Microsoft ID プラットフォームでは、SAML 2.0 やその他のプロトコルを使用して、アプリケーションがユーザーにシングル サインオン (SSO) エクスペリエンスを提供できるようにします。 Microsoft Entra ID の SSO および シングル サインアウト SAML プロファイルでは、ID プロバイダー サービスで SAML アサーション、プロトコル、バインディングがどのように使用されるかが説明されています。
SAML プロトコルでは、ID プロバイダー (Microsoft ID プラットフォーム) とサービス プロバイダー (アプリケーション) が自身に関する情報を交換する必要があります。
アプリケーションが Microsoft Entra ID に登録されると、アプリ開発者はフェデレーション関連の情報を Microsoft Entra ID に登録します。 この情報には、アプリケーションの リダイレクト URI と メタデータ URI が含まれます。
Microsoft ID プラットフォームでは、クラウド サービスの メタデータ URI を 使用して、署名キーとログアウト URI を取得します。 これにより、Microsoft ID プラットフォームは正しい URL に応答を送信できます。 Microsoft Entra 管理センターで。
- Microsoft Entra ID でアプリを開き、[アプリの登録] を選択します
- [管理] で、 [認証] を選択します。 そこからログアウト URL を更新できます。
Microsoft Entra ID は、テナント固有の共通 (テナントに依存しない) SSO とシングル サインアウト エンドポイントを公開します。 これらの URL はアドレス指定可能な場所を表し、識別子だけではありません。 その後、エンドポイントに移動してメタデータを読み取ることができます。
テナント固有のエンドポイントは、
https://login.microsoftonline.com/<TenantDomainName>/FederationMetadata/2007-06/FederationMetadata.xmlにあります。 <TenantDomainName> プレースホルダーは、Microsoft Entra テナントの登録済みのドメイン名または TenantID GUID を表します。 たとえば、contoso.comテナントのフェデレーション メタデータは次のとおりです。https://login.microsoftonline.com/contoso.com/FederationMetadata/2007-06/FederationMetadata.xmlテナントに依存しないエンドポイントは、
https://login.microsoftonline.com/common/FederationMetadata/2007-06/FederationMetadata.xmlにあります。 このエンドポイント アドレスでは、テナント ドメイン名または ID の代わりに 共通 が表示されます。
次のステップ
Microsoft Entra ID が発行するフェデレーション メタデータ ドキュメントの詳細については、「 フェデレーション メタデータ」を参照してください。