Condividi tramite

Imporre richieste di autenticazione SAML firmate

  • Articolo

La verifica della firma della richiesta SAML è una funzionalità che convalida la firma delle richieste di autenticazione firmate. Un amministratore dell'app può ora abilitare e disabilitare l'imposizione delle richieste firmate e caricare le chiavi pubbliche da usare per eseguire la convalida.

Se abilitato, Microsoft Entra ID convalida le richieste in base alle chiavi pubbliche configurate. Esistono alcuni scenari in cui le richieste di autenticazione possono avere esito negativo:

  • Il protocollo non è consentito per le richieste firmate. È supportato solo il protocollo SAML.
  • La richiesta non è firmata, ma la verifica è abilitata.
  • Non è presente nessun certificato di verifica configurato per la verifica della firma della richiesta SAML. Per altre informazioni sui requisiti dei certificati, vedere Opzioni di firma del certificato.
  • Verifica della firma non riuscita.
  • L'ID chiave nella richiesta è mancante e due certificati aggiunti di recente non corrispondono alla firma della richiesta.
  • Richiesta firmata ma algoritmo mancante.
  • Nessun certificato corrispondente all'ID chiave specificato.
  • Algoritmo di firma non consentito. È supportato solo RSA-SHA256.

Nota

Un elemento Signature negli elementi AuthnRequest è facoltativo. Se Require Verification certificates non è selezionato, Microsoft Entra ID non convalida le richieste di autenticazione firmate se è presente una firma. La verifica del richiedente viene fornita solo rispondendo agli URL del servizio consumer di asserzione registrati.

Se Require Verification certificates è selezionato, la verifica della firma della richiesta SAML funzionerà solo per le richieste di autenticazione avviate da SP (avviate da provider di servizi/relying party). Solo l'applicazione configurata dal provider di servizi avrà accesso alle chiavi private e pubbliche per firmare le richieste di autenticazione SAML in ingresso dall'applicazione. La chiave pubblica deve essere caricata per consentire la verifica della richiesta, nel qual caso Microsoft Entra ID avrà accesso solo alla chiave pubblica.

L'abilitazione di Require Verification certificates non consentirà la convalida delle richieste di autenticazione avviate da IDP (ad esempio la funzionalità di test SSO, l'icona di avvio dell'app M365 o MyApps) perché IDP non avrebbe le stesse chiavi private dell'applicazione registrata.

Prerequisiti

Per configurare la verifica della firma della richiesta SAML, è necessario:

  • Un account utente di Microsoft Entra. Chi non ha ancora un account può crearlo gratuitamente.
  • Uno dei ruoli seguenti: Amministratore applicazione cloud, Amministratore di applicazioni oppure proprietario dell'entità servizio.

Configurare la verifica della firma della richiesta SAML

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

  2. Passare a Identità>Applicazioni>Applicazioni aziendali>Tutte le applicazioni.

  3. Immettere il nome dell'applicazione esistente nella casella di ricerca e quindi selezionare l'applicazione nei risultati della ricerca.

  4. Passare a Single Sign-on.

  5. Nella schermata Single Sign-On scorrere fino alla sottosezione denominata Certificati di verifica in Certificati SAML.

    Screenshot dei certificati di verifica in Certificati SAML nella pagina Applicazione aziendale.

  6. Seleziona Modifica

  7. Nel nuovo riquadro è possibile abilitare la verifica delle richieste firmate e acconsentire esplicitamente alla verifica dell'algoritmo debole nel caso in cui l'applicazione usi ancora RSA-SHA1 per firmare le richieste di autenticazione.

  8. Per abilitare la verifica delle richieste firmate, selezionare Richiedi certificati di verifica e caricare una chiave pubblica di verifica corrispondente alla chiave privata usata per firmare la richiesta.

    Screenshot della richiesta di certificati di verifica nella pagina Applicazioni aziendali.

  9. Dopo aver caricato il certificato di verifica, selezionare Salva.

  10. Quando la verifica delle richieste firmate è abilitata, l'esperienza di test viene disabilitata perché il provider di servizi deve firmare la richiesta.

    Screenshot dell'avviso di test disabilitato quando le richieste firmate sono abilitate nella pagina Applicazione aziendale.

  11. Per visualizzare la configurazione corrente di un'applicazione aziendale, è possibile passare alla schermata Single Sign-On e visualizzare il riepilogo della configurazione in Certificati SAML. Qui è possibile verificare se la verifica delle richieste firmate è abilitata e il numero di certificati di verifica attivi e scaduti.

    Screenshot della configurazione dell'applicazione aziendale nella schermata Single Sign-On.

Passaggi successivi