瞭解 Microsoft 身分識別平台如何使用 SAML 通訊協定
Microsoft 身分識別平臺會使用 SAML 2.0 和其他通訊協定,讓應用程式為使用者提供單一登入 (SSO) 體驗。 Microsoft Entra ID 的 SSO 和 單一登入 SAML 設定檔說明如何在識別提供者服務中使用 SAML 判斷提示、通訊協定和系結。
SAML 通訊協定需要識別提供者(Microsoft 身分識別平臺)和服務提供者(應用程式)來交換自己的相關資訊。
使用 Microsoft Entra 識別碼註冊應用程式時,應用程式開發人員會向 Microsoft Entra ID 註冊同盟相關資訊。 此資訊包括應用程式的重新 導向 URI 和 中繼資料 URI 。
Microsoft 身分識別平臺會使用雲端服務的 中繼資料 URI 來擷取簽署金鑰和登出 URI。 如此一來,Microsoft 身分識別平臺就可以將回應傳送至正確的 URL。 在 Microsoft Entra 系統管理中心 ;
- 在 Microsoft Entra ID 中 開啟應用程式,然後選取 [應用程式註冊
- 在 [管理] 底下,選取 [驗證]。 您可以從該處更新登出 URL。
Microsoft Entra ID 會公開租使用者特定且通用(租使用者無關)SSO 和單一登出端點。 這些 URL 代表可定址的位置,而且不只代表識別碼。 然後,您可以移至端點以讀取中繼資料。
租使用者特定的端點位於
https://login.microsoftonline.com/<TenantDomainName>/FederationMetadata/2007-06/FederationMetadata.xml
。 < TenantDomainName > 預留位置代表 Microsoft Entra 租使用者的已註冊功能變數名稱或 TenantID GUID。 例如,租使用者的contoso.com
同盟中繼資料位於: https://login.microsoftonline.com/contoso.com/FederationMetadata/2007-06/FederationMetadata.xml與租使用者無關的端點位於
https://login.microsoftonline.com/common/FederationMetadata/2007-06/FederationMetadata.xml
。 在此端點位址中, 常見 會出現,而不是租使用者功能變數名稱或識別碼。
下一步
如需 Microsoft Entra ID 發佈之同盟元資料檔案的相關資訊,請參閱 同盟中繼資料 。