Tutorial: Mengelola sertifikat untuk akses menyeluruh gabungan

Tutorial: Mengelola sertifikat untuk akses menyeluruh gabungan

Dalam artikel ini, kami membahas pertanyaan dan informasi umum terkait sertifikat yang dibuat oleh Azure Active Directory (Azure AD) untuk menetapkan akses menyeluruh (SSO) federasi ke perangkat lunak Anda sebagai aplikasi layanan (SaaS). Tambahkan aplikasi dari galeri aplikasi Azure AD atau dengan menggunakan templat aplikasi non-galeri. Konfigurasikan aplikasi dengan menggunakan opsi SSO federasi.

Tutorial ini hanya relevan untuk aplikasi yang dikonfigurasi untuk menggunakan Azure AD SSO melalui federasi Security Assertion Markup Language (SAML).

Sertifikat yang dibuat secara otomatis untuk aplikasi galeri dan non-galeri

Saat Anda menambahkan aplikasi baru dari galeri dan mengonfigurasi masuk berbasis SAML (dengan memilih Akses menyeluruh>SAML dari halaman ringkasan aplikasi), Azure AD menghasilkan sertifikat untuk aplikasi yang berlaku selama tiga tahun. Untuk mengunduh sertifikat aktif sebagai file sertifikat keamanan ( .cer), kembali ke halaman tersebut (masuk berbasis SAML) dan pilih tautan unduhan di judul Sertifikat Penandatanganan SAML. Anda dapat memilih antara sertifikat mentah (biner) atau sertifikat Base64 (teks yang dikodekan basis 64). Untuk aplikasi galeri, bagian ini mungkin juga menampilkan tautan untuk mengunduh sertifikat sebagai XML metadata federasi (file .xml), tergantung pada persyaratan aplikasi.

Anda juga dapat mengunduh sertifikat aktif atau tidak aktif dengan memilih ikon Edit (pensil) pada judul Sertifikat Penandatanganan SAML, yang menampilkan halaman Sertifikat Penandatanganan SAML. Pilih elipsis ( . ) di samping sertifikat yang ingin Anda unduh, lalu pilih format sertifikat mana yang Anda inginkan. Anda memiliki opsi tambahan untuk mengunduh sertifikat dalam format privacy enhanced mail (PEM). Format ini identik dengan Base64 tetapi dengan ekstensi nama file .pem, yang tidak dikenali di Windows sebagai format sertifikat.

SAML signing certificate download options (active and inactive).

Sesuaikan tanggal kedaluwarsa untuk sertifikat federasi dan terapkan ke sertifikat baru

Secara default, Azure mengonfigurasi sertifikat untuk kedaluwarsa setelah tiga tahun saat dibuat secara otomatis selama konfigurasi akses menyeluruh SAML. Karena Anda tidak dapat mengubah tanggal sertifikat setelah menyimpannya, Anda harus:

  1. Membuat sertifikat baru dengan tanggal yang diinginkan.
  2. Menyimpan sertifikat baru.
  3. Mengunduh sertifikat baru dalam format yang benar.
  4. Mengunggah sertifikat baru ke aplikasi.
  5. Membuat sertifikat baru aktif di portal Azure Active Directory.

Dua bagian berikut ini membantu Anda melakukan langkah-langkah ini.

Membuat sertifikat baru

Pertama, buat dan simpan sertifikat baru dengan tanggal kedaluwarsa yang berbeda:

  1. Masuk ke portal Azure Active Directory. Halaman pusat admin Azure Active Directory akan muncul.
  2. Pilih Aplikasi perusahaan.
  3. Dari daftar aplikasi, pilih aplikasi yang Anda inginkan.
  4. Pada bagian Kelola, pilih Akses menyeluruh.
  5. Jika halaman Pilih metode akses menyeluruh muncul, pilih SAML.
  6. Di halaman Siapkan Akses Menyeluruh dengan SAML , temukan judul Sertifikat Penandatanganan SAML dan pilih ikon Edit (pensil). Halaman Sertifikat Penandatanganan SAML muncul, yang menampilkan status (Aktif atau Tidak Aktif), tanggal kedaluwarsa, dan thumbprint (untai (karakter) hash) dari setiap sertifikat.
  7. Pilih Sertifikat Baru. Baris baru muncul di bawah daftar sertifikat, di mana tanggal kedaluwarsa default tepat tiga tahun setelah tanggal saat ini. (Perubahan Anda belum disimpan, sehingga Anda masih dapat mengubah tanggal kedaluwarsa.)
  8. Di baris sertifikat baru, arahkan mouse ke atas kolom tanggal kedaluwarsa dan pilih ikon Pilih Tanggal (kalender). Kontrol kalender muncul, menampilkan hari-hari dalam sebulan dari tanggal kedaluwarsa baris baru saat ini.
  9. Gunakan kontrol kalender untuk mengatur tanggal baru. Anda dapat mengatur tanggal berapa pun antara tanggal saat ini dan tiga tahun setelah tanggal saat ini.
  10. Pilih Simpan. Sertifikat baru sekarang muncul dengan status Tidak aktif, tanggal kedaluwarsa yang Anda pilih, dan thumbprint.

Saat Anda memiliki sertifikat yang sudah kedaluwarsa dan Anda membuat sertifikat baru, sertifikat baru akan dipertimbangkan untuk menandatangani token, meskipun Anda belum mengaktifkannya.

