Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом руководстве вы узнаете, как управлять сертификатами федерации в Microsoft Entra ID, устанавливая даты окончания срока действия и продлевая сертификаты для упрощенного единого входа SAML.
Мы охватываем распространенные вопросы и информацию, связанную с сертификатами, которые Microsoft Entra ID создаёт для установления федеративной единой аутентификации (SSO) для ваших приложений SaaS. Добавьте приложения из коллекции приложений Microsoft Entra или с помощью шаблона приложения, отличного от коллекции. Настройте приложение, используя опцию федеративного единого входа.
Это руководство относится к приложениям, настроенным для использования Microsoft Entra SSO через язык разметки утверждений безопасности (SAML).
В этом руководстве администратор приложения узнает, как:
- создание сертификатов для галерейных и не галерейных приложений
- настройка дат окончания срока действия сертификатов;
- добавление адресов уведомлений по электронной почте для дат окончания срока действия сертификата;
- Обновление сертификатов
- Рекомендации и практические советы для независимых поставщиков программных продуктов при ротации сертификатов
Предварительные требования
- Учетная запись Azure с активной подпиской. Если у вас еще нет учетной записи, создайте ее бесплатно.
- Одна из следующих ролей: администратор привилегированных ролей, администратор облачных приложений или администратор приложений.
- Корпоративное приложение, настроенное в клиенте Microsoft Entra.
Автоматически созданный сертификат для галереи и негалереи
При добавлении нового приложения из коллекции и настройке входа на основе SAML Microsoft Entra ID создает самозаверяющий сертификат для приложения, действующего в течение трех лет. Для получения дополнительных сведений о настройке входа SAML см. раздел Однократная проверка подлинности в приложениях Microsoft Entra ID.
Чтобы скачать активный сертификат в виде сертификата безопасности (.cer), перейдите к следующему разделу в Центр администрирования Microsoft Entra:
Entra ID>Enterprise apps>All apps>[Ваше приложение]>Single sign-on и выберите ссылку на скачивание в заголовке SAML Certificates.
Вы можете выбрать необработанный (двоичный) сертификат или сертификат Base 64 (базовый 64-кодированный текст). Для приложений из коллекции в этом разделе также может отображаться ссылка для скачивания сертификата в виде XML-файла метаданных федерации (файл .xml) в зависимости от требований приложения.
Вы также можете скачать активный или неактивный сертификат, выбрав сертификат подписи токенов значок "Изменить" (карандаш), в котором отображается страница сертификат подписи SAML. Нажмите кнопку с многоточием (...) рядом с сертификатом, который следует скачать, а затем выберите нужный формат сертификата.
Вы можете скачать сертификат в формате электронной почты с расширенным уровнем конфиденциальности (PEM). Этот формат идентичен base64, но с расширением имени файла .pem, которое не распознается в Windows как формат сертификата. Сведения о часто задаваемых вопросах о сертификатах см. в разделе часто задаваемые вопросы.
Настройка даты окончания срока действия сертификата федерации и его замена новым сертификатом
По умолчанию Azure настраивает срок действия сертификата после трех лет при его создании автоматически во время настройки единого входа SAML. Так как после сохранения сертификата его дату изменить нельзя, сделайте следующее:
- Создайте новый сертификат с нужной датой.
- Сохраните новый сертификат.
- Скачайте новый сертификат в правильном формате.
- Отправьте новый сертификат в приложение.
- Сделайте новый сертификат активным в Центр администрирования Microsoft Entra.
Следующие два раздела помогут вам выполнить эти действия.
Создание сертификата
Сначала создайте и сохраните новый сертификат с другой датой окончания срока действия:
- Войдите в Центр администрирования Microsoft Entra как минимум с правами администратора облачных приложений.
- Перейдите к Entra ID>Корпоративные приложения>Все приложения.
- Введите имя существующего приложения в поле поиска и выберите приложение из результатов поиска.
- В разделе Управление щелкните Единый вход.
- Если откроется страница Выбрать метод единого входа, выберите SAML.
- На странице Настройка единого Sign-On при помощи SAML найдите заголовок Сертификаты SAML и щелкните значок "Изменить" (карандаш). Откроется страница Сертификат подписи SAML, на которой отображается состояние (Активно или Неактивно), дата окончания срока действия и отпечаток (строка хэша) для каждого сертификата.
- Выберите Новый сертификат. Под списком сертификатов откроется новая строка, где для даты окончания срока действия по умолчанию задан срок ровно три года после текущей даты. (Изменения еще не сохранены, поэтому вы по-прежнему можете изменить дату окончания срока действия.)
