教學課程:管理同盟單一登入的憑證
在本文中,我們納入各種與 Microsoft Entra ID 建立憑證,以對軟體即服務 (SaaS) 應用程式建立同盟單一登入 (SSO) 相關的常見問題和相關資訊。 從 Microsoft Entra 應用程式庫,或使用非資源庫應用程式範本來新增應用程式。 使用同盟 SSO 選項以設定應用程式。
本教學課程只與透過安全性聲明標記語言 (SAML) 同盟設定為使用 Microsoft Entra SSO 的應用程式有關。
在本教學課程中,應用程式的系統管理員會了解如何:
- 產生資源庫和非資源庫應用程式的憑證
- 自訂憑證的到期日
- 新增憑證到期日的電子郵件通知地址
- 更新憑證
必要條件
- 具有有效訂用帳戶的 Azure 帳戶。 如果您還未擁有帳戶,請建立免費帳戶。
- 下列其中一個角色:特殊權限角色管理員、雲端應用程式管理員或應用程式管理員。
- 在您的 Microsoft Entra 租用戶中設定的企業應用程式。
為資源庫和非資源庫應用程式自動產生的憑證
從資源庫新增應用程式,並設定 SAML 型登入 (透過在應用程式概觀頁面中選取 [單一登入]>[SAML]) 時,Microsoft Entra ID 會為應用程式產生 3 年的有效自我簽署憑證。 若要以安全性憑證 (.cer) 檔案的形式下載作用中憑證,請返回該頁面 (SAML 型登入),然後選取 SAML 簽署憑證 標題中的下載連結。 您可以選擇原始 (二進位) 憑證或 Base64 (Base 64 編碼的文字) 憑證。 針對資源庫應用程式,本節也會顯示連結,以根據應用程式的需求,將憑證下載為同盟中繼資料 XML (.xml 檔案)。
您也可以下載作用中或非作用中的憑證,方法是選取 SAML 簽署憑證標題的 [編輯] 圖示 (鉛筆),[SAML 簽署憑證] 頁面會隨即顯示。 選取您要下載的憑證旁的省略符號 ([...]),然後選擇您要的憑證格式。 您可以使用其他選項,以隱私增強郵件 (PEM) 格式下載憑證。 這種格式與 Base64 相同,但副檔名為在 Windows 中無法辨識為憑證格式的 pem。
自訂同盟憑證的到期日期及變換新的憑證
依預設,Azure 將憑證設定為在 SAML 單一登入設定期間自動建立的三年之後到期。 因為您無法在儲存憑證之後變更該憑證的日期,所以您必須:
- 使用所需的日期建立新的憑證。
- 儲存新的憑證。
- 以正確的格式下載新憑證。
- 將新的憑證上傳至應用程式。
- 讓新憑證在 Microsoft Entra 系統管理中心中處於作用中狀態。
下列兩節可協助您執行這些步驟。
建立新的憑證
提示
根據您開始使用的入口網站,本文中的步驟可能略有不同。
請先建立並儲存到期日不同的新憑證:
- 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > [所有應用程式]。
- 在搜尋方塊中輸入現有應用程式的名稱,然後從搜尋結果中選取應用程式。
- 在 [管理] 區段中,選取 [單一登入]。
- 若顯示 [選取單一登入方法] 頁面,選取 [SAML]。
- 在 [設定使用 SAML 的單一登入] 頁面中,尋找 [SAML 簽署憑證] 標題,並選取 [編輯] 圖示 (鉛筆)。 [SAML 簽署憑證] 頁面隨即出現,其中顯示狀態 (作用中或非使用中)、到期日和每個憑證的指紋 (雜湊字串)。
- 選取新憑證。 新的資料列會出現在憑證清單下方,其中的到期日預設為目前日期的後三年。 (變更尚未儲存,所以您仍然可以修改到期日。)
- 在新的憑證資料列中,將滑鼠停留在 [到期日] 資料行上方,然後選取 [選取日期] 圖示 (行事曆)。 行事曆控制項隨即出現,並顯示新資料列目前到期日的月份天數。
- 使用行事曆控制項來設定新的日期。 您可以設定目前日期與目前日期三年後之間的任何日期。
- 選取 [儲存]。 新憑證現在會顯示非作用中狀態、您所選擇的到期日和指紋。
