Partager via

Appliquer des demandes d’authentification SAML signées

  • Article

La vérification des signatures des demandes SAML est une fonctionnalité qui valide la signature des demandes d’authentification signées. Un Administrateur d’application peut désormais activer et désactiver la mise en application de demandes signées et charger les clés publiques qui doivent être utilisées pour effectuer la validation.

Si elle est activée, Microsoft Entra ID valide les demandes par rapport aux clés publiques configurées. Il existe des scénarios où les demandes d’authentification peuvent échouer :

  • Protocole non autorisé pour les demandes signées. Seul le protocole SAML est pris en charge.
  • Demande non signée, mais la vérification est activée.
  • Aucun certificat de vérification configuré pour la vérification des signatures des demandes SAML. Pour plus d'informations sur les spécifications requises des certificats, consultez Options de signature des certificats.
  • Échec de la vérification de signature.
  • L’identificateur de clé de la demande est manquant et deux certificats récemment ajoutés ne correspondent pas à la signature de la demande.
  • Demande signée mais algorithme manquant.
  • Aucun certificat correspondant à l’identificateur de clé fourni.
  • Algorithme de signature non autorisé. Seul RSA-SHA256 est pris en charge.

Notes

Un élément Signature dans des éléments AuthnRequest est facultatif. Si Require Verification certificates n’est pas vérifié, Microsoft Entra ID ne valide pas les demandes d’authentification signées si une signature est présente. La vérification du demandeur est fournie en répondant uniquement aux URL Assertion Consumer Service inscrites.

Si Require Verification certificates est vérifié, la vérification de signature de requête SAML fonctionne uniquement pour des requêtes d’authentification initiées par le fournisseur de services(lancées par le fournisseur de services/la partie de confiance). Seule l’application configurée par le fournisseur de services a accès aux clés privées et publiques pour signer les requêtes d’authentification SAML entrantes depuis l’application. La clé publique doit être chargée pour permettre la vérification de la requête, auquel cas Microsoft Entra ID n’aura accès qu’à la clé publique.

L’activation Require Verification certificates n’autorise pas la validation des requêtes d’authentification initiées par le fournisseur d’identité (comme la fonctionnalité de test de l’authentification unique, MyApps ou le lanceur d’applications M365), car le fournisseur d’identité ne possède pas les mêmes clés privées que l’application inscrite.

Prérequis

Pour configurer la vérification de la signature des requêtes SAML, vous avez besoin de :

  • Un compte d’utilisateur Microsoft Entra. Si vous n’en avez pas encore, vous pouvez créer un compte gratuitement.
  • Un des rôles suivants : Administrateur d’application cloud, Administrateur d’application ou propriétaire du principal de service.

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Configurer la vérification de signature de demande SAML

  1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

  2. Accédez à Identité>Applications>Applications d’entreprise>Toutes les applications.

  3. Entrez le nom de l’application dans la zone de recherche, puis sélectionnez l’application dans les résultats.

  4. Accédez à Authentification unique.

  5. Dans l'écran d'authentification unique, faites défiler jusqu'à la sous-section intitulée Certificats de vérification sous Certificats SAML.

    Capture d’écran des certificats de vérification sous Certificats SAML sur la page Application d’entreprise.

  6. Sélectionnez Modifier.

  7. Dans le nouveau volet, vous pouvez activer la vérification des demandes signées et opter pour une vérification d’algorithme faible au cas où votre application utilise toujours RSA-SHA1 pour signer les demandes d’authentification.

  8. Pour activer la vérification des demandes signées, sélectionnez Exiger les certificats de vérification et téléchargez une clé publique de vérification qui correspond à la clé privée utilisée pour signer la demande.

    Capture d’écran de la page Exiger des certificats de vérification dans la page Applications d’entreprise.

  9. Une fois votre certificat de vérification téléchargé, sélectionnez Enregistrer.

  10. Lorsque la vérification des demandes signées est activée, l’expérience de test est désactivée, car le fournisseur de services doit signer la demande.

    Capture d’écran de l’avertissement désactivé lors de l’activation des demandes signées dans la page Application d’entreprise.

  11. Si vous souhaitez voir la configuration actuelle d’une application d’entreprise, vous pouvez accéder à l’écran Authentification unique et voir le résumé de votre configuration sous Certificats SAML. Là, vous pouvez voir si la vérification des demandes signées est activée et le nombre de certificats de vérification actifs et expirés.

    Capture d’écran de la configuration de l’application d’entreprise dans l’écran d’authentification unique.

Étapes suivantes