CZ 
18.09.2024 Kryštof VÍTEJTE V MÉM SVĚTĚ

An English translation is available for this article. Pro tento článek je dostupný anglický překlad.
Exchange of SAML certificate for Entra ID Enterprise Application

Výměna SAML certifikátu pro Entra ID Enterprise Application

| Petr Bouška - Samuraj |
Máme situaci, kdy pro nějakou aplikaci, zde si ukážeme pro SSL VPN na Fortinet FortiGate, využíváme autentizaci uživatelů z Microsoft Entra ID pomocí SAML 2.0. Když jsme nastavovali SAML Single sign-on v rámci Enterprise Application, tak se vygeneroval self-signed certifikát s platností 3 roky. Ten se používá pro komunikaci mezi aplikací a Entra ID. Popíšeme si postup obnovy (výměny) certifikátu, když končí jeho platnost.
zobrazeno: 790x (749 CZ, 41 EN) | Komentáře [0]

Pozn.: Prostředí Microsoft Entra ID se často mění, takže popis odpovídá době psaní článku. Pro FortiGate vychází z FortiOS 7.2.8.

Průběh obnovy SAML certifikátu

V rámci aplikace v Entra ID můžeme mít více SAML certifikátů, ale pouze jeden může být aktivní.

V našem případě SSL VPN si můžeme připravit nový certifikát a nahrát jej na FortiGate. Výměna certifikátu neovlivní navázané VPN (na rozdíl od nahrání nového HTTPS serverového certifikátu pro FortiGate). Ve chvíli, kdy certifikát v Entra ID aktivujeme, tak přestane fungovat přihlášení do VPN. Do doby, než nastavíme na FortiGate pro odpovídající SAML SSO Server. To můžeme stihnout velmi rychle, takže ovlivnění provozu je minimální.

Pozn.: Microsoft uvádí, že v případě, kdy naše aplikace nekontroluje expiraci certifikátu, tak bude vše funkční i s vypršelým certifikátem.

Kroky výměny certifikátu

  • Entra ID - vytvoříme nový certifikát
  • FortiGate - nahrajeme certifikát
  • Entra ID - aktivujeme certifikát
  • FortiGate - vyměníme certifikát pro SAML SSO Server

Vytvoření nového certifikátu v Entra ID

Před koncem platnosti certifikátu vystavíme nový.

  • Microsoft Entra admin center
  • Identity - Applications - Enterprise applications - All applications - najdeme naši aplikaci
  • přepneme se na Single sign-on
  • v části SAML Certificates (Token signing certificate) klikneme na Edit
Microsoft Entra - Enterprise applications - Single sign-on
  • v okně SAML Signing Certificate klikneme na New Certificate a Save
  • vytvoří se certifikát (defaultně s platností 3 roky) a jeho stav je Inactive
  • klikneme na tři tečky vedle certifikátu a uložíme jej - Base64 Certificate download
Microsoft Entra - Enterprise applications - SAML Signing Certificate

Nahrání certifikátu na FortiGate

  • (Global/VDOM) - System - Certificates - Import - Remote Certificate

Nahrajeme nový certifikát na FortiGate. Dostane automatické jméno (G_REMOTE_Cert_1), které můžeme volitelně změnit v CLI.

FW (global) # config certificate remote 
FW (remote) # rename G_REMOTE_Cert_1 to Entra_SSO_VPN_2024

Aktivace certifikátu v Entra ID

Ve chvíli, kdy jsme připraveni na změnu certifikátu (než výměnu dokončíme, tak nebude fungovat přihlášení do VPN), aktivujeme certifikát v Entra ID.

  • Microsoft Entra admin center
  • Identity - Applications - Enterprise applications - All applications - najdeme naši aplikaci
  • přepneme se na Single sign-on
  • v části SAML Certificates (Token signing certificate) klikneme na Edit
  • klikneme na tři tečky vedle certifikátu a zvolíme Make certificate active, potvrdíme aktivaci Yes
  • původní certifikát se deaktivuje a nový aktivuje
Microsoft Entra - Enterprise applications - SAML Signing Certificate 2

Výměna certifikátu na FortiGate

Vyměníme certifikát v SAML SSO Server (config user saml)

  • (Global/VDOM) - User & Authentication - Single Sign-On
  • editujeme naše SSO nastavení
  • vyměníme Certificate za nový a uložíme
FortiGate - User & Authentication - Single Sign-On

Související články:

Fortinet FortiGate a další

Bezpečnostní řešení firmy Fortinet. Nejvíce zaměřeno na Next Generation Firewall (NGFW) FortiGate. Konfigurace FW, politik, NATu, ale také VPN a možností autentizace. Okrajově práce s logy pomocí FortiAnalyzer a s klienty pomocí FortiClient EMS.

Azure, Microsoft 365, Office 365, Cloud

Různá populární témata ohledně veřejného cloudu. Více zaměřeno na služby Microsoft, tedy IaaS, PaaS, SaaS Azure, adresářové služby Entra ID (dříve Azure AD) a hostované služby Microsoft 365 / Office 365.

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

Zatím zde nejsou žádné komentáře.

Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách