Konfigurieren der Microsoft Entra SAML-Tokenverschlüsselung

2025-05-04

Hinweis

Die Tokenverschlüsselung ist eine Microsoft Entra ID P1- oder P2-Funktion. Weitere Informationen zu Microsoft Entra-Editionen, -Features und -Preisen finden Sie unter Microsoft Entra-Preise.

Die SAML-Tokenverschlüsselung ermöglicht die Verwendung von verschlüsselten SAML-Assertionen mit einer Anwendung, die diese unterstützt. Wenn es für eine Anwendung konfiguriert ist, verschlüsselt Microsoft Entra ID die SAML-Assertionen, die es für diese Anwendung ausgibt. Es verschlüsselt die SAML-Assertionen mithilfe des öffentlichen Schlüssels, der von einem in Microsoft Entra ID gespeicherten Zertifikat abgerufen wurde. Die Anwendung muss das Token mit dem zugehörigen privaten Schlüssel entschlüsseln, bevor es als Nachweis der Authentifizierung für den angemeldeten Benutzer verwendet werden kann.

Die Verschlüsselung der SAML-Assertionen zwischen Microsoft Entra ID und der Anwendung bietet zusätzlichen Schutz vor dem Abfangen von Tokeninhalten, so dass personenbezogene Daten oder Geschäftsdaten nicht gefährdet werden.

Selbst ohne Tokenverschlüsselung werden Microsoft Entra-SAML-Token niemals als Klartext über das Netzwerk weitergegeben. In Microsoft Entra ID muss die Tokenanforderung/-antwort über verschlüsselte HTTPS/TLS-Kanäle durchgeführt werden, sodass die Kommunikation zwischen Identitätsanbieter, Browser und Anwendung über verschlüsselte Verbindungen erfolgt. Wägen Sie die Vorteile der Tokenverschlüsselung und den Aufwand für die Verwaltung weiterer Zertifikate gegeneinander ab.

Um die Tokenverschlüsselung zu konfigurieren, müssen Sie eine X.509-Zertifikatsdatei mit dem öffentlichen Schlüssel in das Microsoft Entra-Anwendungsobjekt hochladen, das die Anwendung repräsentiert.

Um das X.509-Zertifikat zu erhalten, können Sie es aus der Anwendung selbst herunterladen. In Fällen, in denen der Anwendungsanbieter Verschlüsselungsschlüssel bereitstellt, können Sie diese auch vom Anwendungsanbieter erhalten. Wenn die Anwendung erwartet, dass Sie einen privaten Schlüssel bereitstellen, können Sie ihn mithilfe von Kryptografietools erstellen. Der private Schlüsselteil wird in den Schlüsselspeicher der Anwendung hochgeladen, und das entsprechende öffentliche Schlüsselzertifikat wird die Microsoft Entra ID hochgeladen.

Microsoft Entra ID verwendet AES-256 zum Verschlüsseln der SAML-Assertionendaten.

Voraussetzungen

Zum Konfigurieren der SAML-Tokenverschlüsselung benötigen Sie Folgendes:

Ein Microsoft Entra-Benutzerkonto. Falls Sie noch kein Konto besitzen, können Sie ein kostenloses Konto erstellen.
Eine der folgenden Rollen:
- Cloudanwendungsadministrator
- Anwendungsadministrator
- Besitzer des Dienstprinzipals

Konfigurieren der SAML-Tokenverschlüsselung für Unternehmensanwendungen

In diesem Abschnitt wird beschrieben, wie Sie eine SAML-Tokenverschlüsselung für eine Unternehmensanwendung konfigurieren. Diese Anwendungen werden über den Bereich Unternehmensanwendungen im Microsoft Entra Admin Center eingerichtet, entweder aus der App im Anwendungskatalog oder aus einer nicht aus dem Katalog stammenden App. Für Anwendungen, die über die Funktion App-Registrierungen registriert wurden, befolgen Sie die Anleitung zum Konfigurieren der SAML-Tokenverschlüsselung für registrierte Anwendungen.

Führen Sie zum Konfigurieren der SAML-Tokenverschlüsselung für Unternehmensanwendungen die folgenden Schritte aus:

Rufen Sie ein Zertifikat mit einem öffentlichen Schlüssel ab, das einem in der Anwendung konfigurierten privaten Schlüssel entspricht.

Erstellen Sie ein asymmetrisches Schlüsselpaar für die Verschlüsselung. Wenn die Anwendung einen öffentlichen Schlüssel für die Verschlüsselung bereitstellt, befolgen Sie stattdessen die Anwendungsanweisungen zum Herunterladen des X.509-Zertifikats.

Der öffentliche Schlüssel sollte in einer X.509-Zertifikatsdatei im CER-Format gespeichert sein. Sie können den Inhalt der Zertifikatdatei in einen Text-Editor kopieren und als CER-Datei speichern. Die Zertifikatdatei sollte nur den öffentlichen Schlüssel und nicht den privaten Schlüssel enthalten.

