Konfigurace šifrování tokenu SAML Microsoft Entra

Poznámka:

Šifrování tokenů je funkce Microsoft Entra ID P1 nebo P2. Další informace o edicích, funkcích a cenách Microsoft Entra najdete v tématu o cenách Microsoft Entra.

Šifrování tokenu SAML umožňuje používat šifrované kontrolní výrazy SAML s aplikací, která ho podporuje. Při konfiguraci pro aplikaci Microsoft Entra ID zašifruje kontrolní výrazy SAML, které pro tuto aplikaci generuje. Zašifruje kontrolní výrazy SAML pomocí veřejného klíče získaného z certifikátu uloženého v Microsoft Entra ID. Aplikace musí k dešifrování tokenu použít odpovídající privátní klíč, aby ho bylo možné použít jako důkaz ověřování přihlášeného uživatele.

Šifrování kontrolních výrazů SAML mezi ID Microsoft Entra a aplikací poskytuje větší jistotu, že obsah tokenu nelze zachytit a ohrozit osobní nebo firemní data.

I bez šifrování tokenů se tokeny Microsoft Entra SAML nikdy nepředávají v síti v jasné podobě. Microsoft Entra ID vyžaduje, aby se výměny žádostí a odpovědí tokenu uskutečnily přes šifrované kanály HTTPS/TLS, aby komunikace mezi protokolem IDP, prohlížečem a aplikací probíhala přes šifrované odkazy. Vezměte v úvahu hodnotu šifrování tokenů pro vaši situaci v porovnání s režií při správě více certifikátů.

Pokud chcete nakonfigurovat šifrování tokenu, musíte nahrát soubor certifikátu X.509, který obsahuje veřejný klíč do objektu aplikace Microsoft Entra, který představuje aplikaci.

Pokud chcete získat certifikát X.509, můžete si ho stáhnout ze samotné aplikace. Můžete ho také získat od dodavatele aplikace v případech, kdy dodavatel aplikace poskytuje šifrovací klíče. Pokud aplikace očekává, že zadáte privátní klíč, můžete ho vytvořit pomocí kryptografických nástrojů. Část privátního klíče se nahraje do úložiště klíčů aplikace a odpovídající certifikát veřejného klíče nahraný do Microsoft Entra ID.

Microsoft Entra ID používá AES-256 k šifrování dat kontrolního výrazu SAML.

Požadavky

Ke konfiguraci šifrování tokenu SAML potřebujete:

• Uživatelský účet Microsoft Entra. Pokud ho ještě nemáte, můžete si zdarma vytvořit účet.
• Jedna z následujících rolí: Správce cloudových aplikací, Správce aplikací nebo vlastník instančního objektu.

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Konfigurace šifrování tokenu SAML podnikové aplikace

Tato část popisuje, jak nakonfigurovat šifrování tokenu SAML podnikové aplikace. Tyto aplikace se nastavují z podokna Podnikové aplikace v Centru pro správu Microsoft Entra, a to buď z galerie aplikací, nebo z aplikace mimo galerii. U aplikací registrovaných prostřednictvím Registrace aplikací prostředí postupujte podle pokynů ke konfiguraci šifrování tokenu SAML zaregistrované aplikace.

Pokud chcete nakonfigurovat šifrování tokenu SAML podnikové aplikace, postupujte takto:

1. Získejte certifikát veřejného klíče, který odpovídá privátnímu klíči nakonfigurovaným v aplikaci.

   Vytvořte asymetrický pár klíčů, který se použije k šifrování. Nebo pokud aplikace poskytuje veřejný klíč, který se má použít k šifrování, podle pokynů aplikace stáhněte certifikát X.509.

   Veřejný klíč by měl být uložen v souboru certifikátu X.509 ve formátu .cer. Obsah souboru certifikátu můžete zkopírovat do textového editoru a uložit ho jako soubor .cer. Soubor certifikátu by měl obsahovat pouze veřejný klíč, nikoli privátní klíč.

   Pokud aplikace používá klíč, který jste vytvořili pro vaši instanci, postupujte podle pokynů vaší aplikace k instalaci privátního klíče, který aplikace používá k dešifrování tokenů z vašeho tenanta Microsoft Entra.

