更改 Office 365 信赖方信任的签名哈希算法

概述

Active Directory 联合身份验证服务 (AD FS) 将在 Azure Active Directory 中完成令牌签名,确保这些令牌不会遭到篡改。 这种签名可以基于 SHA1 或 SHA256。 Azure Active Directory 现在支持使用 SHA256 算法签名的令牌,我们建议将令牌签名算法设置为 SHA256 以获得最高安全级别。 本指南介绍将令牌签名算法设置为更安全的 SHA256 级别所要执行的步骤。

Note

Azure 建议使用 SHA256 作为令牌签名算法,因为它比 SHA1 更安全,但 SHA1 仍受支持。

更改令牌签名算法

使用下面两个过程之一设置签名算法后,AD FS 使用 SHA256 为 Office 365 信赖方信任令牌签名。 无需进行任何额外的配置更改,并且这种更改不影响你访问 Office 365 或其他 Azure AD 应用程序的能力。

AD FS 管理控制台

  1. 在 AD FS 主服务器上打开 AD FS 管理控制台。
  2. 展开 AD FS 节点,然后单击“信赖方信任”。
  3. 右键单击 Office 365/Azure 信赖方信任并选择“属性”。
  4. 选择“高级”选项卡,然后选择安全哈希算法 SHA256。
  5. 单击 “确定”

SHA256 签名算法--MMC

AD FS PowerShell cmdlet

  1. 在任何 AD FS 服务器上,以管理员权限打开 PowerShell。
  2. 使用 Set-AdfsRelyingPartyTrust cmdlet 设置安全哈希算法。

    Set-AdfsRelyingPartyTrust -TargetName 'Microsoft Office 365 Identity Platform' -SignatureAlgorithm 'http://www.w3.org/2001/04/xmldsig-more#rsa-sha256'

另请参阅