Sdílet prostřednictvím

Metadata federování

  • Článek

Microsoft Entra ID publikuje dokument federačních metadat pro služby, které jsou nakonfigurované tak, aby přijímaly tokeny zabezpečení, se kterými se Microsoft Entra ID vydává. Formát dokumentu federačních metadat je popsán ve verzi 1.2 (WEB Services Federation Language) web Services Federation Language (WS-Federation), která rozšiřuje metadata pro JAZYK SAML (Security Assertion Markup Language) v2.0.

Koncové body metadat specifických pro tenanta a nezávisle na tenantech

ID Microsoft Entra publikuje koncové body specifické pro tenanta a nezávislé na tenantovi.

Koncové body specifické pro tenanta jsou navržené pro konkrétního tenanta. Metadata federace specifická pro tenanta obsahují informace o tenantovi, včetně informací o vystaviteli a koncovém bodu specifického pro tenanta. Aplikace, které omezují přístup k jednomu tenantovi, používají koncové body specifické pro tenanta.

Koncové body nezávislé na tenantech poskytují informace, které jsou společné pro všechny tenanty Microsoft Entra. Tyto informace platí pro tenanty hostované na login.microsoftonline.com a sdílí se mezi tenanty. Koncové body nezávislé na tenantech se doporučují pro víceklientských aplikací, protože nejsou přidružené k žádnému konkrétnímu tenantovi.

Koncové body federačních metadat

Microsoft Entra ID publikuje federační metadata na adrese https://login.microsoftonline.com/<TenantDomainName>/FederationMetadata/2007-06/FederationMetadata.xml.

U koncových bodů specifických pro tenantaTenantDomainName může být jeden z následujících typů:

  • Registrovaný název domény tenanta Microsoft Entra, například: contoso.onmicrosoft.com.
  • Neměnné ID tenanta domény, například aaaabbbb-0000-cccc-1111-dddd2222eeee.

U koncových bodů nezávislých na tenantovi je commonto TenantDomainName . Tento dokument uvádí pouze prvky federačních metadat, které jsou společné pro všechny tenanty Microsoft Entra hostované na login.microsoftonline.com.

Například koncový bod specifický pro tenanta může být https://login.microsoftonline.com/contoso.onmicrosoft.com/FederationMetadata/2007-06/FederationMetadata.xml. Koncový bod nezávislý na tenantovi je https://login.microsoftonline.com/common/FederationMetadata/2007-06/FederationMetadata.xml. Dokument federačních metadat můžete zobrazit zadáním této adresy URL v prohlížeči.

Obsah federačních metadat

Následující část obsahuje informace potřebné službami, které využívají tokeny vydané id Microsoft Entra.

ID entity

Element EntityDescriptor obsahuje EntityID atribut. Hodnota atributu EntityID představuje vystavitele, tj. službu tokenů zabezpečení (STS), která token vystavil. Při přijetí tokenu je důležité ověřit vystavitele.

Následující metadata znázorňují ukázkový prvek specifický pro EntityDescriptor tenanta s elementem EntityID .

<EntityDescriptor
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
ID="_00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
entityID="https://sts.windows.net/11bb11bb-cc22-dd33-ee44-55ff55ff55ff/">

ID tenanta v koncovém bodu nezávislém na tenantovi můžete nahradit ID tenanta a vytvořit hodnotu specifickou pro EntityID tenanta. Výsledná hodnota bude stejná jako vystavitel tokenu. Strategie umožňuje víceklientové aplikaci ověřit vystavitele pro daného tenanta.

Následující metadata znázorňují ukázkový prvek nezávislý EntityID na tenantovi. Upozorňujeme, že se jedná {tenant} o literál, nikoli zástupný symbol.

<EntityDescriptor
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
ID="="_11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
entityID="https://sts.windows.net/{tenant}/">

Podpisové certifikáty tokenů

Když služba obdrží token vydaný tenantem Microsoft Entra, musí být podpis tokenu ověřen podpisovým klíčem, který je publikovaný v dokumentu federačních metadat. Federační metadata zahrnují veřejnou část certifikátů, které tenanti používají k podepisování tokenů. V elementu KeyDescriptor se zobrazí nezpracované bajty certifikátu. Podpisový certifikát tokenu je platný pouze v případě, že hodnota atributu use je signing.

