Skonfiguruj szyfrowanie tokenu Microsoft Entra SAML

Uwaga

Szyfrowanie tokenu to funkcja Microsoft Entra ID P1 lub P2. Aby dowiedzieć się więcej o edycjaсh Microsoft Entra, funkcjach i cennikach, zapoznaj się z Cennik Microsoft Entra.

Szyfrowanie tokenów SAML umożliwia korzystanie z zaszyfrowanych asercji SAML z aplikacją, która ją obsługuje. Po skonfigurowaniu aplikacji identyfikator Entra firmy Microsoft szyfruje aseracje SAML emitowane dla tej aplikacji. Szyfruje asercji SAML przy użyciu klucza publicznego uzyskanego z certyfikatu przechowywanego w usłudze Microsoft Entra ID. Aplikacja musi użyć pasującego klucza prywatnego, aby odszyfrować token, zanim będzie można go użyć jako dowodów uwierzytelniania dla zalogowanego użytkownika.

Szyfrowanie asercji SAML między Microsoft Entra ID a aplikacją zwiększa pewność, że zawartość tokenu nie może zostać przechwycona ani że dane osobiste lub firmowe nie będą narażone na nieautoryzowany dostęp.

Nawet bez szyfrowania, tokeny Microsoft Entra SAML nigdy nie są przekazywane w sieci w postaci niezaszyfrowanej. Microsoft Entra ID wymaga, aby wymiana żądań/odpowiedzi tokenu odbywała się za pośrednictwem szyfrowanych kanałów HTTPS/TLS, tak aby komunikacja między dostawcą tożsamości, przeglądarką i aplikacją odbywała się poprzez szyfrowane łącza. Rozważ wartość szyfrowania tokenów w danej sytuacji w porównaniu z obciążeniem zarządzania większymi certyfikatami.

Aby skonfigurować szyfrowanie tokenu, należy przekazać plik certyfikatu X.509 zawierający klucz publiczny do obiektu aplikacji Microsoft Entra reprezentującego aplikację.

Aby uzyskać certyfikat X.509, możesz pobrać go z samej aplikacji. Możesz również pobrać go od dostawcy aplikacji w przypadkach, w których dostawca aplikacji udostępnia klucze szyfrowania. Jeśli aplikacja oczekuje podania klucza prywatnego, możesz utworzyć go przy użyciu narzędzi kryptograficznych. Część klucza prywatnego jest przekazywana do magazynu kluczy aplikacji, a pasujący certyfikat klucza publicznego zostaje przekazany do Microsoft Entra ID.

Identyfikator Entra firmy Microsoft używa protokołu AES-256 do szyfrowania danych asercji SAML.

Wymagania wstępne

Aby skonfigurować szyfrowanie tokenów SAML, potrzebne są następujące elementy:

• Konto użytkownika Microsoft Entra. Jeśli jeszcze go nie masz, możesz bezpłatnie utworzyć konto.
• Jedna z następujących ról:
  • Administrator aplikacji w chmurze
  • Administrator aplikacji
  • właściciel głównej usługi

Konfigurowanie szyfrowania tokenów SAML aplikacji dla przedsiębiorstw

W tej sekcji opisano sposób konfigurowania szyfrowania tokenów SAML aplikacji dla przedsiębiorstw. Te aplikacje są ustawiane z okienka Aplikacje dla przedsiębiorstw w centrum administracyjnym Microsoft Entra, z galerii aplikacji lub aplikacja spoza galerii. W przypadku aplikacji zarejestrowanych w Rejestracjach aplikacji, postępuj zgodnie ze wskazówkami dotyczącymi konfigurowania szyfrowania tokenów SAML zarejestrowanej aplikacji.

Aby skonfigurować szyfrowanie tokenów SAML aplikacji dla przedsiębiorstw, wykonaj następujące kroki:

1. Uzyskaj certyfikat klucza publicznego zgodny z kluczem prywatnym skonfigurowanym w aplikacji.

   Utwórz parę kluczy asymetrycznych do użycia na potrzeby szyfrowania. Jeśli aplikacja dostarcza klucz publiczny do użycia do szyfrowania, postępuj zgodnie z instrukcjami aplikacji, aby pobrać certyfikat X.509.

   Klucz publiczny powinien być przechowywany w pliku certyfikatu X.509 w formacie .cer. Zawartość pliku certyfikatu można skopiować do edytora tekstów i zapisać go jako plik .cer. Plik certyfikatu powinien zawierać tylko klucz publiczny, a nie klucz prywatny.

   Jeśli aplikacja używa klucza utworzonego dla danego wystąpienia, postępuj zgodnie z instrukcjami podanymi przez aplikację w celu zainstalowania klucza prywatnego używanego przez aplikację do odszyfrowywania tokenów z dzierżawy firmy Microsoft Entra.

