Opções avançadas de assinatura de certificado em um token SAML

Hoje Microsoft Entra ID dá suporte a milhares de aplicativos pré-integrados na Galeria de Aplicativos Microsoft Entra. Mais de 500 dos aplicativos dão suporte ao logon único usando o protocolo Security Assertion Markup Language (SAML) 2.0, como o aplicativo NetSuite. Quando um cliente é autenticado em um aplicativo por meio do Microsoft Entra ID usando SAML, o Microsoft Entra ID envia um token ao aplicativo (por meio de um HTTP POST). Em seguida, o aplicativo é validado e usa o token para conectar o cliente em vez de solicitar um nome de usuário e a senha. Esses tokens SAML são assinados com o certificado exclusivo gerado no Microsoft Entra ID e por algoritmos padrão específicos.

O Microsoft Entra ID usa algumas das configurações padrão para os aplicativos de galeria. Os valores padrão são configurados com base nos requisitos do aplicativo.

No Microsoft Entra ID, você pode configurar as opções de assinatura de certificado e o algoritmo de assinatura de certificado.

Opções de assinatura de certificado

O Microsoft Entra ID oferece suporte a três opções de assinatura de certificado:

  • Assinar declaração SAML. A opção padrão é definida para a maioria dos aplicativos de galeria. Se essa opção for selecionada, o Microsoft Entra ID, como um provedor de identidade (IdP), assinará a declaração SAML e o certificado com o certificado X.509 do aplicativo.

  • Assinar resposta SAML. Se você selecionar essa opção, o Microsoft Entra ID como IdP assina a resposta SAML com o certificado X.509 do aplicativo.

  • Assinar resposta SAML e declaração. Se você selecionar essa opção, o Microsoft Entra ID como IdP assinará todo o token SAML com o certificado X.509 do aplicativo.

Algoritmo de assinatura de certificado

O Microsoft Entra ID oferece suporte a dois algoritmos de assinatura, ou algoritmos de hash seguro (SHAs), para assinar a resposta SAML:

  • SHA-256. O Microsoft Entra ID usa esse algoritmo padrão para assinar a resposta SAML. Este é o algoritmo mais recente e é mais seguro do que SHA-1. A maioria dos aplicativos dá suporte ao algoritmo SHA-256. Se um aplicativo suporta somente SHA-1 como o algoritmo de assinatura, você pode alterá-lo. Caso contrário, é recomendável usar o algoritmo SHA256 para assinar a resposta SAML.

  • SHA-1. Esse algoritmo é mais antigo e menos seguro que o SHA-256. Se o aplicativo der suporte somente a esse algoritmo de assinatura, você poderá selecionar essa opção na lista suspensa de Algorítimo de Assinatura. Em seguida, o Microsoft Entra ID assina a resposta SAML com o algoritmo SHA-1.

Pré-requisitos

Para alterar as opções de assinatura de certificado SAML de um aplicativo e o algoritmo de assinatura de certificado, você precisa:

  • Uma conta de usuário do Microsoft Entra. Se você ainda não tem uma, é possível criar uma conta gratuita.
  • Uma das seguintes funções: Administrador de Aplicativos de Nuvem, Administrador de Aplicativos.

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Alterar as opções de assinatura de certificado e o algoritmo de assinatura

Para alterar as opções de assinatura de certificado SAML de um aplicativo e o algoritmo de assinatura de certificado:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativos de nuvem.
  2. Navegue até Identidade>Aplicativos>Aplicativos Empresariais>Todos os aplicativos.
  3. Insira o nome do aplicativo existente na caixa de pesquisa e, em seguida, selecione o aplicativo nos resultados da busca.

Em seguida, altere as opções de assinatura de certificado no token SAML para esse aplicativo:

  1. No painel esquerdo da página de visão geral do aplicativo, selecione Logon único.
  2. Se a página Configurar Logon Único com SAML aparecer, vá para a etapa 5.
  3. Se a página Configurar Logon Único com SAML não aparecer, selecione Alterar modos de logon único.
  4. Na página Selecionar um método de logon único, selecione SAML. Se SAML não estiver disponível, será uma indicação de que o aplicativo não dá suporte a SAML, e você poderá ignorar o restante deste procedimento e artigo.
  5. Na página Configurar o Logon Único com o SAML, localize o título Certificado de Autenticação SAML e selecione o ícone Editar (um lápis). A página Certificado de autenticação SAML é exibida.
  6. Na lista suspensa Opção de Assinatura, escolha Assinar resposta SAML, Assinar declaração SAML ou Assinar resposta e declaração SAML. As descrições dessas opções aparecem mais no começo deste artigo nas Opções de assinatura de certificado.
  7. Na lista suspensa Algoritmo de Assinatura, escolha SHA-1 ou SHA-256. As descrições dessas opções aparecem mais no começo deste artigo na seção Algoritmos de assinatura de certificado.
  8. Se estiver satisfeito com suas escolhas, selecione Salvar para aplicar as novas configurações de certificado de autenticação SAML. Caso contrário, selecione o X para descartar as alterações.

Próximas etapas