Wenn die Anwendung einen Schlüssel verwendet, den Sie für Ihre Instanz erstellt haben, folgen Sie den Anwendungsanweisungen zum Installieren des privaten Schlüssels, mit dem die Anwendung Tokens von Ihrem Microsoft Entra-Mandanten entschlüsselt.
Fügen Sie das Zertifikat der Anwendungskonfiguration in Microsoft Entra ID hinzu.

Konfigurieren der Tokenverschlüsselung im Microsoft Entra Admin Center

Sie können Ihrer Anwendungskonfiguration das öffentliche Zertifikat im Microsoft Entra Admin Center hinzufügen.

Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
Navigieren Sie zu Entra ID>Enterprise-Apps>alle Anwendungen.
Geben Sie den Namen einer vorhandenen Anwendung in das Suchfeld ein, und wählen Sie die Anwendung in den Ergebnissen aus.
Wählen Sie auf der Anwendungsseite die Option Tokenverschlüsselung aus.

Hinweis

Die Option Tokenverschlüsselung ist nur für SAML-Anwendungen verfügbar, die über das Blatt Unternehmensanwendungen im Microsoft Entra-Admin Center eingerichtet wurden – entweder über den Anwendungskatalog oder eine Nicht-Katalog-App. Für andere Anwendungen ist diese Option deaktiviert.
Wählen Sie auf der Seite Tokenverschlüsselung die Option Zertifikat importieren aus, um die CER-Datei mit Ihrem öffentlichen X.509-Zertifikat zu importieren.
Nachdem das Zertifikat importiert und der private Schlüssel zur Verwendung auf Anwendungsseite konfiguriert wurde, aktivieren Sie die Verschlüsselung, indem Sie neben dem Fingerabdruckstatus auf ... klicken und anschließend aus dem Dropdownmenü die Option Tokenverschlüsselung aktivieren auswählen.
Wählen Sie Ja aus, um die Aktivierung des Zertifikats zur Tokenverschlüsselung zu bestätigen.
Bestätigen Sie, dass die für die Anwendung ausgegebenen SAML-Assertionen verschlüsselt sind.

So deaktivieren Sie die Tokenverschlüsselung im Microsoft Entra Admin Center

Navigieren Sie im Microsoft Entra Admin Center zu Entra ID>Enterprise-Apps>alle Anwendungen, und wählen Sie dann die Anwendung aus, für die die SAML-Tokenverschlüsselung aktiviert ist.
Wählen Sie auf der Anwendungsseite die Option Tokenverschlüsselung aus, suchen Sie nach dem Zertifikat, und wählen Sie die Option ... aus, um das Dropdownmenü anzuzeigen.
Wählen Sie Tokenverschlüsselung deaktivieren aus.

Konfigurieren der SAML-Tokenverschlüsselung für registrierte Anwendungen

In diesem Abschnitt wird beschrieben, wie Sie die SAML-Tokenverschlüsselung für eine registrierte Anwendung konfigurieren. Diese Anwendungen werden im Bereich App-Registrierungen im Microsoft Entra Admin Center eingerichtet. Befolgen Sie für Unternehmensanwendungen den Leitfaden zum Konfigurieren der SAML-Tokenverschlüsselung für Unternehmensanwendungen.

Verschlüsselungszertifikate werden im Anwendungsobjekt in Microsoft Entra ID mit einem encrypt-Nutzungstag gespeichert. Sie können mehrere Verschlüsselungszertifikate konfigurieren. Das für die Verschlüsselung von Token aktive Zertifikat wird durch das Attribut tokenEncryptionKeyID identifiziert.

Sie benötigen die Anwendungsobjekt-ID, um die Tokenverschlüsselung mit Microsoft Graph-API oder PowerShell zu konfigurieren. Sie können diesen Wert programmgesteuert abrufen, oder Sie wechseln zur Seite Eigenschaften für die Anwendung im Microsoft Entra Admin Center und notieren sich den Wert für Objekt-ID.

Wenn Sie ein keyCredential-Objekt mit Graph, PowerShell oder im Anwendungsmanifest konfigurieren, müssen Sie eine GUID zur Verwendung für die keyId generieren.

Führen Sie die folgenden Schritte aus, um die Tokenverschlüsselung für eine Anwendungsregistrierung zu konfigurieren:

Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
Navigieren Sie zu Entra ID>App-Registrierungen>Alle Anwendungen.
Geben Sie den Namen einer vorhandenen Anwendung in das Suchfeld ein, und wählen Sie die Anwendung in den Ergebnissen aus.

Wählen Sie auf der Anwendungsseite Manifest aus, um das Anwendungsmanifest zu bearbeiten.

Das folgende Beispiel zeigt ein Anwendungsmanifest, das mit zwei Verschlüsselungszertifikaten konfiguriert ist. Hierbei wurde das zweite Zertifikat mithilfe des tokenEnryptionKeyId-Attributs als aktives Zertifikat festgelegt.