2. Přidejte certifikát do konfigurace aplikace v MICROSOFT Entra ID.

Konfigurace šifrování tokenů v Centru pro správu Microsoft Entra

Veřejný certifikát můžete přidat do konfigurace aplikace v Centru pro správu Microsoft Entra.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

2. Přejděte k podnikovým aplikacím>Identita>Aplikace>Všechny aplikace.

3. Do vyhledávacího pole zadejte název existující aplikace a z výsledků hledání vyberte aplikaci.

4. Na stránce aplikace vyberte šifrování tokenu.

   Poznámka:

   Možnost šifrování tokenů je dostupná jenom pro aplikace SAML, které byly nastavené v podokně Podnikové aplikace v Centru pro správu Microsoft Entra, a to buď z galerie aplikací, nebo aplikace mimo galerii. U jiných aplikací je tato možnost zakázaná.

5. Na stránce Šifrování tokenu vyberte Importovat certifikát a naimportujte soubor .cer, který obsahuje váš veřejný certifikát X.509.

   

6. Jakmile se certifikát naimportuje a privátní klíč se nakonfiguruje pro použití na straně aplikace, aktivujte šifrování tak , že vyberete ... vedle stavu kryptografického otisku a pak v rozevírací nabídce vyberete Aktivovat šifrování tokenu.

7. Výběrem možnosti Ano potvrďte aktivaci šifrovacího certifikátu tokenu.

8. Ověřte, že jsou kontrolní výrazy SAML generované pro aplikaci zašifrované.

Deaktivace šifrování tokenů v Centru pro správu Microsoft Entra

1. V Centru pro správu Microsoft Entra přejděte do podnikových aplikací>Identity>Applications>Všechny aplikace a pak vyberte aplikaci s povoleným šifrováním tokenu SAML.

2. Na stránce aplikace vyberte šifrování tokenu, vyhledejte certifikát a pak vyberte možnost ... a zobrazte rozevírací nabídku.

3. Vyberte Deaktivovat šifrování tokenu.

Konfigurace šifrování tokenu SAML zaregistrované aplikace

Tato část popisuje, jak nakonfigurovat šifrování tokenu SAML registrované aplikace. Tyto aplikace jsou nastavené v podokně Registrace aplikací v Centru pro správu Microsoft Entra. V případě podnikové aplikace postupujte podle pokynů ke konfiguraci šifrování tokenu SAML podnikové aplikace.

Šifrovací certifikáty se ukládají na objekt aplikace v Microsoft Entra ID se značkou encrypt využití. Atribut identifikuje několik šifrovacích certifikátů a ten, který je aktivní pro šifrování tokenů tokenEncryptionKeyID .

K konfiguraci šifrování tokenů pomocí rozhraní Microsoft Graph API nebo PowerShellu potřebujete ID objektu aplikace. Tuto hodnotu najdete prostřednictvím kódu programu nebo na stránku Vlastnosti aplikace v Centru pro správu Microsoft Entra a popisem hodnoty ID objektu.

Při konfiguraci keyCredential pomocí Graphu, PowerShellu nebo v manifestu aplikace byste měli vygenerovat identifikátor GUID, který se použije pro id klíče.

Pokud chcete nakonfigurovat šifrování tokenu pro registraci aplikace, postupujte takto:

Azure Portal

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

2. Přejděte k aplikacím> identit>Registrace aplikací> Všechny aplikace.

3. Do vyhledávacího pole zadejte název existující aplikace a z výsledků hledání vyberte aplikaci.

4. Na stránce aplikace vyberte Manifest a upravte manifest aplikace.

   Následující příklad ukazuje manifest aplikace nakonfigurovaný se dvěma šifrovacími certifikáty a druhou vybranou jako aktivní pomocí tokenEncryptionKeyId.