2. Dodaj certyfikat do konfiguracji aplikacji w identyfikatorze Entra firmy Microsoft.

Konfigurowanie szyfrowania tokenów w centrum administracyjnym firmy Microsoft Entra

Publiczny certyfikat można dodać do konfiguracji aplikacji w centrum administracyjnym firmy Microsoft Entra.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

2. Przejdź do Identity>Applications>Enterprise applications>All applications.

3. Wprowadź nazwę istniejącej aplikacji w polu wyszukiwania, a następnie wybierz aplikację z wyników wyszukiwania.

4. Na stronie aplikacji wybierz pozycję Szyfrowanie tokenu.

   Uwaga

   Szyfrowanie tokena jest dostępne tylko dla aplikacji SAML skonfigurowanych z poziomu okienka Aplikacje dla przedsiębiorstw w centrum administracyjnym Microsoft Entra, zarówno z galerii aplikacji, jak i spoza niej. W przypadku innych aplikacji ta opcja jest wyłączona.

5. Na stronie Szyfrowanie tokenu wybierz pozycję Importuj certyfikat, aby zaimportować plik .cer zawierający publiczny certyfikat X.509.

   

6. Po zaimportowaniu certyfikatu i skonfigurowaniu klucza prywatnego do użycia po stronie aplikacji aktywuj szyfrowanie, wybierając pozycję ... obok stanu odcisku palca, a następnie wybierz pozycję Aktywuj szyfrowanie tokenu z opcji w menu rozwijanym.

7. Wybierz pozycję Tak , aby potwierdzić aktywację certyfikatu szyfrowania tokenu.

8. Upewnij się, że asercji SAML emitowane dla aplikacji są szyfrowane.

Aby dezaktywować szyfrowanie tokenów w centrum administracyjnym Microsoft Entra

1. W centrum administracyjnym Microsoft Entra przejdź do Tożsamość>Aplikacje>Aplikacje dla przedsiębiorstw>Wszystkie aplikacje, a następnie wybierz aplikację z włączonym szyfrowaniem tokenów SAML.

2. Na stronie aplikacji wybierz pozycję Szyfrowanie tokenu, znajdź certyfikat, a następnie wybierz opcję ... , aby wyświetlić menu rozwijane.

3. Wybierz pozycję Dezaktywuj szyfrowanie tokenu.

Konfigurowanie szyfrowania tokenu SAML zarejestrowanej aplikacji

W tej sekcji opisano sposób konfigurowania szyfrowania tokenów SAML zarejestrowanej aplikacji. Te aplikacje są konfigurowane z okienka Rejestracje aplikacji w centrum administracyjnym firmy Microsoft Entra. W przypadku aplikacji dla przedsiębiorstw postępuj zgodnie ze wskazówkami dotyczącymi konfigurowania szyfrowania tokenów SAML aplikacji dla przedsiębiorstw.

Certyfikaty szyfrowania są przechowywane w obiekcie aplikacji w Microsoft Entra ID z tagiem encrypt oznaczającym użycie. Można skonfigurować wiele certyfikatów szyfrowania, a ten, który jest aktywny na potrzeby szyfrowania tokenów, jest identyfikowany przez tokenEncryptionKeyID atrybut .

Identyfikator obiektu aplikacji jest potrzebny do skonfigurowania szyfrowania tokenów przy użyciu interfejsu API programu Microsoft Graph lub programu PowerShell. Tę wartość można znaleźć programowo lub przechodząc do strony Właściwości aplikacji w centrum administracyjnym firmy Microsoft Entra i zauważając wartość Identyfikator obiektu.

Podczas konfigurowania kluczCredential przy użyciu programu Graph, programu PowerShell lub manifestu aplikacji należy wygenerować identyfikator GUID do użycia jako identyfikator keyId.

Aby skonfigurować szyfrowanie tokenu na potrzeby rejestracji aplikacji, wykonaj następujące kroki:

Portal

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

2. Przejdź do Tożsamość>Aplikacje>Rejestracje aplikacji>Wszystkie aplikacje.

3. Wprowadź nazwę istniejącej aplikacji w polu wyszukiwania, a następnie wybierz aplikację z wyników wyszukiwania.

4. Na stronie aplikacji wybierz pozycję Manifest , aby edytować manifest aplikacji.

   W poniższym przykładzie pokazano manifest aplikacji skonfigurowany z dwoma certyfikatami szyfrowania, a drugi wybrany jako aktywny przy użyciu tokenuEncryptionKeyId.

