بيانات تعريف الاتحاد
تحذير
يخص هذا المحتوى نقطة النهاية الأقدم لإصدار Microsoft Azure Active Directory v1.0. استخدم النظام الأساسي للهويات في Microsoft للمشاريع الجديدة.
ينشر Microsoft Azure Active Directory (Microsoft Azure AD) مستند بيانات تعريف نظام دخول موحد للخدمات التي تم تكوينها لقبول رموز الأمان المميزة التي أصدرها Microsoft Azure AD. يتم وصف تنسيق مستند بيانات تعريف نظام دخول موحد في لغة نظام الدخول الموحد لخدمات الويب (WS-Federation) الإصدار 1.2، الذي يعمل على توسيع بيانات التعريف لغة ترميز تأكيد أمان (SAML) OASIS v2.0.
نقاط نهاية بيانات التعريف الخاصة بالمستأجرين والمستقلة عن المستأجرين
ينشر Microsoft Azure AD نقاط نهاية خاصة بالمستأجرين ومستقلة عن المستأجر.
صُممت نقاط النهاية الخاصة بالمستأجرين لمستأجر معين. تتضمن بيانات تعريف نظام الدخول الموحد الخاصة بالمستأجر معلومات حول المستأجر، بما في ذلك المصدر الخاص بالمستأجر ومعلومات نقطة النهاية. تستخدم التطبيقات التي تقيد الوصول إلى مستأجر فردي نقاط نهاية خاصة بالمستأجرين.
توفر نقاط النهاية المستقلة عن المستأجر معلومات شائعة لدى جميع مستأجري Microsoft Azure AD. تنطبق هذه المعلومات على المستأجرين المستضافين في login.microsoftonline.com وتتم مشاركتها عبر المستأجرين. يوصى بنقاط النهاية المستقلة عن المستأجرين للتطبيقات متعددة المستأجرين، لأنها غير مرتبطة بأي مستأجر معين.
نقاط نهاية بيانات تعريف نظام الدخول الموحد
ينشر Microsoft Azure AD بيانات تعريف نظام الدخول الموحد في https://login.microsoftonline.com/<TenantDomainName>/FederationMetadata/2007-06/FederationMetadata.xml.
بالنسبة إلى نقاط النهاية الخاصة بالمستأجر، يمكن أن يكون TenantDomainName أحد الأنواع التالية:
- اسم نطاق مُسجل لمستأجر Microsoft Azure AD، مثل:
contoso.onmicrosoft.com. - مُعرّف المستأجر الثابت للمجال، مثل
72f988bf-86f1-41af-91ab-2d7cd011db45.
بالنسبة إلى نقاط النهاية المستقلة عن المستأجر، فإن TenantDomainName هو common. يسرد هذا المستند فقط عناصر بيانات التعريف لنظام الدخول الموحد الشائعة لكافة المستأجرين لدى Microsoft Azure AD التي يتم استضافتها في login.microsoftonline.com.
على سبيل المثال، قد تكون نقطة النهاية الخاصة بالمستأجرين هي https://login.microsoftonline.com/contoso.onmicrosoft.com/FederationMetadata/2007-06/FederationMetadata.xml. نقطة النهاية المستقلة عن المستأجر هي https://login.microsoftonline.com/common/FederationMetadata/2007-06/FederationMetadata.xml. يمكنك عرض مستند بيانات تعريف نظام الدخول الموحد بكتابة URL هذا في مستعرض.
محتويات بيانات تعريف نظام الدخول الموحد
يوفر القسم التالي المعلومات المطلوبة من قبِل الخدمات التي تستهلك الرموز المميزة الصادرة عن Microsoft Azure AD.
مُعَّرف الكيان
يحتوي العنصر EntityDescriptor على السمة EntityID. تمثل قيمة السمة EntityID المصدر، أي، خدمة security token (STS) التي أصدرت الرمز المميز. من المهم التحقق من صحة المصدر عندما تتلقى رمزًا مميزًا.
تظهر بيانات التعريف التالية نموذج عنصر خاص بالمستأجر EntityDescriptor مع عنصر EntityID.
<EntityDescriptor
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
ID="_b827a749-cfcb-46b3-ab8b-9f6d14a1294b"
entityID="https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db45/">
يمكنك استبدال مُعرّف المستأجر في نقطة النهاية المستقلة عن المستأجر بمُعرّف المستأجر لإنشاء قيمة خاصة EntityID بالمستأجر. القيمة الناتجة ستكون نفس مصدر الرمز المميز. تسمح الاستراتيجية لتطبيق متعدد المستأجرين بالتحقق من صحة المصدر لمستأجر مُعيّن.
تظهِر بيانات التعريف التالية نموذج عنصر مستقل عن المستأجر EntityID. يُرجى ملاحظة أن {tenant} القيمة حرفية، وليست عنصرًا نائبًا.
