署名付き SAML 認証要求を適用する
SAML 要求の署名検証は、署名された認証要求の署名を検証する機能です。 アプリ管理者は、署名付き要求の適用を有効または無効にし、検証の実行に使用する公開キーをアップロードできるようになりました。
有効にした場合、Microsoft Entra ID は構成済みの公開キーに対する要求を検証します。 認証要求が失敗する可能性があるシナリオがいくつかあります。
- プロトコルで署名済み要求が許可されていない。 SAML プロトコルのみがサポートされている。
- 要求は署名されていないが、検証は有効になっている。
- SAML 要求の署名検証用に構成された検証証明書がない。 証明書の要件については、「証明書署名オプション」を参照してください。
- 署名の確認に失敗しました。
- 要求のキー識別子が見つからず、最近追加された 2 つの証明書が要求署名と一致しない。
- 要求が署名されていても、アルゴリズムがない。
- 指定されたキー識別子と一致する証明書なない。
- 署名アルゴリズムが許可されていない。 RSA-SHA256 のみがサポートされている。
Note
AuthnRequest 要素内の Signature 要素は省略可能です。 Require Verification certificates がチェックされていない場合、Microsoft Entra ID では、署名がある場合は署名済みの認証要求の検証を行いません。 要求元の検証は、登録されている Assertion Consumer Service の URL に応答することによってのみ提供されます。
Require Verification certificatesがチェックされた場合、SAML 要求署名検証は SP によって開始される (サービス プロバイダー/証明書利用者が開始した) 認証要求に対してのみ機能します。 サービス プロバイダーによって構成されたアプリケーションのみが、アプリケーションからの受信 SAML 認証要求に署名するための秘密キーと公開キーへのアクセス権を持ちます。 要求の検証を許可するために公開キーをアップロードする必要があります。この場合、Microsoft Entra ID は公開キーにのみアクセスできます。
Require Verification certificatesを有効にすると、IDP が登録済みアプリケーションと同じ秘密キーを持っていないため、IDP Initiated 認証要求 (SSO テスト機能、MyApps、M365 アプリ起動ツールなど) は検証されません。
前提条件
SAML 要求の署名検証を構成するには、次の操作が必要です。
- Microsoft Entra ユーザー アカウント。 まだアカウントがない場合は、無料でアカウントを作成することができます。
- 次のいずれかのロール: クラウド アプリケーション管理者、アプリケーション管理者、サービス プリンシパルの所有者。
ヒント
この記事の手順は、開始するポータルによって若干異なる場合があります。
SAML 要求の署名検証を構成する
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[すべてのアプリケーション] に移動します。
検索ボックスに既存のアプリケーションの名前を入力し、検索結果からアプリケーションを選択します。
[シングル サインオン] に移動します。
[シングル サインオン] 画面で、[SAML 証明書] の下に [検証証明書] という名前の新しいサブセクションにスクロールします。
![[エンタープライズ アプリケーション] ページの [SAML 証明書] の下にある [検証証明書] のスクリーンショット。](media/howto-enforce-signed-saml-authentication/samlsignaturevalidation3.png)
[編集] を選択します。
アプリケーションで引き続き RSA-SHA1 を使用して認証要求に署名する場合に備えて、新しいペインでは、署名済み要求の検証を有効にし、脆弱なアルゴリズムの検証をオプトインできます。
署名済み要求の検証を有効にするには、[検証証明書を要求する] を選択し、要求の署名に使用する秘密キーと一致する検証公開キーをアップロードします。
![[エンタープライズ アプリケーション] ページの [検証証明書を要求] のスクリーンショット。](media/howto-enforce-signed-saml-authentication/samlsignaturevalidation4.png)
検証証明書をアップロードしたら、[保存] を選択します。
署名済みの要求の検証を有効にすると、要求がサービス プロバイダーによって署名される必要があるため、テスト エクスペリエンスは無効になります。
![[エンタープライズ アプリケーション] ページで署名された要求が有効になっている場合のテストの無効を示す警告のスクリーンショット。](media/howto-enforce-signed-saml-authentication/samlsignaturevalidation9.png)
エンタープライズ アプリケーションの現在の構成を確認する場合は、[シングル サインオン] 画面に移動し、[SAML 証明書] で構成の概要を確認できます。 ここでは、署名された要求の検証が有効かどうか、およびアクティブな検証証明書と期限切れの検証証明書の数を確認できます。
![[シングル サインオン] 画面におけるエンタープライズ アプリケーションの構成のスクリーンショット。](media/howto-enforce-signed-saml-authentication/samlsignaturevalidation10.png)
次のステップ
- Microsoft Entra ID で SAML プロトコルを使用する方法を参照してください
- Microsoft Entra ID の SAML トークンの形式、セキュリティ特性、および内容について学習する