Metadata federasi
MICROSOFT Entra ID menerbitkan dokumen metadata federasi untuk layanan yang dikonfigurasi untuk menerima token keamanan yang masalah ID Microsoft Entra. Format dokumen metadata federasi dijelaskan dalam Web Services Federation Language (WS-Federation) Versi 1.2, yang memperluas Metadata untuk OASIS Security Assertion Markup Language (SAML) v2.0.
Titik akhir metadata khusus penyewa dan independen penyewa
MICROSOFT Entra ID menerbitkan titik akhir khusus penyewa dan independen penyewa.
Titik akhir khusus penyewa dirancang untuk penyewa tertentu. Metadata federasi khusus penyewa mencakup informasi tentang penyewa, termasuk penerbit khusus penyewa dan informasi titik akhir. Aplikasi yang membatasi akses ke penyewa tunggal menggunakan titik akhir khusus penyewa.
Titik akhir independen penyewa menyediakan informasi yang umum untuk semua penyewa Microsoft Entra. Informasi ini berlaku untuk penyewa yang di-host di login.microsoftonline.com dan dibagikan di seluruh penyewa. Titik akhir penyewa independen direkomendasikan untuk aplikasi multipenyewa, karena tidak terkait dengan penyewa tertentu.
Titik akhir metadata federasi
MICROSOFT Entra ID menerbitkan metadata federasi di https://login.microsoftonline.com/<TenantDomainName>/FederationMetadata/2007-06/FederationMetadata.xml.
Untuk titik akhir khusus penyewa, TenantDomainName dapat berupa salah satu dari jenis berikut:
- Nama domain terdaftar dari penyewa Microsoft Entra, seperti:
contoso.onmicrosoft.com. - ID penyewa domain yang tidak dapat diubah, seperti
aaaabbbb-0000-cccc-1111-dddd2222eeee.
Untuk titik akhir yang tidak bergantung pada penyewa, TenantDomainName adalah common. Dokumen ini hanya mencantumkan elemen Metadata Federasi yang umum untuk semua penyewa Microsoft Entra yang dihosting di login.microsoftonline.com.
Misalnya, titik akhir khusus penyewa mungkin https://login.microsoftonline.com/contoso.onmicrosoft.com/FederationMetadata/2007-06/FederationMetadata.xml . Titik akhir penyewa independen adalah https://login.microsoftonline.com/common/FederationMetadata/2007-06/FederationMetadata.xml . Anda dapat melihat dokumen metadata federasi dengan mengetikkan URL ini di browser.
Konten metadata federasi
Bagian berikut ini menyediakan informasi yang diperlukan oleh layanan yang menggunakan token yang dikeluarkan oleh ID Microsoft Entra.
ID Entitas
Elemen EntityDescriptor berisi EntityID atribut. Nilai atribut EntityID mewakili penerbit, yaitu layanan token keamanan (STS) yang mengeluarkan token. Penting untuk memvalidasi penerbit ketika Anda menerima token.
Metadata berikut menunjukkan contoh elemen EntityDescriptor khusus penyewa dengan elemen EntityID.
<EntityDescriptor
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
ID="_00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
entityID="https://sts.windows.net/11bb11bb-cc22-dd33-ee44-55ff55ff55ff/">
Anda dapat mengganti ID penyewa di titik akhir independen penyewa dengan ID penyewa untuk membuat nilai EntityID khusus penyewa. Nilai yang dihasilkan akan sama dengan penerbit token. Strategi ini memungkinkan aplikasi multipenyewa untuk memvalidasi penerbit untuk penyewa tertentu.
Metadata berikut menunjukkan elemen EntityID yang tidak bergantung pada penyewa. Harap dicatat, bahwa {tenant} itu harfiah, bukan tempat penampung.