- В строке нового сертификата наведите указатель мыши на столбец даты окончания срока действия и выберите значок Выбор даты (календарь). Появится элемент управления "Календарь", в котором отображаются дни месяца текущей даты окончания срока действия новой строки.
- Используйте элемент управления "Календарь", чтобы задать новую дату. Можно выбрать любую дату между текущей датой и тремя годами после текущей даты.
- Выберите Сохранить. Теперь новый сертификат отображается с состоянием Неактивный, выбранной датой истечения срока действия и отпечатком.
Примечание.
Если у вас уже истек срок действия существующего сертификата, и вы создаете новый сертификат, он используется для подписания токенов. Он принимается во внимание, хотя он еще не активен. Сертификат с истекшим сроком действия больше не используется для подписания токенов.
- Нажмите X, чтобы вернуться на страницу Настройка единого входа с использованием SAML.
Отправка и активация сертификата
Затем скачайте новый сертификат в правильном формате, отправьте его в приложение и сделайте его активным в Microsoft Entra ID:
Чтобы подробнее ознакомиться с инструкциями по настройке входа SAML для приложения, используйте один из следующих вариантов.
- Выберите ссылку руководства по настройке для просмотра в отдельном окне браузера или на вкладке.
- Перейдите к заголовку Настройка и выберите Посмотреть пошаговые инструкции для отображения на боковой панели.
В инструкциях обратите внимание на формат кодирования, необходимый для отправки сертификата.
Следуйте инструкциям в разделе Автогенерированный сертификат для галерейных и негалерейных приложений выше. На этом шаге загружается сертификат в формате кодирования, необходимом приложению для передачи.
Если вы хотите переключиться на новый сертификат, вернитесь на страницу Сертификат подписи SAML, в новой сохраненной строке сертификата нажмите кнопку с многоточием (...) и выберите Сделать сертификат активным. Состояние нового сертификата изменится на Активный, а состояние ранее активного сертификата — на Неактивный.
Продолжайте следовать инструкциям по настройке единого входа SAML приложения, которые вы открыли ранее, чтобы можно было передать сертификат подписи SAML в правильном формате кодирования.
Если приложению не хватает проверки срока действия сертификата, а сертификат соответствует как Microsoft Entra ID, так и приложению, он остается доступным. Это условие верно, даже если срок действия сертификата истек. Убедитесь, что приложение может проверить дату окончания срока действия сертификата.
Если предполагается оставлять проверку срока действия сертификата отключенной, новый сертификат не должен создаваться до периода обновления сертификата. Если в приложении существуют и истекший, и неактивный действующий сертификат, Microsoft Entra ID автоматически использует действующий сертификат. В этом случае пользователи могут столкнуться с сбоем приложения.
Добавление адресов уведомлений по электронной почте для окончания срока действия сертификата
Microsoft Entra ID отправляет уведомление по электронной почте 60, 30 и 7 дней до истечения срока действия сертификата SAML. Вы можете добавить несколько адресов электронной почты для получения уведомлений. Чтобы указать один или несколько адресов электронной почты, вы хотите, чтобы уведомления отправлялись в:
- На странице Сертификат подписи SAML перейдите к заголовку Адреса электронной почты для уведомлений. По умолчанию в этом поле используется адрес электронной почты администратора, добавившего приложение.
- Под последним адресом электронной почты введите адрес получателя уведомления об окончании срока действия сертификата, затем нажмите Enter.
- Повторите предыдущий шаг для каждого адреса электронной почты, который вы хотите добавить.
- Для каждого адреса электронной почты, который вы хотите удалить, выберите значок Удалить (значок корзины) рядом с адресом электронной почты.
- Выберите Сохранить.
В список уведомлений можно добавить до 5 адресов электронной почты (включая адрес электронной почты администратора, который добавил приложение). Если вы хотите, чтобы уведомления получало большее количество пользователей, используйте список рассылки по электронной почте.
Вы получаете уведомление по электронной почте от azure-noreply@microsoft.com. Чтобы это электронное письмо не попало в папку спама, добавьте этот адрес электронной почты в свой список контактов.
Примечание.
Если настройка адреса электронной почты для уведомлений выполнена программным способом через Microsoft Graph или PowerShell, администраторам следует открыть раздел единого входа для приложения в административном центре Microsoft Entra, чтобы убедиться, что уведомления о завершении срока действия включены. Сбой инициализации параметров SAML в Центре администрирования может привести к тому, что уведомления об истечении срока действия сертификата не отправляются.
