In ambiente Office 365, l'AD FS marca i propri token verso Microsoft Azure Active Directory per proteggere i token stessi da eventuali manomissioni.
Questa firma può essere basata su SHA-1 o SHA-256 e poichè Azure Active Directory ora supporta i token marcati con l'algoritmo SHA-256, il cambio verso il nuovo algoritmo è fortemente raccomandato per garantire il più alto livello di sicurezza.
Se la propria configurazione utilizza ancora l'algoritmo SHA-1, nell'Office 365 Admin center sotto la voce Message center viene visualizzato un messaggio di warning per mettere in sicurezza il token-signing impostando l'algoritmo a SHA-256.
Ci sono due procedure per cambiare il tipo di algoritmo in AD FS:
- tramite la console AD FS
- utilizzando la PowerShell
Modificare l'algoritmo tramite la console AD FS
Accedere alla console di gestione dell'AD FS nel server AD FS primario e dopo avere espanso il nodo AD FS, cliccare sulla voce Relying Party Trusts. Effettuare un click con il tasto destro del mouse su Microsoft Office 365 Identity Platform e selezionare l'opzione Properties.
Selezionare la sezione Advanced ed impostare il campo Secure hash algorithm con il valore SHA-256.
Cliccare su OK per confermare la variazione.
Modificare l'algoritmo con l'AD FS PowerShell cmdlets
La stessa modifica può essere effettuata tramite PowerShell utilizzando il comando:
Set-AdfsRelyingPartyTrust -TargetName 'Microsoft Office 365 Identity Platform' -SignatureAlgorithm 'http://www.w3.org/2001/04/xmldsig-more#rsa-sha256'
Non sono richieste configurazioni aggiuntive e la modifica non impatta sull'accessibilità ad Office 365 o ad altre applicazioni Azure AD.