   { 
     "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
     "accessTokenAcceptedVersion": null,
     "allowPublicClient": false,
     "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "appRoles": [],
     "oauth2AllowUrlPathMatching": false,
     "createdDateTime": "2017-12-15T02:10:56Z",
     "groupMembershipClaims": "SecurityGroup",
     "informationalUrls": { 
        "termsOfService": null, 
        "support": null, 
        "privacy": null, 
        "marketing": null 
     },
     "identifierUris": [ 
       "https://testapp"
     ],
     "keyCredentials": [ 
       { 
         "customKeyIdentifier": "Tog/O1Hv1LtdsbPU5nPphbMduD=", 
         "endDate": "2039-12-31T23:59:59Z", 
         "keyId": "aaaaaaaa-0b0b-1c1c-2d2d-333333333333", 
         "startDate": "2018-10-25T21:42:18Z", 
         "type": "AsymmetricX509Cert", 
         "usage": "Encrypt", 
         "value": <Base64EncodedKeyFile> 
         "displayName": "CN=SAMLEncryptTest" 
       }, 
       {
         "customKeyIdentifier": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u=",
         "endDate": "2039-12-31T23:59:59Z", 
         "keyId": "bbbbbbbb-1c1c-2d2d-3e3e-444444444444",
         "startDate": "2018-10-25T21:42:18Z", 
         "type": "AsymmetricX509Cert", 
         "usage": "Encrypt", 
         "value": <Base64EncodedKeyFile> 
         "displayName": "CN=SAMLEncryptTest2" 
       } 
     ], 
     "knownClientApplications": [], 
     "logoUrl": null, 
     "logoutUrl": null, 
     "name": "Test SAML Application", 
     "oauth2AllowIdTokenImplicitFlow": true, 
     "oauth2AllowImplicitFlow": false, 
     "oauth2Permissions": [], 
     "oauth2RequirePostResponse": false, 
     "orgRestrictions": [], 
     "parentalControlSettings": { 
        "countriesBlockedForMinors": [], 
        "legalAgeGroupRule": "Allow" 
       }, 
     "passwordCredentials": [], 
     "preAuthorizedApplications": [], 
     "publisherDomain": null, 
     "replyUrlsWithType": [], 
     "requiredResourceAccess": [], 
     "samlMetadataUrl": null, 
     "signInUrl": "https://127.0.0.1:444/applications/default.aspx?metadata=customappsso|ISV9.1|primary|z" 
     "signInAudience": "AzureADMyOrg",
     "tags": [], 
     "tokenEncryptionKeyId": "bbbbbbbb-1c1c-2d2d-3e3e-444444444444" 
   }  
   

Microsoft Graph PowerShell

1. Użyj modułu Microsoft Graph PowerShell, aby nawiązać połączenie z dzierżawcą. Musisz zalogować się jako co najmniej administrator aplikacji w chmurze.

2. Ustaw ustawienia szyfrowania tokenu za pomocą polecenia Update-MgApplication .

   connect-MgGraph -Scopes "Application.ReadWrite.All"
   Update-MgApplication -ApplicationId <ApplicationObjectId> -KeyCredentials "<KeyCredentialsObject>"  -TokenEncryptionKeyId <keyID>
   
   

3. Przeczytaj ustawienia szyfrowania tokenów przy użyciu następujących poleceń.

   
   $app=Get-MgApplication -ApplicationId <ApplicationObjectId>
   
   $app.KeyCredentials
   
   $app.TokenEncryptionKeyId
   
   

Microsoft Graph

1. Zaktualizuj aplikacje keyCredentials przy użyciu certyfikatu X.509 na potrzeby szyfrowania. Poniższy przykład przedstawia ładunek JSON programu Microsoft Graph z kolekcją poświadczeń klucza skojarzonych z aplikacją.

   Upewnij się, że wyraziłeś zgodę na zezwolenie Application.ReadWrite.All.

   PATCH https://graph.microsoft.com/beta/applications/<application objectid>
   
   { 
      "keyCredentials":[ 
         { 
            "type":"AsymmetricX509Cert","usage":"Encrypt",
            "keyId":"aaaaaaaa-0b0b-1c1c-2d2d-333333333333",    (Use a GUID generator to obtain a value for the keyId)
            "key": "MIICADCCAW2gAwIBAgIQ5j9/b+n2Q4pDvQUCcy3…"  (Base64Encoded .cer file)
         }
       ]
   }
   

2. Zidentyfikuj certyfikat szyfrowania, który jest aktywny na potrzeby szyfrowania tokenów. W poniższym przykładzie pokazano ładunek JSON programu Microsoft Graph z elementem tokenEncryptionKeyId . Element tokenEncryptionKeyId określa identyfikator klucza publicznego z kolekcji keyCredentials.

   PATCH https://graph.microsoft.com/beta/applications/<application objectid> 
   
   { 
      "tokenEncryptionKeyId":"aaaaaaaa-0b0b-1c1c-2d2d-333333333333" (The keyId of the keyCredentials entry to use)
   }
   

Powiązana zawartość

• Dowiedz się, jak identyfikator Entra firmy Microsoft używa protokołu SAML
• Poznaj format, charakterystykę zabezpieczeń i zawartość tokenów SAML w identyfikatorze Entra firmy Microsoft