Share via


Federatieve metagegevens

Microsoft Entra-id publiceert een document met federatieve metagegevens voor services die zijn geconfigureerd voor het accepteren van de beveiligingstokens die door Microsoft Entra ID worden aangegeven. De documentindeling voor federatiemetagegevens wordt beschreven in WS-Federation Language (Web Services Federation Language) versie 1.2, waarmee metagegevens voor de OASIS Security Assertion Markup Language (SAML) v2.0 worden uitgebreid.

Tenantspecifieke en tenantonafhankelijke metagegevenseindpunten

Microsoft Entra ID publiceert tenantspecifieke en tenantonafhankelijke eindpunten.

Tenantspecifieke eindpunten zijn ontworpen voor een bepaalde tenant. De tenantspecifieke federatiemetagegevens bevatten informatie over de tenant, inclusief tenantspecifieke verleners en eindpuntgegevens. Toepassingen die de toegang tot één tenant beperken, maken gebruik van tenantspecifieke eindpunten.

Tenantonafhankelijke eindpunten bieden informatie die gebruikelijk is voor alle Microsoft Entra-tenants. Deze informatie is van toepassing op tenants die worden gehost op login.microsoftonline.com en wordt gedeeld tussen tenants. Tenantonafhankelijke eindpunten worden aanbevolen voor multitenant-toepassingen, omdat ze niet zijn gekoppeld aan een bepaalde tenant.

Eindpunten voor federatieve metagegevens

Microsoft Entra ID publiceert federatiemetagegevens op https://login.microsoftonline.com/<TenantDomainName>/FederationMetadata/2007-06/FederationMetadata.xml.

Voor tenantspecifieke eindpunten kan dit TenantDomainName een van de volgende typen zijn:

  • Een geregistreerde domeinnaam van een Microsoft Entra-tenant, zoals: contoso.onmicrosoft.com.
  • De onveranderbare tenant-id van het domein, zoals aaaabbbb-0000-cccc-1111-dddd2222eeee.

Voor tenantonafhankelijke eindpunten is dit het TenantDomainName .common Dit document bevat alleen de elementen van federatieve metagegevens die gebruikelijk zijn voor alle Microsoft Entra-tenants die worden gehost op login.microsoftonline.com.

Een tenantspecifiek eindpunt kan bijvoorbeeld zijn https://login.microsoftonline.com/contoso.onmicrosoft.com/FederationMetadata/2007-06/FederationMetadata.xml. Het tenantonafhankelijke eindpunt is https://login.microsoftonline.com/common/FederationMetadata/2007-06/FederationMetadata.xml. U kunt het document met federatieve metagegevens bekijken door deze URL in een browser te typen.

Inhoud van federatiemetagegevens

De volgende sectie bevat informatie die nodig is voor services die de tokens gebruiken die zijn uitgegeven door Microsoft Entra ID.

Entiteits-id

Het EntityDescriptor element bevat een EntityID kenmerk. De waarde van het EntityID kenmerk vertegenwoordigt de verlener, dat wil gezegd de beveiligingstokenservice (STS) die het token heeft uitgegeven. Het is belangrijk om de verlener te valideren wanneer u een token ontvangt.

In de volgende metagegevens ziet u een voorbeeld van een tenantspecifiek EntityDescriptor element met een EntityID element.

<EntityDescriptor
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
ID="_00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
entityID="https://sts.windows.net/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/">

U kunt de tenant-id in het tenantonafhankelijke eindpunt vervangen door uw tenant-id om een tenantspecifieke EntityID waarde te maken. De resulterende waarde is hetzelfde als de tokenverlener. Met de strategie kan een multitenant-toepassing de verlener voor een bepaalde tenant valideren.

In de volgende metagegevens ziet u een voorbeeld van een tenantonafhankelijk EntityID element. Houd er rekening mee dat het {tenant} een letterlijke, geen tijdelijke aanduiding is.

<EntityDescriptor
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
ID="="_aaaabbbb-0000-cccc-1111-dddd2222eeee"
entityID="https://sts.windows.net/{tenant}/">

Certificaten voor tokenondertekening

Wanneer een service een token ontvangt dat is uitgegeven door een Microsoft Entra-tenant, moet de handtekening van het token worden gevalideerd met een ondertekeningssleutel die wordt gepubliceerd in het document met federatieve metagegevens. De federatiemetagegevens bevatten het openbare gedeelte van de certificaten die de tenants gebruiken voor tokenondertekening. De onbewerkte bytes van het certificaat worden weergegeven in het KeyDescriptor element. Het certificaat voor tokenondertekening is alleen geldig voor ondertekening wanneer de waarde van het use kenmerk is signing.