{ 
  "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
  "accessTokenAcceptedVersion": null,
  "allowPublicClient": false,
  "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "appRoles": [],
  "oauth2AllowUrlPathMatching": false,
  "createdDateTime": "2017-12-15T02:10:56Z",
  "groupMembershipClaims": "SecurityGroup",
  "informationalUrls": { 
     "termsOfService": null, 
     "support": null, 
     "privacy": null, 
     "marketing": null 
  },
  "identifierUris": [ 
    "https://testapp"
  ],
  "keyCredentials": [ 
    { 
      "customKeyIdentifier": "Tog/O1Hv1LtdsbPU5nPphbMduD=", 
      "endDate": "2039-12-31T23:59:59Z", 
      "keyId": "aaaaaaaa-0b0b-1c1c-2d2d-333333333333", 
      "startDate": "2018-10-25T21:42:18Z", 
      "type": "AsymmetricX509Cert", 
      "usage": "Encrypt", 
      "value": <Base64EncodedKeyFile> 
      "displayName": "CN=SAMLEncryptTest" 
    }, 
    {
      "customKeyIdentifier": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u=",
      "endDate": "2039-12-31T23:59:59Z", 
      "keyId": "bbbbbbbb-1c1c-2d2d-3e3e-444444444444",
      "startDate": "2018-10-25T21:42:18Z", 
      "type": "AsymmetricX509Cert", 
      "usage": "Encrypt", 
      "value": <Base64EncodedKeyFile> 
      "displayName": "CN=SAMLEncryptTest2" 
    } 
  ], 
  "knownClientApplications": [], 
  "logoUrl": null, 
  "logoutUrl": null, 
  "name": "Test SAML Application", 
  "oauth2AllowIdTokenImplicitFlow": true, 
  "oauth2AllowImplicitFlow": false, 
  "oauth2Permissions": [], 
  "oauth2RequirePostResponse": false, 
  "orgRestrictions": [], 
  "parentalControlSettings": { 
     "countriesBlockedForMinors": [], 
     "legalAgeGroupRule": "Allow" 
    }, 
  "passwordCredentials": [], 
  "preAuthorizedApplications": [], 
  "publisherDomain": null, 
  "replyUrlsWithType": [], 
  "requiredResourceAccess": [], 
  "samlMetadataUrl": null, 
  "signInUrl": "https://127.0.0.1:444/applications/default.aspx?metadata=customappsso|ISV9.1|primary|z" 
  "signInAudience": "AzureADMyOrg",
  "tags": [], 
  "tokenEncryptionKeyId": "bbbbbbbb-1c1c-2d2d-3e3e-444444444444" 
}

Verwenden Sie das PowerShell-Modul von Microsoft Graph, um eine Verbindung mit Ihrem Mandanten herzustellen. Sie müssen sich mindestens als Cloudanwendungsadministrator anmelden.

Legen Sie die Tokenverschlüsselungseinstellungen mit dem Befehl Update-MgApplication fest.

connect-MgGraph -Scopes "Application.ReadWrite.All"
Update-MgApplication -ApplicationId <ApplicationObjectId> -KeyCredentials "<KeyCredentialsObject>"  -TokenEncryptionKeyId <keyID>

Lesen Sie die Tokenverschlüsselungseinstellungen mithilfe der folgenden Befehle.


$app=Get-MgApplication -ApplicationId <ApplicationObjectId>

$app.KeyCredentials

$app.TokenEncryptionKeyId

Aktualisieren Sie die keyCredentials der Anwendung mit einem X.509-Zertifikat für die Verschlüsselung. Im folgenden Beispiel sehen Sie eine Microsoft Graph-JSON-Nutzlast mit einer Sammlung von Schlüsselanmeldeinformationen, die der Anwendung zugeordnet sind:

Stellen Sie sicher, dass Sie der Berechtigung Application.ReadWrite.All zustimmen.

PATCH https://graph.microsoft.com/beta/applications/<application objectid>

{ 
   "keyCredentials":[ 
      { 
         "type":"AsymmetricX509Cert","usage":"Encrypt",
         "keyId":"aaaaaaaa-0b0b-1c1c-2d2d-333333333333",    (Use a GUID generator to obtain a value for the keyId)
         "key": "MIICADCCAW2gAwIBAgIQ5j9/b+n2Q4pDvQUCcy3…"  (Base64Encoded .cer file)
      }
    ]
}

Identifizieren Sie das Verschlüsselungszertifikat, das zum Verschlüsseln von Token aktiv ist. Im folgenden Beispiel sehen Sie eine Microsoft Graph-JSON-Nutzlast mit dem Element tokenEncryptionKeyId. Das Element tokenEncryptionKeyId gibt die Schlüssel-ID eines öffentlichen Schlüssels aus der Sammlung keyCredentials an.
```
PATCH https://graph.microsoft.com/beta/applications/<application objectid> 

{ 
   "tokenEncryptionKeyId":"aaaaaaaa-0b0b-1c1c-2d2d-333333333333" (The keyId of the keyCredentials entry to use)
}
```

Erfahren Sie mehr über die Verwendung des SAML-Protokolls durch Microsoft Entra ID
Informieren Sie sich über die Formate, Sicherheitsmerkmale und Inhalte von SAML-Token in Microsoft Entra ID

Feedback

War diese Seite hilfreich?