<EntityDescriptor
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
ID="="_11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
entityID="https://sts.windows.net/{tenant}/">
Sertifikat penandatanganan token
Saat layanan menerima token yang dikeluarkan oleh penyewa Microsoft Entra, tanda tangan token harus divalidasi dengan kunci penandatanganan yang diterbitkan dalam dokumen metadata federasi. Metadata federasi mencakup bagian publik dari sertifikat yang digunakan penyewa untuk penandatanganan token. Byte mentah sertifikat muncul dalam elemen KeyDescriptor. Sertifikat penandatanganan token valid untuk penandatanganan hanya jika nilai atribut use adalah signing.
Dokumen metadata federasi yang diterbitkan oleh MICROSOFT Entra ID dapat memiliki beberapa kunci penandatanganan, seperti ketika ID Microsoft Entra bersiap untuk memperbarui sertifikat penandatanganan. Saat dokumen metadata federasi menyertakan lebih dari satu sertifikat, layanan yang memvalidasi token harus mendukung semua sertifikat dalam dokumen.
Metadata berikut memperlihatkan elemen KeyDescriptor sampel dengan kunci penandatanganan.
<KeyDescriptor use="signing">
<KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
<X509Data>
<X509Certificate>
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
</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>
Elemen KeyDescriptor muncul di dua tempat di dokumen metadata federasi; di bagian khusus Federasi WS dan bagian khusus SAML. Sertifikat yang diterbitkan di kedua bagian akan sama.
Di bagian khusus WS-Federasi, pembaca metadata WS-Federation akan membaca sertifikat dari elemen RoleDescriptor dengan jenis SecurityTokenServiceType.
Metadata berikut menunjukkan sampel elemen RoleDescriptor.
<RoleDescriptor xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" xmlns:fed="https://docs.oasis-open.org/wsfed/federation/200706" xsi:type="fed:SecurityTokenServiceType" protocolSupportEnumeration="https://docs.oasis-open.org/wsfed/federation/200706">
Di bagian khusus SAML, pembaca metadata WS-Federation akan membaca sertifikat dari elemen IDPSSODescriptor.
Metadata berikut menunjukkan sampel elemen IDPSSODescriptor.
<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
Tidak ada perbedaan dalam format sertifikat khusus penyewa dan penyewa independen.
URL titik akhir WS-Federation
Metadata federasi mencakup URL yang digunakan ID Microsoft Entra untuk masuk tunggal dan akses menyeluruh dalam protokol WS-Federation. Titik akhir ini muncul di elemen PassiveRequestorEndpoint.
Metadata berikut memperlihatkan sampel elemen PassiveRequestorEndpoint untuk titik akhir khusus penyewa.
<fed:PassiveRequestorEndpoint>
<EndpointReference xmlns="https://www.w3.org/2005/08/addressing">
<Address>
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/wsfed
</Address>
</EndpointReference>
</fed:PassiveRequestorEndpoint>
Untuk titik akhir penyewa independen, URL WS-Federation muncul di titik akhir WS-Federation, seperti yang diperlihatkan dalam sampel berikut.
<fed:PassiveRequestorEndpoint>
<EndpointReference xmlns="https://www.w3.org/2005/08/addressing">
<Address>
https://login.microsoftonline.com/common/wsfed
</Address>
</EndpointReference>
</fed:PassiveRequestorEndpoint>
URL titik akhir protokol SAML
Metadata federasi mencakup URL yang digunakan ID Microsoft Entra untuk masuk tunggal dan akses menyeluruh dalam protokol SAML 2.0. Titik akhir ini muncul di elemen IDPSSODescriptor.
URL masuk dan keluar muncul di elemen SingleSignOnService dan SingleLogoutService.
Metadata berikut memperlihatkan sampel PassiveResistorEndpoint untuk titik akhir khusus penyewa.
<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
…
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/contoso.onmicrosoft.com/saml2" />
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/contoso.onmicrosoft.com /saml2" />
</IDPSSODescriptor>
Demikian pula titik akhir untuk titik akhir protokol SAML 2.0 umum diterbitkan dalam metadata federasi independen penyewa, seperti yang ditunjukkan dalam sampel berikut.
<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
…
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/common/saml2" />
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/common/saml2" />
</IDPSSODescriptor>