Mengunggah dan mengaktifkan sertifikat

Selanjutnya, unduh sertifikat baru dalam format yang benar, unggah ke aplikasi, dan buat sertifikat aktif di Azure Active Directory:

Lihat petunjuk konfigurasi masuk SAML tambahan aplikasi dengan:

  • Memilih tautan panduan konfigurasi untuk ditampilkan di jendela atau tab browser terpisah, atau
  • Membuka judul penyiapan dan memilih Tampilkan petunjuk langkah demi langkah untuk ditampilkan di sidebar.

Dalam petunjuk, perhatikan format pengodean yang diperlukan untuk unggahan sertifikat.

Ikuti petunjuk di bagian Sertifikat yang dibuat otomatis untuk galeri dan aplikasi non-galeri sebelumnya. Langkah ini mengunduh sertifikat dalam format pengodean yang diperlukan untuk diunggah oleh aplikasi.

Jika Anda ingin beralih ke sertifikat baru, kembali ke halaman Sertifikat Penandatanganan SAML, dan di baris sertifikat yang baru disimpan, pilih elipsis ( . ) dan pilih Aktifkan sertifikat. Status sertifikat baru berubah menjadi Aktif, dan sertifikat yang sebelumnya aktif berubah menjadi status Tidak aktif.

Kemudian, ikuti petunjuk konfigurasi masuk SAML aplikasi yang Anda tampilkan sebelumnya, sehingga Anda dapat mengunggah sertifikat penandatanganan SAML dalam format pengodean yang benar.

Jika aplikasi Anda tidak memiliki validasi untuk masa berlaku sertifikat, dan sertifikat cocok di Azure Active Directory dan aplikasi Anda, aplikasi Anda masih dapat diakses meskipun memiliki sertifikat yang kedaluwarsa. Pastikan aplikasi Anda dapat memvalidasi tanggal kedaluwarsa sertifikat.

Menambahkan alamat pemberitahuan email untuk kedaluwarsa sertifikat

Azure AD akan mengirim pemberitahuan email 60, 30, dan 7 hari sebelum sertifikat SAML kedaluwarsa. Anda dapat menambahkan lebih dari satu alamat email untuk menerima pemberitahuan. Untuk menentukan alamat email yang Anda inginkan untuk menerima pemberitahuan:

  1. Di halaman Sertifikat Penandatanganan SAML, buka judul alamat email pemberitahuan. Secara default, judul ini hanya menggunakan alamat email admin yang menambahkan aplikasi.
  2. Di bawah alamat email akhir, ketik alamat email yang seharusnya menerima pemberitahuan kedaluwarsa sertifikat, lalu tekan Enter.
  3. Ulangi langkah sebelumnya untuk setiap alamat email yang ingin Anda tambahkan.
  4. Untuk setiap alamat email yang ingin Anda hapus, pilih ikon Hapus (tempat sampah) di samping alamat email.
  5. Pilih Simpan.

Anda dapat menambahkan hingga lima alamat email ke daftar Pemberitahuan (termasuk alamat email admin yang menambahkan aplikasi). Jika Anda memerlukan lebih banyak orang untuk diberi tahu, gunakan email daftar distribusi.

Anda akan menerima email pemberitahuan dari [email protected] Untuk menghindari email masuk ke lokasi spam Anda, tambahkan email ini ke kontak Anda.

Memperpanjang sertifikat yang akan segera kedaluwarsa

Jika sertifikat akan kedaluwarsa, Anda dapat memperbaruinya menggunakan prosedur yang tidak menghasilkan waktu henti yang signifikan bagi pengguna Anda. Untuk memperpanjang sertifikat yang kedaluwarsa:

Ikuti petunjuk di bagian Buat sertifikat baru sebelumnya, menggunakan tanggal yang tumpang tindih dengan sertifikat yang sudah ada. Tanggal tersebut membatasi jumlah waktu henti yang disebabkan oleh kedaluwarsa sertifikat.

Jika aplikasi dapat secara otomatis menyerahkan sertifikat, atur sertifikat baru ke aktif dengan mengikuti langkah-langkah berikut:

  1. Kembali ke halaman Sertifikat Penandatanganan SAML.
  2. Di baris sertifikat yang baru disimpan, pilih elipsis ( . ) lalu pilih Buat sertifikat aktif.
  3. Lewati dua langkah berikutnya.

Jika aplikasi hanya dapat menangani satu sertifikat sekaligus, pilih interval waktu henti untuk melakukan langkah berikutnya. (Jika tidak, jika aplikasi tidak secara otomatis mengambil sertifikat baru tetapi dapat menangani lebih dari satu sertifikat penandatanganan, Anda dapat melakukan langkah berikutnya kapan saja.)

Sebelum sertifikat lama kedaluwarsa, ikuti petunjuk di bagian Unggah dan aktifkan sertifikat sebelumnya. Jika sertifikat aplikasi Anda tidak diperbarui setelah sertifikat baru diperbarui di Azure Active Directory, autentikasi pada aplikasi Anda mungkin gagal.

Masuk ke aplikasi untuk memastikan bahwa sertifikat berfungsi dengan benar.

Jika aplikasi Anda tidak memvalidasi kedaluwarsa sertifikat yang dikonfigurasi di Azure Active Directory, dan sertifikat cocok di Azure Active Directory dan aplikasi Anda, aplikasi Anda masih dapat diakses meskipun memiliki sertifikat kedaluwarsa. Pastikan aplikasi Anda dapat memvalidasi masa berlaku sertifikat.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *