Entra prostřednictvím federace SAML (Security Assertion Markup Language).
V tomto kurzu se správce aplikace naučí:
- Generování certifikátů pro aplikace z galerie a aplikací mimo galerii
- Přizpůsobení dat vypršení platnosti certifikátů
- Přidání e-mailové adresy pro data vypršení platnosti certifikátu
- Obnovení certifikátů
Požadavky
- Účet Azure s aktivním předplatným. Pokud ho ještě nemáte, vytvořte si účet zdarma.
- Jedna z následujících rolí: Správce privilegovaných rolí, Správce cloudových aplikací nebo Správce aplikací.
- Podniková aplikace nakonfigurovaná v tenantovi Microsoft Entra.
Automaticky vygenerovaný certifikát pro aplikace z galerie a aplikací mimo galerii
Když přidáte novou aplikaci z galerie a nakonfigurujete přihlašování založené na SAML (výběrem jednotného přihlašování>SAML ze stránky přehledu aplikace), Microsoft Entra ID vygeneruje certifikát podepsaný svým držitelem pro aplikaci, která je platná po dobu tří let. Pokud chcete stáhnout aktivní certifikát jako soubor certifikátu zabezpečení (.cer), vraťte se na tuto stránku (přihlašování založené na SAML) a v záhlaví podpisového certifikátu SAML vyberte odkaz ke stažení. Můžete si vybrat mezi nezpracovaným (binárním) certifikátem nebo certifikátem base 64 (základní text s kódováním 64). V případě aplikací z galerie se může v závislosti na požadavku aplikace zobrazit také odkaz ke stažení certifikátu jako XML federačních metadat ( soubor .xml ).
Aktivní nebo neaktivní certifikát si můžete stáhnout také výběrem ikony Upravit podpisového certifikátu SAML (tužka), která zobrazuje stránku podpisového certifikátu SAML. Vyberte tři tečky (...) vedle certifikátu, který chcete stáhnout, a pak zvolte požadovaný formát certifikátu. Máte druhou možnost stáhnout certifikát ve formátu PEM (Privacy-enhanced mail). Tento formát je shodný s příponou Base64, ale s příponou názvu souboru .pem , která není ve Windows rozpoznána jako formát certifikátu.
Přizpůsobení data vypršení platnosti federačního certifikátu a jeho výměna za nový certifikát
Azure ve výchozím nastavení nakonfiguruje platnost certifikátu tak, aby platnost vypršela po třech letech, když ho vytvoříte automaticky během konfigurace jednotného přihlašování SAML. Vzhledem k tomu, že po uložení nemůžete změnit datum certifikátu, musíte:
- Vytvořte nový certifikát s požadovaným datem.
- Uložte nový certifikát.
- Stáhněte nový certifikát ve správném formátu.
- Nahrajte nový certifikát do aplikace.
- Aktivujte nový certifikát v Centru pro správu Microsoft Entra.
Následující dvě části vám pomůžou tyto kroky provést.
Vytvoření nového certifikátu
Tip
Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.
Nejprve vytvořte a uložte nový certifikát s jiným datem vypršení platnosti:
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
- Přejděte k podnikovým aplikacím>Identita>Aplikace>Všechny aplikace.
- Do vyhledávacího pole zadejte název existující aplikace a z výsledků hledání vyberte aplikaci.
- V části Spravovat vyberte jednotné přihlašování.
- Pokud se zobrazí stránka Vybrat metodu jednotného přihlašování, vyberte SAML.
- Na stránce Nastavit jednotné přihlašování pomocí SAML najděte nadpis podpisového certifikátu SAML a vyberte ikonu Upravit (tužka). Zobrazí se stránka podpisového certifikátu SAML, která zobrazuje stav (Aktivní nebo Neaktivní), datum vypršení platnosti a kryptografický otisk (hashový řetězec) každého certifikátu.
- Vyberte Nový certifikát. Pod seznamem certifikátů se zobrazí nový řádek, ve kterém je datum vypršení platnosti nastaveno na přesně tři roky od aktuálního data. (Změny se ještě neuloží, takže můžete i nadále změnit datum vypršení platnosti.)
- Na novém řádku certifikátu najeďte myší na sloupec data vypršení platnosti a vyberte ikonu Vybrat datum (kalendář). Zobrazí se ovládací prvek kalendáře zobrazující dny v měsíci aktuálního data vypršení platnosti nového řádku.
- Pomocí ovládacího prvku kalendář nastavte nové datum. Můžete nastavit libovolné datum mezi aktuálním datem a třemi roky po aktuálním datu.
- Zvolte Uložit. Nový certifikát se teď zobrazí se stavem Neaktivní, datum vypršení platnosti, které jste zvolili, a kryptografický otisk.
Poznámka:
Pokud máte existující certifikát, jehož platnost již vypršela a vygenerujete nový certifikát, bude nový certifikát považován za podpisové tokeny, i když jste ho ještě neaktivovali.
- Výběrem symbolu X se vrátíte na stránku Nastavit jednotné přihlašování pomocí SAML .