Продление срока действия сертификата, который истекает в ближайшее время
Если срок действия сертификата скоро истечет, его можно обновить с помощью процедуры, которая не приводит к длительному простою для пользователей. Чтобы продлить срок действия сертификата:
Выполните инструкции из раздела Создание нового сертификата выше, используя дату, которая пересекается с существующим сертификатом. Эта дата ограничивает время простоя, вызванное окончанием срока действия сертификата.
Если приложение может автоматически выполнить перекат сертификата, задайте новый сертификат активным, выполнив следующие действия.
- Вернитесь на страницу Сертификат подписи SAML.
- В строке нового сохраненного сертификата нажмите кнопку с многоточием (...), а затем выберите Сделать сертификат активным.
- Пропустите следующие два шага.
Если приложение может одновременно работать только с одним сертификатом, выберите интервал простоя для выполнения следующего шага. (В противном случае, если приложение не автоматически выбирает новый сертификат, но может обрабатывать несколько сертификатов подписи, вы можете выполнить следующий шаг в любое время).
До истечения срока действия старого сертификата выполните инструкции из раздела Отправка и активация сертификата выше. Если сертификат приложения не обновляется после обновления нового сертификата в Microsoft Entra ID, проверка подлинности в приложении может завершиться ошибкой.
Войдите в приложение, чтобы убедиться, что сертификат работает правильно.
Если приложению не хватает проверки срока действия сертификата, а сертификат соответствует как Microsoft Entra ID, так и приложению, он остается доступным. Это условие верно, даже если срок действия сертификата истек. Убедитесь, что ваше приложение может проверять срок действия сертификата.
Рекомендации и практические советы для независимых поставщиков программных продуктов при ротации сертификатов
В этом разделе описаны рекомендации для независимых поставщиков программного обеспечения (ISVs) о том, как включить автоматическую замену сертификатов, когда срок действия сертификатов SAML близок к истечению, и в случаях, когда приложения интегрированы с Microsoft Entra ID. Сертификаты SAML в Entra ID используются для подписывания утверждений в федеративном едином входе(SSO). Эти сертификаты истекают (обычно раз в 1-3 года), и их обновление требует координации между клиентом и поставщиком программного обеспечения SaaS для обновления обоюдного сертификата в обеих этих системах без простоя. Тенденции в отрасли сокращают срок действия сертификатов, ручные процессы обновления сертификатов все чаще создают операционное бремя и риск нарушения работы служб, особенно в крупных организациях с большим количеством корпоративных SAML приложений.
На высоком уровне рекомендуемая модель переключения зависит от клиентов, создающих (или загружающих) новый сертификат подписи в Microsoft Entra ID, а приложение SAML автоматически обнаруживает его через конечную точку метаданных федерации приложения. Приложение должно загружать метаданные на регулярной основе, добавлять недавно обнаруженные сертификаты в качестве вторичного сертификата подписи, пока новый ключ остается неактивным, а затем бесшовно повышать его до основного после того как клиент активирует его в Microsoft Entra ID. После использования нового сертификата старый сертификат можно безопасно удалить как из Microsoft Entra ID, так и из приложения, завершив смену без простоя.
Чтобы включить эту автоматизацию, поставщики программного обеспечения должны выполнять следующие действия:
- Поддержка интеграции метаданных федерации Microsoft Entra ID с использованием URL-адреса метаданных на каждую организацию и для каждого приложения.
- Обеспечивать управление жизненным циклом сертификатов через API (список/чтение, добавление/удаление и присвоение статуса основного/вторичного).
Майкрософт рекомендует поставщику программного обеспечения поддерживать несколько сертификатов подписывания (первичных и вторичных), чтобы избежать простоя, отслеживать метаданные по крайней мере каждые 24 часа, применять доступ к минимальным привилегиям для управления сертификатами и при необходимости уведомлять администраторов о обнаружении новых сертификатов. На стороне клиента автоматические операции по-прежнему требуются для отслеживания срока действия сертификата, создания или отправки сертификатов замены, активации нового сертификата в Microsoft Entra ID, координации обновления основного сертификата приложения с помощью API или пользовательского интерфейса и удаления устаревших сертификатов. Клиенты также должны защитить материал закрытого ключа (например, PFX-файлы) и любые сторонние учетные данные, используемые автоматизацией.
В связи с тем, что отраслевые стандарты уменьшают максимальный срок действия сертификатов, ручное обновление сертификатов становится нереализуемым, особенно для крупных организаций с большим количеством корпоративных приложений SAML.
Связанное содержимое
- Управление приложениями с помощью Microsoft Entra ID
- Единый вход в приложения с Microsoft Entra ID
- Отладка единого входа на основе SAML в приложениях в Microsoft Entra ID