注意
當您現有的憑證已經過期,而您產生新的憑證時,則可以考慮將新的憑證用於簽署權杖 (即使您尚未予以啟動亦然)。
- 選取 [X] 以返回[設定使用 SAML 的單一登入] 分頁。
上傳並啟動憑證
接下來,以正確的格式下載新憑證、將其上傳至應用程式,並讓其在 Microsoft Entra ID 中啟用:
使用下列其中一個選項,檢視應用程式的更多 SAML 登入設定指示。
- 選取 [設定指南] 連結,以在另一個瀏覽器視窗或索引標籤中檢視。
- 瀏覽至 [設定] 標題,然後選取 [檢視逐步指示] 以在側邊欄中檢視。
在指示中,請記下憑證上傳所需的編碼格式。
請遵循先前為資源庫和非資源庫應用程式自動產生憑證一節中的指示。 此步驟會下載應用程式上傳所需編碼格式的憑證。
當您想要變換至新的憑證時,請返回 [SAML 簽署憑證] 頁面,然後在新儲存的憑證資料列中,選取省略符號 ([...]) 然後選取 [使憑證成為作用中]。 新憑證的狀態會變更為作用中,而先前作用中的憑證會變更為 [非作用中] 狀態。
繼續遵循您先前所顯示應用程式的 SAML 登入設定指示,讓您可以用正確的編碼格式上傳 SAML 簽署憑證。
若應用程式缺少憑證到期驗證,且憑證同時符合 Microsoft Entra ID 和您的應用程式,則儘管憑證已過期,仍然可以存取。 請確定您的應用程式可以驗證憑證的到期日。
如果您打算停用憑證到期驗證,則不應在憑證變換的排程維護時段之前建立新的憑證。 如果應用程式上同時存在過期和非作用中的有效憑證,Microsoft Entra ID 會自動利用有效的憑證。 在此情況下,使用者可能會遇到應用程式中斷的情況。
新增憑證到期的電子郵件通知位址
Microsoft Entra ID 會在 SAML 憑證到期的 60 天、30 天和 7 天之前各傳送一則電子郵件通知。 您可以新增多個電子郵件地址來接收通知。 若要指定一或多個電子郵件地址,您希望將通知傳送到:
- 在 [SAML 簽署憑證] 頁面中,移至 [通知電子郵件地址] 標題。 依預設,此欄位會填入新增該應用程式管理員的電子郵件地址。
- 在 [最終電子郵件地址] 下,輸入應接收憑證到期通知的電子郵件地址,然後按 Enter。
- 針對您要新增的每個電子郵件地址重複上述步驟。
- 針對您想要刪除的每個電子郵件地址,選取電子郵件地址旁的 [刪除] 圖示 (垃圾桶)。
- 選取 [儲存]。
您最多可以將 5 個電子郵件地址新增至通知清單(包括新增該應用程式管理員的電子郵件地址)。 如果您需要通知更多人員,請使用通訊群組清單電子郵件。
您會收到來自 azure-noreply@microsoft.com 的通知電子郵件。 若要避免電子郵件移至垃圾郵件位置,請務必將該電子郵件地址新增為您的連絡人。
更新即將到期的憑證
如果憑證即將到期,您可以使用不會導致使用者嚴重停機的程序來更新憑證。 若要更新即將到期的憑證:
使用與現有憑證重疊的日期,並遵循先前建立新憑證一節中的指示。 該日期會限制憑證到期所造成的停機時間。
如果應用程式可以自動輪替憑證,請遵循下列步驟,將新憑證設定為作用中。
- 返回 [SAML 簽署憑證] 頁面。
- 在新儲存的憑證資料列中,選取省略號 ([...]) 然後選取 [使憑證成為作用中]。
- 略過接下來的兩個步驟。
如果應用程式一次只能處理一個憑證,請挑選停機時間間隔以執行下一個步驟。 (否則,如果應用程式不會自動挑選新的憑證,但可以處理多個簽署憑證,您可以隨時執行下一個步驟)。
在舊憑證到期之前,請遵循先前上傳並啟動憑證一節中的指示。 新憑證在 Microsoft Entra ID 中更新之後,若應用程式憑證並未更新,則應用程式上的驗證可能會失敗。
請登入應用程式,以確定憑證正確運作。
若應用程式缺少憑證到期驗證,且憑證同時符合 Microsoft Entra ID 和您的應用程式,則儘管憑證已過期,仍然可以存取。 請確定您的應用程式可以驗證憑證的到期日。