Een document met federatiemetagegevens dat door Microsoft Entra ID is gepubliceerd, kan meerdere ondertekeningssleutels hebben, bijvoorbeeld wanneer Microsoft Entra ID het handtekeningcertificaat voorbereidt. Wanneer een document met federatiemetagegevens meer dan één certificaat bevat, moet een service die de tokens valideert alle certificaten in het document ondersteunen.

De volgende metagegevens bevatten een voorbeeldelement KeyDescriptor met een ondertekeningssleutel.

<KeyDescriptor use="signing">
<KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
<X509Data>
<X509Certificate>
aB1cD2eF-3gH4i...J5kL6-mN7oP8qR=
</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>

Het KeyDescriptor element wordt weergegeven op twee plaatsen in het document met federatiemetagegevens; in de sectie WS-Federation en de sectie SAML-specifiek. De certificaten die in beide secties worden gepubliceerd, zijn hetzelfde.

In de sectie WS-Federation-specific leest een WS-Federation-metagegevenslezer de certificaten van een RoleDescriptor element met het SecurityTokenServiceType type.

De volgende metagegevens bevatten een voorbeeldelement RoleDescriptor .

<RoleDescriptor xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" xmlns:fed="https://docs.oasis-open.org/wsfed/federation/200706" xsi:type="fed:SecurityTokenServiceType" protocolSupportEnumeration="https://docs.oasis-open.org/wsfed/federation/200706">

In de saml-specifieke sectie zou een WS-Federation-metagegevenslezer de certificaten van een IDPSSODescriptor element lezen.

De volgende metagegevens bevatten een voorbeeldelement IDPSSODescriptor .

<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

Er zijn geen verschillen in de indeling van tenantspecifieke en tenantonafhankelijke certificaten.

WS-Federation-eindpunt-URL

De federatiemetagegevens bevatten de URL die door Microsoft Entra ID wordt gebruikt voor eenmalige aanmelding en eenmalige aanmelding in het WS-Federation-protocol. Dit eindpunt wordt weergegeven in het PassiveRequestorEndpoint element.

De volgende metagegevens bevatten een voorbeeldelement PassiveRequestorEndpoint voor een tenantspecifiek eindpunt.

<fed:PassiveRequestorEndpoint>
<EndpointReference xmlns="https://www.w3.org/2005/08/addressing">
<Address>
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/wsfed
</Address>
</EndpointReference>
</fed:PassiveRequestorEndpoint>

Voor het tenantonafhankelijke eindpunt wordt de WS-Federation-URL weergegeven in het WS-Federation-eindpunt, zoals wordt weergegeven in het volgende voorbeeld.

<fed:PassiveRequestorEndpoint>
<EndpointReference xmlns="https://www.w3.org/2005/08/addressing">
<Address>
https://login.microsoftonline.com/common/wsfed
</Address>
</EndpointReference>
</fed:PassiveRequestorEndpoint>

URL van SAML-protocoleindpunt

De federatiemetagegevens bevatten de URL die door Microsoft Entra ID wordt gebruikt voor eenmalige aanmelding en eenmalige aanmelding in het SAML 2.0-protocol. Deze eindpunten worden weergegeven in het IDPSSODescriptor element.

De aanmeldings- en afmeldings-URL's worden weergegeven in de SingleSignOnService en SingleLogoutService elementen.

In de volgende metagegevens ziet u een voorbeeld PassiveResistorEndpoint voor een tenantspecifiek eindpunt.

<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
…
    <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/contoso.onmicrosoft.com/saml2" />
    <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/contoso.onmicrosoft.com/saml2" />
  </IDPSSODescriptor>

Op dezelfde manier worden de eindpunten voor de algemene SAML 2.0-protocoleindpunten gepubliceerd in de tenantonafhankelijke federatiemetagegevens, zoals wordt weergegeven in het volgende voorbeeld.

<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
…
    <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/common/saml2" />
    <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/common/saml2" />
  </IDPSSODescriptor>