Configurare la crittografia dei token SAML di Microsoft Entra

Articolo
06/24/2024

Nota

La crittografia dei token è una funzionalità P1 o P2 di Microsoft Entra ID. Per altre informazioni sulle edizioni, le funzionalità e i prezzi di Microsoft Entra, vedere prezzi di Microsoft Entra.

La crittografia dei token SAML consente di usare asserzioni SAML crittografate con un'applicazione che la supporta. Quando è configurata per un'applicazione, Microsoft Entra ID crittografa le asserzioni SAML che emette per l'applicazione usando la chiave pubblica ottenuta da un certificato archiviato in Microsoft Entra ID. L'applicazione deve usare la chiave privata corrispondente per decrittografare il token in modo da poterlo usare come evidenza di autenticazione per l'utente connesso.

La crittografia delle asserzioni SAML tra Microsoft Entra ID e l'applicazione fornisce un'ulteriore garanzia che il contenuto del token non possa essere intercettato e che i dati personali o aziendali non possano essere compromessi.

Anche senza crittografia dei token, i token SAML di Microsoft Entra non vengono mai passati in rete in chiaro. Microsoft Entra ID richiede che gli scambi di richiesta-risposta dei token avvengano su canali HTTPS/TLS crittografati in modo che le comunicazioni tra l'IDP, il browser e l'applicazione abbiano luogo attraverso collegamenti crittografati. Considerare il valore della crittografia dei token per la propria situazione specifica rispetto al sovraccarico di gestione di certificati aggiuntivi.

Per configurare la crittografia dei token, è necessario caricare un file di certificato X.509 contenente la chiave pubblica nell'oggetto applicazione di Microsoft Entra che rappresenta l'applicazione. È possibile scaricare il certificato X.509 dall'applicazione stessa oppure ottenerlo dal fornitore dell'applicazione, qualora quest'ultimo fornisca le chiavi di crittografia. Se l'applicazione si aspetta che l'utente fornisca una chiave privata, è possibile crearla usando strumenti di crittografia, quindi caricare la parte relativa alla chiave privata nell'archivio chiavi dell'applicazione e il certificato di chiave pubblica corrispondente in Microsoft Entra ID.

Microsoft Entra ID usa AES-256 per crittografare i dati delle asserzioni SAML.

Prerequisiti

Per configurare la crittografia del token SAML, è necessario:

Un account utente di Microsoft Entra. Se non si ha già un account, è possibile crearne uno gratuitamente.
Uno dei ruoli seguenti: Amministratore applicazione cloud, Amministratore di applicazioni oppure proprietario dell'entità servizio.

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Configurare la crittografia del token SAML dell'applicazione aziendale

Questa sezione descrive come configurare la crittografia del token SAML dell'applicazione aziendale. Le applicazioni che sono state configurate dal pannello Applicazioni aziendali nell'Interfaccia di amministrazione di Microsoft Entra, sia dalla raccolta di applicazioni che da un'app che non fa parte della raccolta. Per le applicazioni registrate tramite l'esperienza Registrazioni di app, seguire le indicazioni in Configurare la crittografia del token SAML dell'applicazione registrata.

Per configurare la crittografia del token SAML dell'applicazione aziendale, seguire questa procedura:

Ottenere un certificato di chiave pubblica corrispondente a una chiave privata configurata nell'applicazione.

Creare una coppia di chiavi asimmetriche da usare per la crittografia. Oppure, se l'applicazione fornisce una chiave pubblica da usare per la crittografia, seguire le istruzioni dell'applicazione per scaricare il certificato X.509.

La chiave pubblica deve essere archiviata in un file di certificato X.509 nel formato con estensione cer. È possibile copiare il contenuto del file di certificato in un editor di testo e salvarlo come file .cer. Il file di certificato deve contenere solo la chiave pubblica e non la chiave privata.

Se l'applicazione usa una chiave creata dall'utente per la propria istanza, seguire le istruzioni fornite dall'applicazione per installare la chiave privata che verrà usata dall'applicazione per decrittografare i token dal tenant di Microsoft Entra.
Aggiungere il certificato alla configurazione dell'applicazione in Microsoft Entra ID.

Configurare la crittografia del token nell'interfaccia di amministrazione di Microsoft Entra

.È possibile aggiungere il certificato pubblico alla configurazione dell'applicazione dall'Interfaccia di amministrazione di Microsoft Entra.

Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
Passare a Identità>Applicazioni>Applicazioni aziendali>Tutte le applicazioni.
Immettere il nome dell'applicazione esistente nella casella di ricerca e quindi selezionare l'applicazione nei risultati della ricerca.
Nella pagina dell'applicazione selezionare Crittografia di token.

Nota

L'opzione di crittografia token è disponibile solo per le applicazioni SAML che sono state configurate dal pannello Applicazioni aziendali nell'Interfaccia di amministrazione di Microsoft Entra, sia dalla raccolta di applicazioni che da un'app che non fa parte della raccolta. Per altre applicazioni questa opzione di menu è disabilitata.
Nella pagina Crittografia di token selezionare Importa certificato per importare il file con estensione cer che contiene il certificato X.509 pubblico.
Dopo aver importato il certificato e aver configurato la chiave privata per l'uso sul lato applicazione, attivare la crittografia selezionando ... accanto allo stato dell'identificazione personale, quindi selezionare Attiva certificato per la crittografia di token dal menu a discesa.
Selezionare Sì per confermare l'attivazione del certificato per la crittografia di token.
Verificare che le asserzioni SAML emesse per l'applicazione siano crittografate.

Per disattivare la crittografia del token nell'interfaccia di amministrazione di Microsoft Entra

Nell'interfaccia di amministrazione di Microsoft Entra passare a Identità>Applicazioni>Applicazioni aziendali>Tutte le applicazioni e quindi selezionare l'applicazione con crittografia del token SAML abilitata.
Nella pagina dell'applicazione selezionare Crittografia di token, trovare il certificato e quindi selezionare l'opzione ... per visualizzare il menu a discesa.
Selezionare Disattiva certificato per la crittografia di token.

Configurare la crittografia del token SAML dell'applicazione registrata

Questa sezione descrive come configurare la crittografia del token SAML dell'applicazione registrata. Applicazioni configurate dal pannello Registrazioni di app nell'interfaccia di amministrazione di Microsoft Entra. Per le applicazioni aziendali, seguire le indicazioni in Configurare la crittografia del token SAML dell'applicazione aziendale.

I certificati di crittografia vengono archiviati nell'oggetto applicazione in Microsoft Entra ID con un tag di utilizzo encrypt. È possibile configurare più certificati di crittografia. Quello attivo per la crittografia dei token è identificato dall'attributo tokenEncryptionKeyID.

Per configurare la crittografia dei token tramite l'API Graph o PowerShell è necessario l'ID oggetto dell'applicazione. È possibile trovare questo valore a livello di codice oppure nella pagina Proprietà dell'interfaccia di amministrazione di Microsoft Entra, nel campo ID oggetto.

Quando si configura un oggetto keyCredential tramite Graph, PowerShell o il manifesto dell'applicazione, occorre generare un GUID da usare per il keyId.

Per configurare la crittografia del token per la registrazione di un'applicazione, seguire questa procedura:

Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
Passare a Identità>Applicazioni>Registrazioni app>Tutte le applicazioni.
Immettere il nome dell'applicazione esistente nella casella di ricerca e quindi selezionare l'applicazione nei risultati della ricerca.

Nella pagina dell'applicazione selezionare Manifesto per modificare il manifesto dell'applicazione.

L'esempio seguente mostra un manifesto dell'applicazione configurato con due certificati di crittografia e con il secondo selezionato come quello attivo che usa il tokenEncryptionKeyId.

