Share via

Federationsmetadata

  • Artikel

Microsoft Entra-ID publicerar ett federationsmetadatadokument för tjänster som har konfigurerats för att acceptera de säkerhetstoken som Microsoft Entra-ID:t har problem med. Dokumentformatet för federationsmetadata beskrivs i WS-Federation Version 1.2 (Web Services Federation Language), som utökar metadata för OASIS Security Assertion Markup Language (SAML) v2.0.

Klientspecifika och klientoberoende metadataslutpunkter

Microsoft Entra ID publicerar klientspecifika och klientoberoende slutpunkter.

Klientspecifika slutpunkter är utformade för en viss klientorganisation. Klientspecifika federationsmetadata innehåller information om klientorganisationen, inklusive klientspecifik utfärdare och slutpunktsinformation. Program som begränsar åtkomsten till en enskild klientorganisation använder klientspecifika slutpunkter.

Klientoberoende slutpunkter ger information som är gemensam för alla Microsoft Entra-klienter. Den här informationen gäller för klientorganisationer som finns på login.microsoftonline.com och delas mellan klienter. Klientoberoende slutpunkter rekommenderas för program med flera klientorganisationer, eftersom de inte är associerade med någon viss klientorganisation.

Federationsmetadataslutpunkter

Microsoft Entra ID publicerar federationsmetadata på https://login.microsoftonline.com/<TenantDomainName>/FederationMetadata/2007-06/FederationMetadata.xml.

För klientspecifika slutpunkterTenantDomainName kan det vara en av följande typer:

  • Ett registrerat domännamn för en Microsoft Entra-klientorganisation, till exempel: contoso.onmicrosoft.com.
  • Domänens oföränderliga klientorganisations-ID, till exempel aaaabbbb-0000-cccc-1111-dddd2222eeee.

För klientoberoende slutpunkterTenantDomainName är är .common Det här dokumentet visar endast federationsmetadataelement som är gemensamma för alla Microsoft Entra-klienter som finns på login.microsoftonline.com.

En klientspecifik slutpunkt kan till exempel vara https://login.microsoftonline.com/contoso.onmicrosoft.com/FederationMetadata/2007-06/FederationMetadata.xml. Den klientoberoende slutpunkten är https://login.microsoftonline.com/common/FederationMetadata/2007-06/FederationMetadata.xml. Du kan visa dokumentet med federationsmetadata genom att skriva den här URL:en i en webbläsare.

Innehållet i federationsmetadata

Följande avsnitt innehåller information som behövs av tjänster som använder token som utfärdats av Microsoft Entra ID.

Entitets-ID

Elementet EntityDescriptor innehåller ett EntityID attribut. Värdet för EntityID attributet representerar utfärdaren, d.v.s. säkerhetstokentjänsten (STS) som utfärdade token. Det är viktigt att verifiera utfärdaren när du får en token.

Följande metadata visar ett exempel på ett klientspecifikt EntityDescriptor exempelelement med ett EntityID element.

<EntityDescriptor
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
ID="_00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
entityID="https://sts.windows.net/11bb11bb-cc22-dd33-ee44-55ff55ff55ff/">

Du kan ersätta klientorganisations-ID:t i den klientoberoende slutpunkten med ditt klient-ID för att skapa ett klientspecifikt EntityID värde. Det resulterande värdet blir detsamma som token utfärdaren. Strategin gör det möjligt för ett program med flera klientorganisationer att verifiera utfärdaren för en viss klientorganisation.

Följande metadata visar ett exempel på ett klientoberoende EntityID element. Observera att {tenant} är en literal, inte en platshållare.

<EntityDescriptor
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
ID="="_11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
entityID="https://sts.windows.net/{tenant}/">

Certifikat för tokensignering

När en tjänst tar emot en token som utfärdas av en Microsoft Entra-klient måste tokens signatur verifieras med en signeringsnyckel som publiceras i dokumentet med federationsmetadata. Federationsmetadata innehåller den offentliga delen av de certifikat som klienterna använder för tokensignering. Certifikatets råbyte visas i -elementet KeyDescriptor . Certifikatet för tokensignering är endast giltigt för signering när värdet för attributet use är signing.

Ett federationsmetadatadokument som publicerats av Microsoft Entra ID kan ha flera signeringsnycklar, till exempel när Microsoft Entra-ID förbereder uppdatering av signeringscertifikatet. När ett federationsmetadatadokument innehåller mer än ett certifikat bör en tjänst som verifierar token stödja alla certifikat i dokumentet.

Följande metadata visar ett exempelelement KeyDescriptor med en signeringsnyckel.

<KeyDescriptor use="signing">
<KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
<X509Data>
<X509Certificate>
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
</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>

Elementet KeyDescriptor visas på två platser i dokumentet med federationsmetadata. I avsnittet WS-Federation-specific och det SAML-specifika avsnittet. Certifikaten som publiceras i båda avsnitten är desamma.

I avsnittet WS-Federation-specific skulle en WS-Federation-metadataläsare läsa certifikaten från ett RoleDescriptor element med SecurityTokenServiceType typen .

Följande metadata visar ett exempelelement RoleDescriptor .

<RoleDescriptor xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" xmlns:fed="https://docs.oasis-open.org/wsfed/federation/200706" xsi:type="fed:SecurityTokenServiceType" protocolSupportEnumeration="https://docs.oasis-open.org/wsfed/federation/200706">

I det SAML-specifika avsnittet skulle en WS-Federation-metadataläsare läsa certifikaten från ett IDPSSODescriptor element.

Följande metadata visar ett exempelelement IDPSSODescriptor .

<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

Det finns inga skillnader i formatet för klientspecifika och klientoberoende certifikat.

URL för WS-federationsslutpunkt

Federationsmetadata innehåller den URL som är Microsoft Entra-ID som används för enkel inloggning och enkel inloggning i WS-Federation-protokollet. Den här slutpunkten visas i elementet PassiveRequestorEndpoint .

Följande metadata visar ett exempelelement PassiveRequestorEndpoint för en klientspecifik slutpunkt.

<fed:PassiveRequestorEndpoint>
<EndpointReference xmlns="https://www.w3.org/2005/08/addressing">
<Address>
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/wsfed
</Address>
</EndpointReference>
</fed:PassiveRequestorEndpoint>

För den klientoberoende slutpunkten visas WS-Federations-URL:en i WS-Federation-slutpunkten, som du ser i följande exempel.

<fed:PassiveRequestorEndpoint>
<EndpointReference xmlns="https://www.w3.org/2005/08/addressing">
<Address>
https://login.microsoftonline.com/common/wsfed
</Address>
</EndpointReference>
</fed:PassiveRequestorEndpoint>

URL för SAML-protokollslutpunkt

Federationsmetadata innehåller den URL som Microsoft Entra ID använder för enkel inloggning och enkel inloggning i SAML 2.0-protokollet. Dessa slutpunkter visas i elementet IDPSSODescriptor .

Url:erna för inloggning och utloggning visas i elementen SingleSignOnService och SingleLogoutService .

Följande metadata visar ett exempel PassiveResistorEndpoint för en klientspecifik slutpunkt.

<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
…
    <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/contoso.onmicrosoft.com/saml2" />
    <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/contoso.onmicrosoft.com /saml2" />
  </IDPSSODescriptor>

På samma sätt publiceras slutpunkterna för de vanliga SAML 2.0-protokollslutpunkterna i de klientoberoende federationsmetadata som visas i följande exempel.

<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
…
    <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/common/saml2" />
    <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/common/saml2" />
  </IDPSSODescriptor>