Office 365 supporto dell’algoritmo SHA-256 per token-signing

office365securefederation01

In ambiente Office 365, l’AD FS marca i propri token verso Microsoft Azure Active Directory per proteggere i token stessi da eventuali manomissioni.

Questa firma può essere basata su SHA-1 o SHA-256 e poichè Azure Active Directory ora supporta i token marcati con l’algoritmo SHA-256, il cambio verso il nuovo algoritmo è fortemente raccomandato per garantire il più alto livello di sicurezza.

Se la propria configurazione utilizza ancora l’algoritmo SHA-1, nell’Office 365 Admin center sotto la voce Message center viene visualizzato un messaggio di warning per mettere in sicurezza il token-signing impostando l’algoritmo a SHA-256.

office365securefederation02

Ci sono due procedure per cambiare il tipo di algoritmo in AD FS:

  • tramite la console AD FS
  • utilizzando la PowerShell

 

Modificare l’algoritmo tramite la console AD FS

Accedere alla console di gestione dell’AD FS nel server AD FS primario e dopo avere espanso il nodo AD FS, cliccare sulla voce Relying Party Trusts. Effettuare un click con il tasto destro del mouse su Microsoft Office 365 Identity Platform e selezionare l’opzione Properties.

office365securefederation03

Selezionare la sezione Advanced ed impostare il campo Secure hash algorithm con il valore SHA-256.

office365securefederation04

Cliccare su OK per confermare la variazione.

office365securefederation05

 

Modificare l’algoritmo con l’AD FS PowerShell cmdlets

La stessa modifica può essere effettuata tramite PowerShell utilizzando il comando:

office365securefederation06

Non sono richieste configurazioni aggiuntive e la modifica non impatta sull’accessibilità ad Office 365 o ad altre applicazioni Azure AD.

signature

Leave a Reply