Nahrání a aktivace certifikátu
Dále stáhněte nový certifikát ve správném formátu, nahrajte ho do aplikace a aktivujte ho v MICROSOFT Entra ID:
Zobrazte si další pokyny ke konfiguraci přihlašování SAML pro aplikaci s některou z následujících možností.
- Vyberte odkaz průvodce konfigurací, který se zobrazí v samostatném okně nebo kartě prohlížeče.
- Přejděte k nastavenému nadpisu a vyberte Zobrazit podrobné pokyny k zobrazení na bočním panelu.
V pokynech si poznamenejte formát kódování vyžadovaný pro nahrání certifikátu.
Postupujte podle pokynů v dříve generovaném certifikátu pro galerii a aplikace mimo galerii. Tento krok stáhne certifikát ve formátu kódování požadovaném pro nahrání aplikací.
Pokud chcete přejít na nový certifikát, vraťte se na stránku podpisového certifikátu SAML a v nově uloženém řádku certifikátu vyberte tři tečky (...) a vyberte Nastavit certifikát jako aktivní. Stav nového certifikátu se změní na Aktivní a dříve aktivní certifikát se změní na stav Neaktivní.
Pokračujte podle pokynů pro konfiguraci přihlašování SAML aplikace, které jste zobrazili dříve, abyste mohli nahrát podpisový certifikát SAML ve správném formátu kódování.
Pokud vaše aplikace nemá ověření vypršení platnosti certifikátu a certifikát odpovídá ID Microsoft Entra i vaší aplikaci, zůstane přístupná i přes vypršení platnosti. Ujistěte se, že vaše aplikace může ověřit datum vypršení platnosti certifikátu.
Pokud máte v úmyslu zachovat ověření vypršení platnosti certifikátu zakázané, neměl by se nový certifikát vytvářet, dokud neproběhne časový interval plánované údržby pro vrácení certifikátu. Pokud v aplikaci existuje platnost i neaktivní platný certifikát, microsoft Entra ID automaticky použije platný certifikát. V takovém případě můžou uživatelé zaznamenat výpadek aplikace.
Přidání e-mailových adres pro vypršení platnosti certifikátu
Microsoft Entra ID odesílá e-mailem oznámení 60, 30 a 7 dní před vypršením platnosti certifikátu SAML. Můžete přidat více e-mailových adres, na které budou přicházet oznámení. Pokud chcete zadat jednu nebo více e-mailových adres, chcete, aby se oznámení odesílala na:
- Na stránce podpisového certifikátu SAML přejděte na záhlaví e-mailových adres oznámení. Ve výchozím nastavení používá tento nadpis jenom e-mailovou adresu správce, který aplikaci přidal.
- Pod poslední e-mailovou adresou zadejte e-mailovou adresu, která by měla obdržet oznámení o vypršení platnosti certifikátu, a stiskněte Enter.
- Opakujte předchozí krok pro každou e-mailovou adresu, kterou chcete přidat.
- Pro každou e-mailovou adresu, kterou chcete odstranit, vyberte ikonu Odstranit (odpadkové koše) vedle e-mailové adresy.
- Zvolte Uložit.
Do seznamu oznámení můžete přidat až pět e-mailových adres (včetně e-mailové adresy správce, který aplikaci přidal). Pokud potřebujete dostávat oznámení více lidí, použijte e-maily distribučního seznamu.
Obdržíte e-mail s oznámením od azure-noreply@microsoft.com. Abyste se vyhnuli e-mailu v umístění spamu, přidejte tento e-mail do kontaktů.
Prodloužení platnosti certifikátu, jehož platnost brzy vyprší
Pokud platnost certifikátu brzy vyprší, můžete ho obnovit pomocí postupu, který pro uživatele nemá žádný významný výpadek. Prodloužení platnosti certifikátu:
Postupujte podle pokynů v části Vytvoření nového certifikátu dříve s použitím data, které se překrývají s existujícím certifikátem. Toto datum omezuje množství výpadků způsobených vypršením platnosti certifikátu.
Pokud aplikace může certifikát automaticky převést, nastavte nový certifikát na aktivní pomocí následujícího postupu.
- Vraťte se na stránku podpisového certifikátu SAML.
- V nově uloženém řádku certifikátu vyberte tři tečky (...) a pak vyberte Nastavit certifikát jako aktivní.
- Přeskočte následující dva kroky.
Pokud aplikace dokáže zpracovat pouze jeden certifikát najednou, vyberte interval výpadků a proveďte další krok. (V opačném případě, pokud aplikace automaticky vyzvedne nový certifikát, ale dokáže zpracovat více podpisových certifikátů, můžete provést další krok kdykoli).
Před vypršením platnosti starého certifikátu postupujte podle pokynů v části Nahrání a aktivace certifikátu dříve. Pokud se váš certifikát aplikace po aktualizaci nového certifikátu v ID Microsoft Entra neaktualizuje, může dojít k selhání ověřování ve vaší aplikaci.
Přihlaste se k aplikaci a ujistěte se, že certifikát funguje správně.
Pokud vaše aplikace nemá ověření vypršení platnosti certifikátu a certifikát odpovídá ID Microsoft Entra i vaší aplikaci, zůstane přístupná i přes vypršení platnosti. Ujistěte se, že vaše aplikace může ověřit vypršení platnosti certifikátu.