Microsoft Entra SAML-tokenversleuteling configureren

Notitie

Tokenversleuteling is een Microsoft Entra ID P1- of P2-functie. Zie Microsoft Entra-prijzen voor meer informatie over Microsoft Entra-edities, -functies en -prijzen.

Met SAML-tokenversleuteling kunt u versleutelde SAML-asserties gebruiken met een toepassing die dit ondersteunt. Wanneer deze is geconfigureerd voor een toepassing, versleutelt Microsoft Entra ID de SAML-asserties die voor die toepassing worden verzonden. Hiermee worden de SAML-asserties versleuteld met behulp van de openbare sleutel die is verkregen uit een certificaat dat is opgeslagen in Microsoft Entra-id. De toepassing moet de overeenstemmende persoonlijke sleutel gebruiken om het token te ontsleutelen voordat het kan worden gebruikt als bewijs van verificatie voor de aangemelde gebruiker.

Het versleutelen van de SAML-asserties tussen Microsoft Entra ID en de toepassing biedt meer zekerheid dat de inhoud van het token niet kan worden onderschept en dat er inbreuk is op persoonlijke of bedrijfsgegevens.

Zelfs zonder tokenversleuteling worden Microsoft Entra SAML-tokens nooit in het netwerk doorgegeven. Microsoft Entra ID vereist dat tokenaanvraag-/antwoorduitwisselingen plaatsvinden via versleutelde HTTPS/TLS-kanalen, zodat communicatie tussen de IDP, browser en toepassing plaatsvindt via versleutelde koppelingen. Houd rekening met de waarde van de tokenversleuteling voor uw situatie in vergelijking met de overhead voor het beheren van meer certificaten.

Als u tokenversleuteling wilt configureren, moet u een X.509-certificaatbestand uploaden dat de openbare sleutel bevat naar het Microsoft Entra-toepassingsobject dat de toepassing vertegenwoordigt.

Als u het X.509-certificaat wilt verkrijgen, kunt u het downloaden van de toepassing zelf. U kunt deze ook ophalen bij de leverancier van de toepassing in gevallen waarin de leverancier van de toepassing versleutelingssleutels biedt. Als de toepassing verwacht dat u een persoonlijke sleutel opgeeft, kunt u deze maken met behulp van cryptografiehulpprogramma's. Het gedeelte met de persoonlijke sleutel wordt geüpload naar het sleutelarchief van de toepassing en het overeenkomende openbare-sleutelcertificaat dat is geüpload naar Microsoft Entra-id.

Microsoft Entra ID maakt gebruik van AES-256 om de SAML-assertiegegevens te versleutelen.

Vereisten

Voor het configureren van SAML-tokenversleuteling hebt u het volgende nodig:

• Een Microsoft Entra-gebruikersaccount. Als u dat nog niet hebt, kunt u gratis een account maken.
• Een van de volgende rollen: cloudtoepassingsbeheerder, toepassingsbeheerder of eigenaar van de service-principal.

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

De SAML-tokenversleuteling voor bedrijfstoepassingen configureren

In deze sectie wordt beschreven hoe u de SAML-tokenversleuteling van een bedrijfstoepassing configureert. Deze toepassingen worden ingesteld vanuit het deelvenster Bedrijfstoepassingen in het Microsoft Entra-beheercentrum, hetzij vanuit de toepassingsgalerie of een niet-galerie-app. Voor toepassingen die zijn geregistreerd via App-registraties moet u de Geregistreerde toepassing SAML-tokenversleuteling richtlijnen volgen.

Voer de volgende stappen uit om de SAML-tokenversleuteling van bedrijfstoepassingen te configureren:

1. Haal een openbaar sleutelcertificaat op dat overeenkomt met een persoonlijke sleutel die is geconfigureerd in de toepassing.

   Maak een asymmetrisch sleutelpaar dat moet worden gebruikt voor versleuteling. Of, als de toepassing een openbare sleutel levert die moet worden gebruikt voor versleuteling, volgt u de instructies van de toepassing om het X.509-certificaat te downloaden.

   De openbare sleutel moet worden opgeslagen in een X.509-certificaatbestand in de .cer-indeling. U kunt de inhoud van het certificaatbestand naar een teksteditor kopiëren en opslaan als een .cer-bestand. Het certificaatbestand mag alleen de openbare sleutel en niet de persoonlijke sleutel bevatten.

   Als de toepassing een sleutel gebruikt die u voor uw exemplaar hebt gemaakt, volgt u de instructies van uw toepassing voor het installeren van de persoonlijke sleutel die de toepassing moet gebruiken om tokens te ontsleutelen vanuit uw Microsoft Entra-tenant.

2. Voeg het certificaat toe aan de toepassingsconfiguratie in Microsoft Entra-id.

Tokenversleuteling configureren in het Microsoft Entra-beheercentrum

U kunt het openbare certificaat toevoegen aan uw toepassingsconfiguratie in het Microsoft Entra-beheercentrum.