{ 
  "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
  "accessTokenAcceptedVersion": null,
  "allowPublicClient": false,
  "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "appRoles": [],
  "oauth2AllowUrlPathMatching": false,
  "createdDateTime": "2017-12-15T02:10:56Z",
  "groupMembershipClaims": "SecurityGroup",
  "informationalUrls": { 
     "termsOfService": null, 
     "support": null, 
     "privacy": null, 
     "marketing": null 
  },
  "identifierUris": [ 
    "https://testapp"
  ],
  "keyCredentials": [ 
    { 
      "customKeyIdentifier": "Tog/O1Hv1LtdsbPU5nPphbMduD=", 
      "endDate": "2039-12-31T23:59:59Z", 
      "keyId": "aaaaaaaa-0b0b-1c1c-2d2d-333333333333", 
      "startDate": "2018-10-25T21:42:18Z", 
      "type": "AsymmetricX509Cert", 
      "usage": "Encrypt", 
      "value": <Base64EncodedKeyFile> 
      "displayName": "CN=SAMLEncryptTest" 
    }, 
    {
      "customKeyIdentifier": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u=",
      "endDate": "2039-12-31T23:59:59Z", 
      "keyId": "bbbbbbbb-1c1c-2d2d-3e3e-444444444444",
      "startDate": "2018-10-25T21:42:18Z", 
      "type": "AsymmetricX509Cert", 
      "usage": "Encrypt", 
      "value": <Base64EncodedKeyFile> 
      "displayName": "CN=SAMLEncryptTest2" 
    } 
  ], 
  "knownClientApplications": [], 
  "logoUrl": null, 
  "logoutUrl": null, 
  "name": "Test SAML Application", 
  "oauth2AllowIdTokenImplicitFlow": true, 
  "oauth2AllowImplicitFlow": false, 
  "oauth2Permissions": [], 
  "oauth2RequirePostResponse": false, 
  "orgRestrictions": [], 
  "parentalControlSettings": { 
     "countriesBlockedForMinors": [], 
     "legalAgeGroupRule": "Allow" 
    }, 
  "passwordCredentials": [], 
  "preAuthorizedApplications": [], 
  "publisherDomain": null, 
  "replyUrlsWithType": [], 
  "requiredResourceAccess": [], 
  "samlMetadataUrl": null, 
  "signInUrl": "https://127.0.0.1:444/applications/default.aspx?metadata=customappsso|ISV9.1|primary|z" 
  "signInAudience": "AzureADMyOrg",
  "tags": [], 
  "tokenEncryptionKeyId": "bbbbbbbb-1c1c-2d2d-3e3e-444444444444" 
}

Usare il modulo di Azure AD PowerShell più recente per connettersi al tenant. È necessario accedere almeno come un amministratore applicazione cloud.

Configurare le impostazioni di crittografia del token usando il comando Set-AzureApplication.

Set-AzureADApplication -ObjectId <ApplicationObjectId> -KeyCredentials "<KeyCredentialsObject>"  -TokenEncryptionKeyId <keyID>

Leggere le impostazioni di crittografia del token usando i comandi seguenti.

$app=Get-AzureADApplication -ObjectId <ApplicationObjectId>
$app.KeyCredentials
$app.TokenEncryptionKeyId

Usare il modulo PowerShell di Microsoft Graph per connettersi al tenant. È necessario accedere almeno come un amministratore applicazione cloud.

Configurare le impostazioni di crittografia del token usando il comando Update-MgApplication.


Update-MgApplication -ApplicationId <ApplicationObjectId> -KeyCredentials "<KeyCredentialsObject>"  -TokenEncryptionKeyId <keyID>

Leggere le impostazioni di crittografia del token usando i comandi seguenti.


$app=Get-MgApplication -ApplicationId <ApplicationObjectId>

$app.KeyCredentials

$app.TokenEncryptionKeyId

Aggiornare l'oggetto keyCredentials dell'applicazione con un certificato X.509 per la crittografia. L'esempio seguente mostra un payload JSON di Microsoft Graph con una raccolta di credenziali chiave associate all'applicazione.

PATCH https://graph.microsoft.com/beta/applications/<application objectid>

{ 
   "keyCredentials":[ 
      { 
         "type":"AsymmetricX509Cert","usage":"Encrypt",
         "keyId":"aaaaaaaa-0b0b-1c1c-2d2d-333333333333",    (Use a GUID generator to obtain a value for the keyId)
         "key": "MIICADCCAW2gAwIBAgIQ5j9/b+n2Q4pDvQUCcy3…"  (Base64Encoded .cer file)
      }
    ]
}

Identificare il certificato di crittografia attivo per la crittografia dei token. L'esempio seguente mostra un payload JSON di Microsoft Graph con l'elemento tokenEncryptionKeyId. L'elemento tokenEncryptionKeyId specifica l'ID chiave di una chiave pubblica dall'insieme keyCredentials.
```
PATCH https://graph.microsoft.com/beta/applications/<application objectid> 

{ 
   "tokenEncryptionKeyId":"aaaaaaaa-0b0b-1c1c-2d2d-333333333333" (The keyId of the keyCredentials entry to use)
}
```

Passaggi successivi

Scopri come Microsoft Entra ID usa il protocollo SAML
Informazioni sul formato, le caratteristiche di sicurezza e il contenuto dei token SAML in Microsoft Entra ID

Condividi tramite