<EntityDescriptor
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
ID="="_0e5bd9d0-49ef-4258-bc15-21ce143b61bd"
entityID="https://sts.windows.net/{tenant}/">
شهادات توقيع الرموز المميزة
عندما تتلقى خدمة رمزًا مميزًا يتم إصداره من قبل مستأجر Microsoft Azure AD، يجب التحقق من صحة توقيع الرمز المميز باستخدام مفتاح توقيع الذي يتم نشره في مستند بيانات تعريف نظام الدخول الموحد. تتضمن بيانات تعريف نظام الدخول الموحد الجزء العام من الشهادات التي يستخدمها المستأجرون لتوقيع الرمز المميز. تظهر وحدات البايت البسيطة للشهادة في KeyDescriptor العنصر. شهادة توقيع الرمز المميز صالحة للتوقيع فقط عندما تكون قيمة use السمة هي signing.
يمكن أن يكون لمستند بيانات تعريف نظام الدخول الموحد الذي نشره Microsoft Azure AD مفاتيح توقيع متعددة، مثل عندما يستعد Microsoft Azure AD لتحديث شهادة التوقيع. عندما يتضمن مستند بيانات تعريف نظام الدخول الموحد أكثر من شهادة، يجب أن تدعم خدمة التحقق من صحة الرموز المميزة كافة الشهادات في المستند.
تظهر بيانات التعريف التالية KeyDescriptor نموذج عنصر مع مفتاح توقيع.
<KeyDescriptor use="signing">
<KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
<X509Data>
<X509Certificate>
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
</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>
يظهر العنصر KeyDescriptor في مكانين في مستند بيانات تعريف نظام الدخول الموحد؛ في القسم الخاص بـ WS-Federation والقسم الخاص بـ SAML. الشهادات المنشورة في كلا القسمين ستكون هي نفسها.
في القسم الخاص بـ WS-Federation، سيقرأ قارئ بيانات تعريف WS-Federation الشهادات من عنصر RoleDescriptor مع النوع SecurityTokenServiceType.
تعرض بيانات التعريف التالية نموذج عنصر RoleDescriptor.
<RoleDescriptor xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" xmlns:fed="https://docs.oasis-open.org/wsfed/federation/200706" xsi:type="fed:SecurityTokenServiceType" protocolSupportEnumeration="https://docs.oasis-open.org/wsfed/federation/200706">
في القسم الخاص بـ SAML، سيقرأ قارئ بيانات تعريف WS-Federation الشهادات من عنصر IDPSSODescriptor.
تعرض بيانات التعريف التالية نموذج عنصر IDPSSODescriptor.
<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
لا توجد اختلافات في تنسيق الشهادات الخاصة بالمستأجر والمستقلة عن المستأجر.
عنوان URL لنقطة نهاية WS-Federation
تشتمل بيانات تعريف نظام الدخول الموحد على URL الذي يستخدم Microsoft Azure AD لتسجيل الدخول الفردي وتسجيل الخروج الفردي في بروتوكول WS-Federation. تظهر نقطة النهاية هذه في عنصر PassiveRequestorEndpoint.
تظهر بيانات التعريف التالية عينة عنصر PassiveRequestorEndpoint لنقطة نهاية خاصة بالمستأجر.
<fed:PassiveRequestorEndpoint>
<EndpointReference xmlns="https://www.w3.org/2005/08/addressing">
<Address>
https://login.microsoftonline.com/72f988bf-86f1-41af-91ab-2d7cd011db45/wsfed
</Address>
</EndpointReference>
</fed:PassiveRequestorEndpoint>
بالنسبة لنقطة النهاية المستقلة عن المستأجر، يظهر عنوان URL WS-Federation في نقطة نهاية WS-Federation، كما هو موضح في العينة التالية.
<fed:PassiveRequestorEndpoint>
<EndpointReference xmlns="https://www.w3.org/2005/08/addressing">
<Address>
https://login.microsoftonline.com/common/wsfed
</Address>
</EndpointReference>
</fed:PassiveRequestorEndpoint>
عنوان URL لنقطة نهاية بروتوكول SAML
تتضمن بيانات تعريف نظام الدخول الموحد URL الذي يستخدمه Microsoft Azure AD لتسجيل الدخول الفردي وتسجيل الخروج الفردي في بروتوكول SAML 2.0. تظهر نقاط النهاية هذه في عنصر IDPSSODescriptor.
تظهر عناوين URL لتسجيل الدخول والخروج في عناصر SingleSignOnService وSingleLogoutService.
تظهر بيانات التعريف التالية عينة PassiveResistorEndpoint لنقطة نهاية خاصة بالمستأجر.
<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
…
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/contoso.onmicrosoft.com/saml2" />
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/contoso.onmicrosoft.com /saml2" />
</IDPSSODescriptor>
وبالمثل، يتم نشر نقاط النهاية لنقاط نهاية بروتوكول SAML 2.0 الشائعة في بيانات تعريف نظام الدخول الموحد المستقلة عن المستأجر، كما هو موضح في العينة التالية.
<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
…
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/common/saml2" />
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/common/saml2" />
</IDPSSODescriptor>