1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.

2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Alle toepassingen.

3. Voer de naam van de bestaande toepassing in het zoekvak in en selecteer vervolgens de toepassing in de zoekresultaten.

4. Selecteer tokenversleuteling op de pagina van de toepassing.

   Notitie

   De optie Tokenversleuteling is alleen beschikbaar voor SAML-toepassingen die zijn ingesteld vanuit het deelvenster Bedrijfstoepassingen in het Microsoft Entra-beheercentrum, hetzij vanuit de toepassingsgalerie of een niet-galerie-app. Voor andere toepassingen is deze optie uitgeschakeld.

5. Op de pagina Tokenversleuteling, selecteert u Certificaat importeren om het .cer-bestand te importeren dat uw openbare X.509-certificaat bevat.

   

6. Zodra het certificaat is geïmporteerd en de persoonlijke sleutel is geconfigureerd voor gebruik aan de toepassingszijde, activeert u de versleuteling door ... te selecteren naast de vingerafdrukstatus en vervolgens Tokenversleuteling activeren in de opties in de vervolgkeuzelijst.

7. Selecteer Ja om de activering van het tokenversleutelingscertificaat te bevestigen.

8. Controleer of de SAML-asserties zijn versleuteld die voor de toepassing zijn verzonden.

Tokenversleuteling deactiveren in het Microsoft Entra-beheercentrum

1. Blader in het Microsoft Entra-beheercentrum naar Bedrijfstoepassingen voor identiteitstoepassingen>>>alle toepassingen en selecteer vervolgens de toepassing waarvoor SAML-tokenversleuteling is ingeschakeld.

2. Selecteer Tokenversleuteling op de pagina van de toepassing. Zoek het certificaat en selecteer vervolgens de optie ... om het vervolgkeuzemenu weer te geven.

3. Selecteer Tokenversleuteling deactiveren.

De SAML-tokenversleuteling voor geregistreerde toepassingen configureren

In deze sectie wordt beschreven hoe u de SAML-tokenversleuteling van een geregistreerde toepassing configureert. Deze toepassingen worden ingesteld vanuit het deelvenster App-registraties in het Microsoft Entra-beheercentrum. Volg voor de bedrijfstoepassingen de richtlijnen voor SAML-tokenversleuteling voor bedrijfstoepassingen configureren.

Versleutelingscertificaten worden opgeslagen op het toepassingsobject in Microsoft Entra ID met een encrypt gebruikstag. U kunt meerdere versleutelingscertificaten configureren en de certificaten die actief zijn voor het versleutelen van tokens worden geïdentificeerd door het tokenEncryptionKeyID kenmerk.

U hebt de object-id van de toepassing nodig om tokenversleuteling te configureren met behulp van Microsoft Graph API of PowerShell. U kunt deze waarde programmatisch vinden of door naar de pagina Eigenschappen van de toepassing te gaan in het Microsoft Entra-beheercentrum en de waarde van de object-id te noteren.

Wanneer u een keyCredential configureert met Graph, PowerShell of in het toepassingsmanifest moet u een GUID genereren die moet worden gebruikt voor de keyId.

Voer de volgende stappen uit om tokenversleuteling te configureren voor een toepassingsregistratie:

Portal

1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.

2. Blader naar Identiteitstoepassingen>> App-registraties> Alle toepassingen.

3. Voer de naam van de bestaande toepassing in het zoekvak in en selecteer vervolgens de toepassing in de zoekresultaten.

4. Selecteer Manifest op de pagina van de toepassing om het toepassingsmanifest te bewerken.

   In het volgende voorbeeld ziet u een toepassingsmanifest dat is geconfigureerd met twee versleutelingscertificaten en waarbij de tweede is geselecteerd als de actieve manifest met behulp van de tokenEncryptionKeyId.