Dokument federačních metadat publikovaný společností Microsoft Entra ID může obsahovat více podpisových klíčů, například když se Microsoft Entra ID připravuje na aktualizaci podpisového certifikátu. Pokud dokument federačních metadat obsahuje více než jeden certifikát, služba, která ověřuje tokeny, by měla podporovat všechny certifikáty v dokumentu.

Následující metadata znázorňují ukázkový KeyDescriptor prvek s podpisovým klíčem.

<KeyDescriptor use="signing">
<KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
<X509Data>
<X509Certificate>
A1bC2dE3fH4iJ5...kL6mN7oP8qR9sT0u
</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>

Prvek KeyDescriptor se zobrazí na dvou místech v dokumentu federačních metadat. V části specifické pro WS-Federation a v části specifické pro SAML. Certifikáty publikované v obou částech budou stejné.

V části specifické pro WS-Federation by čtenář metadat WS-Federation četl certifikáty z elementu RoleDescriptor s typem SecurityTokenServiceType .

Následující metadata znázorňují ukázkový RoleDescriptor prvek.

<RoleDescriptor xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" xmlns:fed="https://docs.oasis-open.org/wsfed/federation/200706" xsi:type="fed:SecurityTokenServiceType" protocolSupportEnumeration="https://docs.oasis-open.org/wsfed/federation/200706">

V části specifické pro SAML by čtenář metadat WS-Federation četl certifikáty z elementu IDPSSODescriptor .

Následující metadata znázorňují ukázkový IDPSSODescriptor prvek.

<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

Ve formátu certifikátů, které jsou specifické pro tenanta a nezávislé na tenantovi, neexistují žádné rozdíly.

Adresa URL koncového bodu WS-Federation

Federační metadata zahrnují adresu URL, která používá Microsoft Entra ID pro jednotné přihlašování a jednotné přihlašování v protokolu WS-Federation. Tento koncový bod se zobrazí v elementu PassiveRequestorEndpoint .

Následující metadata ukazují ukázkový PassiveRequestorEndpoint prvek pro koncový bod specifický pro tenanta.

<fed:PassiveRequestorEndpoint>
<EndpointReference xmlns="https://www.w3.org/2005/08/addressing">
<Address>
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/wsfed
</Address>
</EndpointReference>
</fed:PassiveRequestorEndpoint>

Pro koncový bod nezávislý na tenantovi se adresa URL WS-Federation zobrazí v koncovém bodu WS-Federation, jak je znázorněno v následující ukázce.

<fed:PassiveRequestorEndpoint>
<EndpointReference xmlns="https://www.w3.org/2005/08/addressing">
<Address>
https://login.microsoftonline.com/common/wsfed
</Address>
</EndpointReference>
</fed:PassiveRequestorEndpoint>

Adresa URL koncového bodu protokolu SAML

Federační metadata zahrnují adresu URL, kterou Microsoft Entra ID používá pro jednotné přihlašování a jednotné přihlašování v protokolu SAML 2.0. Tyto koncové body se zobrazí v elementu IDPSSODescriptor .

Přihlašovací a odhlašující se adresy URL se zobrazí v části SingleSignOnService a SingleLogoutService prvky.

Následující metadata ukazují ukázku PassiveResistorEndpoint pro koncový bod specifický pro tenanta.

<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
…
    <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/contoso.onmicrosoft.com/saml2" />
    <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/contoso.onmicrosoft.com /saml2" />
  </IDPSSODescriptor>

Podobně se koncové body pro běžné koncové body protokolu SAML 2.0 publikují v metadatech federace nezávislých na tenantech, jak je znázorněno v následující ukázce.

<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
…
    <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/common/saml2" />
    <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/common/saml2" />
  </IDPSSODescriptor>