Avancerade alternativ för certifikatsignering i en SAML-token

  • Artikel

Idag har Microsoft Entra ID stöd för tusentals förintegrerade program i Microsoft Entra App Gallery. Över 500 av programmen stöder enkel inloggning med hjälp av SAML 2.0-protokollet (Security Assertion Markup Language), till exempel NetSuite-programmet . När en kund autentiserar till ett program via Microsoft Entra-ID med hjälp av SAML skickar Microsoft Entra-ID en token till programmet (via en HTTP POST). Programmet validerar och använder sedan token för att logga in kunden i stället för att fråga efter användarnamn och lösenord. Dessa SAML-token signeras med det unika certifikat som genereras i Microsoft Entra-ID och av specifika standardalgoritmer.

Microsoft Entra ID använder några av standardinställningarna för galleriprogrammen. Standardvärdena konfigureras baserat på programmets krav.

I Microsoft Entra-ID kan du konfigurera alternativ för certifikatsignering och algoritmen för certifikatsignering.

Alternativ för certifikatsignering

Microsoft Entra ID har stöd för tre alternativ för certifikatsignering:

  • Signera SAML-försäkran. Det här standardalternativet har angetts för de flesta galleriprogram. Om du väljer det här alternativet signerar Microsoft Entra ID som identitetsprovider (IdP) SAML-försäkran och certifikatet med X.509-certifikatet för programmet.

  • Signera SAML-svar. Om du väljer det här alternativet signerar Microsoft Entra ID som IdP SAML-svaret med X.509-certifikatet för programmet.

  • Signera SAML-svar och -försäkran. Om du väljer det här alternativet signerar Microsoft Entra-ID som IdP hela SAML-token med X.509-certifikatet för programmet.

Algoritmer för certifikatsignering

Microsoft Entra-ID stöder två signeringsalgoritmer eller säkra hashalgoritmer (SHA) för att signera SAML-svaret:

  • SHA-256. Microsoft Entra ID använder den här standardalgoritmen för att signera SAML-svaret. Det är den senaste algoritmen och är säkrare än SHA-1. De flesta program stöder SHA-256-algoritmen. Om ett program endast stöder SHA-1 som signeringsalgoritm kan du ändra det. Annars rekommenderar vi att du använder SHA-256-algoritmen för att signera SAML-svaret.

  • SHA-1. Den här algoritmen är äldre och är mindre säker än SHA-256. Om ett program endast stöder den här signeringsalgoritmen kan du välja det här alternativet i listrutan Signeringsalgoritm . Microsoft Entra-ID signerar sedan SAML-svaret med SHA-1-algoritmen.

Förutsättningar

Om du vill ändra ett programs SAML-certifikatsigneringsalternativ och certifikatsigneringsalgoritmen behöver du:

  • Ett Microsoft Entra-användarkonto. Om du inte redan har ett kan du skapa ett konto kostnadsfritt.
  • En av följande roller: Molnprogramadministratör, programadministratör.

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Ändra alternativ för certifikatsignering och signeringsalgoritm

Så här ändrar du ett programs alternativ för SAML-certifikatsignering och certifikatsigneringsalgoritmen:

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
  2. Bläddra till Identity>Applications Enterprise-program>>Alla program.
  3. Ange namnet på det befintliga programmet i sökrutan och välj sedan programmet i sökresultaten.

Ändra sedan alternativen för certifikatsignering i SAML-token för programmet:

  1. I den vänstra rutan på programöversiktssidan väljer du Enkel inloggning.
  2. Om sidan Konfigurera enkel inloggning med SAML visas går du till steg 5.
  3. Om sidan Konfigurera enkel inloggning med SAML inte visas väljer du Ändra lägen för enkel inloggning.
  4. På sidan Välj en enkel inloggningsmetod väljer du SAML. Om SAML inte är tillgängligt stöder programmet inte SAML och du kan ignorera resten av den här proceduren och artikeln.
  5. På sidan Konfigurera enkel inloggning med SAML letar du reda på rubriken SAML-signeringscertifikat och väljer ikonen Redigera (en penna). Sidan SAML-signeringscertifikat visas.
  6. I listrutan Signeringsalternativ väljer du Signera SAML-svar, Signera SAML-försäkran eller Signera SAML-svar och -försäkran. Beskrivningar av dessa alternativ visas tidigare i den här artikeln i alternativen för certifikatsignering.
  7. I listrutan Signeringsalgoritm väljer du SHA-1 eller SHA-256. Beskrivningar av dessa alternativ visas tidigare i den här artikeln i avsnittet Certifikatsigneringsalgoritmer .
  8. Om du är nöjd med dina val väljer du Spara för att tillämpa de nya inställningarna för SAML-signeringscertifikat. Annars väljer du X för att ignorera ändringarna.

Nästa steg