   { 
     "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
     "accessTokenAcceptedVersion": null,
     "allowPublicClient": false,
     "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "appRoles": [],
     "oauth2AllowUrlPathMatching": false,
     "createdDateTime": "2017-12-15T02:10:56Z",
     "groupMembershipClaims": "SecurityGroup",
     "informationalUrls": { 
        "termsOfService": null, 
        "support": null, 
        "privacy": null, 
        "marketing": null 
     },
     "identifierUris": [ 
       "https://testapp"
     ],
     "keyCredentials": [ 
       { 
         "customKeyIdentifier": "Tog/O1Hv1LtdsbPU5nPphbMduD=", 
         "endDate": "2039-12-31T23:59:59Z", 
         "keyId": "aaaaaaaa-0b0b-1c1c-2d2d-333333333333", 
         "startDate": "2018-10-25T21:42:18Z", 
         "type": "AsymmetricX509Cert", 
         "usage": "Encrypt", 
         "value": <Base64EncodedKeyFile> 
         "displayName": "CN=SAMLEncryptTest" 
       }, 
       {
         "customKeyIdentifier": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u=",
         "endDate": "2039-12-31T23:59:59Z", 
         "keyId": "bbbbbbbb-1c1c-2d2d-3e3e-444444444444",
         "startDate": "2018-10-25T21:42:18Z", 
         "type": "AsymmetricX509Cert", 
         "usage": "Encrypt", 
         "value": <Base64EncodedKeyFile> 
         "displayName": "CN=SAMLEncryptTest2" 
       } 
     ], 
     "knownClientApplications": [], 
     "logoUrl": null, 
     "logoutUrl": null, 
     "name": "Test SAML Application", 
     "oauth2AllowIdTokenImplicitFlow": true, 
     "oauth2AllowImplicitFlow": false, 
     "oauth2Permissions": [], 
     "oauth2RequirePostResponse": false, 
     "orgRestrictions": [], 
     "parentalControlSettings": { 
        "countriesBlockedForMinors": [], 
        "legalAgeGroupRule": "Allow" 
       }, 
     "passwordCredentials": [], 
     "preAuthorizedApplications": [], 
     "publisherDomain": null, 
     "replyUrlsWithType": [], 
     "requiredResourceAccess": [], 
     "samlMetadataUrl": null, 
     "signInUrl": "https://127.0.0.1:444/applications/default.aspx?metadata=customappsso|ISV9.1|primary|z" 
     "signInAudience": "AzureADMyOrg",
     "tags": [], 
     "tokenEncryptionKeyId": "bbbbbbbb-1c1c-2d2d-3e3e-444444444444" 
   }  
   

PowerShell voor Azure AD

1. Gebruik de nieuwste Azure AD PowerShell-module om verbinding te maken met uw tenant. U moet zich aanmelden als ten minste een cloudtoepassingsbeheerder.

2. Configureer de instellingen voor de tokenversleuteling met de opdracht Set-AzureApplication.

   Set-AzureADApplication -ObjectId <ApplicationObjectId> -KeyCredentials "<KeyCredentialsObject>"  -TokenEncryptionKeyId <keyID>
   

3. Lees de instellingen voor de tokenversleuteling met behulp van de volgende opdrachten.

   $app=Get-AzureADApplication -ObjectId <ApplicationObjectId>
   $app.KeyCredentials
   $app.TokenEncryptionKeyId
   

Microsoft Graph PowerShell

1. Gebruik de Microsoft Graph PowerShell-module om verbinding te maken met uw tenant. U moet zich aanmelden als ten minste een cloudtoepassingsbeheerder.

2. Stel de instellingen voor tokenversleuteling in met behulp van de opdracht Update-MgApplication.

   
   Update-MgApplication -ApplicationId <ApplicationObjectId> -KeyCredentials "<KeyCredentialsObject>"  -TokenEncryptionKeyId <keyID>
   
   

3. Lees de instellingen voor de tokenversleuteling met behulp van de volgende opdrachten.

   
   $app=Get-MgApplication -ApplicationId <ApplicationObjectId>
   
   $app.KeyCredentials
   
   $app.TokenEncryptionKeyId
   
   

Microsoft Graph

1. Werk de toepassing keyCredentials bij met een X.509-certificaat voor versleuteling. In het volgende voorbeeld ziet u een Microsoft Graph JSON-nettolading met een verzameling sleutelreferenties die aan de toepassing zijn gekoppeld.

   PATCH https://graph.microsoft.com/beta/applications/<application objectid>
   
   { 
      "keyCredentials":[ 
         { 
            "type":"AsymmetricX509Cert","usage":"Encrypt",
            "keyId":"aaaaaaaa-0b0b-1c1c-2d2d-333333333333",    (Use a GUID generator to obtain a value for the keyId)
            "key": "MIICADCCAW2gAwIBAgIQ5j9/b+n2Q4pDvQUCcy3…"  (Base64Encoded .cer file)
         }
       ]
   }
   

2. Identificeer het versleutelingscertificaat dat actief is voor het versleutelen van tokens. In het volgende voorbeeld ziet u een Microsoft Graph JSON-nettolading met het tokenEncryptionKeyId element. Het tokenEncryptionKeyId element geeft de sleutel-id op van een openbare sleutel uit de keyCredentials verzameling.

   PATCH https://graph.microsoft.com/beta/applications/<application objectid> 
   
   { 
      "tokenEncryptionKeyId":"aaaaaaaa-0b0b-1c1c-2d2d-333333333333" (The keyId of the keyCredentials entry to use)
   }
   

Volgende stappen

• Ontdek hoe Microsoft Entra ID gebruikmaakt van het SAML-protocol
• Meer informatie over de indeling, beveiligingskenmerken en inhoud van SAML-tokens in Microsoft Entra ID