   { 
     "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
     "accessTokenAcceptedVersion": null,
     "allowPublicClient": false,
     "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "appRoles": [],
     "oauth2AllowUrlPathMatching": false,
     "createdDateTime": "2017-12-15T02:10:56Z",
     "groupMembershipClaims": "SecurityGroup",
     "informationalUrls": { 
        "termsOfService": null, 
        "support": null, 
        "privacy": null, 
        "marketing": null 
     },
     "identifierUris": [ 
       "https://testapp"
     ],
     "keyCredentials": [ 
       { 
         "customKeyIdentifier": "Tog/O1Hv1LtdsbPU5nPphbMduD=", 
         "endDate": "2039-12-31T23:59:59Z", 
         "keyId": "aaaaaaaa-0b0b-1c1c-2d2d-333333333333", 
         "startDate": "2018-10-25T21:42:18Z", 
         "type": "AsymmetricX509Cert", 
         "usage": "Encrypt", 
         "value": <Base64EncodedKeyFile> 
         "displayName": "CN=SAMLEncryptTest" 
       }, 
       {
         "customKeyIdentifier": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u=",
         "endDate": "2039-12-31T23:59:59Z", 
         "keyId": "bbbbbbbb-1c1c-2d2d-3e3e-444444444444",
         "startDate": "2018-10-25T21:42:18Z", 
         "type": "AsymmetricX509Cert", 
         "usage": "Encrypt", 
         "value": <Base64EncodedKeyFile> 
         "displayName": "CN=SAMLEncryptTest2" 
       } 
     ], 
     "knownClientApplications": [], 
     "logoUrl": null, 
     "logoutUrl": null, 
     "name": "Test SAML Application", 
     "oauth2AllowIdTokenImplicitFlow": true, 
     "oauth2AllowImplicitFlow": false, 
     "oauth2Permissions": [], 
     "oauth2RequirePostResponse": false, 
     "orgRestrictions": [], 
     "parentalControlSettings": { 
        "countriesBlockedForMinors": [], 
        "legalAgeGroupRule": "Allow" 
       }, 
     "passwordCredentials": [], 
     "preAuthorizedApplications": [], 
     "publisherDomain": null, 
     "replyUrlsWithType": [], 
     "requiredResourceAccess": [], 
     "samlMetadataUrl": null, 
     "signInUrl": "https://127.0.0.1:444/applications/default.aspx?metadata=customappsso|ISV9.1|primary|z" 
     "signInAudience": "AzureADMyOrg",
     "tags": [], 
     "tokenEncryptionKeyId": "bbbbbbbb-1c1c-2d2d-3e3e-444444444444" 
   }  
   

Azure AD PowerShell

1. Pomocí nejnovějšího modulu Azure AD PowerShellu se připojte ke svému tenantovi. Musíte se přihlásit alespoň jako správce cloudových aplikací.

2. Nastavení šifrování tokenu nastavte pomocí příkazu Set-AzureApplication.

   Set-AzureADApplication -ObjectId <ApplicationObjectId> -KeyCredentials "<KeyCredentialsObject>"  -TokenEncryptionKeyId <keyID>
   

3. Pomocí následujících příkazů si přečtěte nastavení šifrování tokenu.

   $app=Get-AzureADApplication -ObjectId <ApplicationObjectId>
   $app.KeyCredentials
   $app.TokenEncryptionKeyId
   

Microsoft Graph PowerShell

1. Pomocí modulu Microsoft Graph PowerShell se připojte ke svému tenantovi. Musíte se přihlásit alespoň jako správce cloudových aplikací.

2. Nastavení šifrování tokenu nastavte pomocí příkazu Update-MgApplication .

   
   Update-MgApplication -ApplicationId <ApplicationObjectId> -KeyCredentials "<KeyCredentialsObject>"  -TokenEncryptionKeyId <keyID>
   
   

3. Pomocí následujících příkazů si přečtěte nastavení šifrování tokenu.

   
   $app=Get-MgApplication -ApplicationId <ApplicationObjectId>
   
   $app.KeyCredentials
   
   $app.TokenEncryptionKeyId
   
   

Microsoft Graph

1. Aktualizujte aplikaci keyCredentials certifikátem X.509 pro šifrování. Následující příklad ukazuje datovou část JSON v Microsoft Graphu s kolekcí přihlašovacích údajů klíčů přidružených k aplikaci.

   PATCH https://graph.microsoft.com/beta/applications/<application objectid>
   
   { 
      "keyCredentials":[ 
         { 
            "type":"AsymmetricX509Cert","usage":"Encrypt",
            "keyId":"aaaaaaaa-0b0b-1c1c-2d2d-333333333333",    (Use a GUID generator to obtain a value for the keyId)
            "key": "MIICADCCAW2gAwIBAgIQ5j9/b+n2Q4pDvQUCcy3…"  (Base64Encoded .cer file)
         }
       ]
   }
   

2. Identifikujte šifrovací certifikát, který je aktivní pro šifrování tokenů. Následující příklad ukazuje datovou část JSON v Microsoft Graphu s elementem tokenEncryptionKeyId . Element tokenEncryptionKeyId určuje ID klíče veřejného klíče z keyCredentials kolekce.

   PATCH https://graph.microsoft.com/beta/applications/<application objectid> 
   
   { 
      "tokenEncryptionKeyId":"aaaaaaaa-0b0b-1c1c-2d2d-333333333333" (The keyId of the keyCredentials entry to use)
   }
   

Další kroky

• Zjistěte, jak Microsoft Entra ID používá protokol SAML.
• Informace o formátu, vlastnostech zabezpečení a obsahu tokenů SAML v Microsoft Entra ID