SAML-Protokoll für einmaliges AnmeldenSingle Sign-On SAML protocol

In diesem Artikel werden die SAML 2.0-Authentifizierungsanforderungen und -antworten erläutert, die Azure Active Directory (Azure AD) für das einmalige Anmelden (Single Sign-On, SSO) unterstützt.This article covers the SAML 2.0 authentication requests and responses that Azure Active Directory (Azure AD) supports for Single Sign-On (SSO).

Das folgende Protokolldiagramm beschreibt den Ablauf für das einmalige Anmelden.The protocol diagram below describes the single sign-on sequence. Der Clouddienst (der Dienstanbieter) verwendet eine HTTP-Umleitungsbindung, um eine Authentifizierungsanforderung ( AuthnRequest ) an Azure AD (den Identitätsanbieter) zu übergeben.The cloud service (the service provider) uses an HTTP Redirect binding to pass an AuthnRequest (authentication request) element to Azure AD (the identity provider). Azure AD verwendet daraufhin eine HTTP Post-Bindung, um ein Response -Element an den Clouddienst zu senden.Azure AD then uses an HTTP post binding to post a Response element to the cloud service.

Workflow für einmaliges Anmelden (Single Sign-On, SSO)

Hinweis

In diesem Artikel wird die Verwendung von SAML für einmaliges Anmelden (Single Sign-On, SSO) erläutert.This article discusses using SAML for single sign-on. Weitere Informationen zu anderen Möglichkeiten der Verwendung des einmaligen Anmeldens (z. B. mit OpenID Connect oder der integrierten Windows-Authentifizierung) finden Sie unter Einmaliges Anmelden bei Anwendungen in Azure Active Directory.For more information on other ways to handle single sign-on (for example, by using OpenID Connect or Integrated Windows Authentication), see Single sign-on to applications in Azure Active Directory.

AuthnRequestAuthnRequest

Clouddienste senden ein AuthnRequest -Element an Azure AD, um eine Benutzerauthentifizierung anzufordern.To request a user authentication, cloud services send an AuthnRequest element to Azure AD. Eine AuthnRequest für SAML 2.0 könnte wie im folgenden Beispiel aussehen:A sample SAML 2.0 AuthnRequest could look like the following example:

<samlp:AuthnRequest
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
ID="id6c1c178c166d486687be4aaf5e482730"
Version="2.0" IssueInstant="2013-03-18T03:28:54.1839884Z"
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
<Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">https://www.contoso.com</Issuer>
</samlp:AuthnRequest>
ParameterParameter typeType BESCHREIBUNGDescription
idID ErforderlichRequired Azure AD verwendet dieses Attribut, um das InResponseTo -Attribut der zurückgegebenen Antwort aufzufüllen.Azure AD uses this attribute to populate the InResponseTo attribute of the returned response. Die ID darf nicht mit einer Zahl beginnen, weshalb dem GUID-String häufig eine Zeichenfolge wie etwa „id“ vorangestellt wird.ID must not begin with a number, so a common strategy is to prepend a string like "id" to the string representation of a GUID. id6c1c178c166d486687be4aaf5e482730 ist beispielsweise eine gültige ID.For example, id6c1c178c166d486687be4aaf5e482730 is a valid ID.
VersionVersion ErforderlichRequired Dieser Parameter sollte auf 2.0 festgelegt werden.This parameter should be set to 2.0.
IssueInstantIssueInstant ErforderlichRequired Eine DateTime-Zeichenfolge mit einem UTC-Wert und im Roundtrip-Format („o“).This is a DateTime string with a UTC value and round-trip format ("o"). Azure AD erwartet einen DateTime-Wert dieses Typs, dieser Wert wird jedoch weder bewertet noch verwendet.Azure AD expects a DateTime value of this type, but doesn't evaluate or use the value.
AssertionConsumerServiceURLAssertionConsumerServiceURL OptionalOptional Dieser Parameter muss (falls angegeben) dem RedirectUri des Clouddiensts in Azure AD entsprechen.If provided, this parameter must match the RedirectUri of the cloud service in Azure AD.
ForceAuthnForceAuthn OptionalOptional Dies ist ein Boolescher Wert.This is a boolean value. Bei „true“ wird der Benutzer gezwungen, sich erneut zu authentifizieren, selbst wenn für ihn bereits eine gültige Sitzung mit Azure AD besteht.If true, it means that the user will be forced to re-authenticate, even if they have a valid session with Azure AD.
IsPassiveIsPassive OptionalOptional Dies ist ein Boolescher Wert, der festlegt, ob Azure AD den Benutzer im Hintergrund ohne Eingreifen des Benutzers, jedoch mithilfe des Sitzungscookies authentifiziert, sofern ein solches vorhanden ist.This is a boolean value that specifies whether Azure AD should authenticate the user silently, without user interaction, using the session cookie if one exists. Bei „true“ versucht Azure AD den Benutzer mithilfe des Sitzungscookies zu authentifizieren.If this is true, Azure AD will attempt to authenticate the user using the session cookie.

Alle anderen AuthnRequest-Attribute (wie „Consent“, „Destination“, „AssertionConsumerServiceIndex“, „AttributeConsumerServiceIndex“ und „ProviderName“) werden ignoriert.All other AuthnRequest attributes, such as Consent, Destination, AssertionConsumerServiceIndex, AttributeConsumerServiceIndex, and ProviderName are ignored.

Azure AD ignoriert auch das Conditions-Element in AuthnRequest.Azure AD also ignores the Conditions element in AuthnRequest.

Issuer (Aussteller)Issuer

Das Issuer-Element in einem AuthnRequest-Element muss mit einem der ServicePrincipalNames-Werte im Clouddienst von Azure AD exakt übereinstimmen.The Issuer element in an AuthnRequest must exactly match one of the ServicePrincipalNames in the cloud service in Azure AD. Normalerweise ist es auf den App-ID-URI festgelegt, der bei der Anwendungsregistrierung angegeben wird.Typically, this is set to the App ID URI that is specified during application registration.

Im Anschluss finden Sie einen SAML-Ausschnitt, der das Issuer-Element enthält. Dies wird im folgenden Beispiel veranschaulicht:A SAML excerpt containing the Issuer element looks like the following sample:

<Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">https://www.contoso.com</Issuer>

NameIDPolicyNameIDPolicy

Dieses Element erfordert in der Antwort ein bestimmtes Namens-ID-Format und ist bei an Azure AD gesendeten AuthnRequest -Elementen optional.This element requests a particular name ID format in the response and is optional in AuthnRequest elements sent to Azure AD.

Ein NameIdPolicy-Element sieht wie im folgenden Beispiel aus:A NameIdPolicy element looks like the following sample:

<NameIDPolicy Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"/>

Wenn NameIDPolicy angegeben ist, können Sie sein optionales Format-Attribut einbeziehen.If NameIDPolicy is provided, you can include its optional Format attribute. Das Format-Attribut kann nur einen der folgenden Werte besitzen. Jeder andere Wert führt zu einem Fehler.The Format attribute can have only one of the following values; any other value results in an error.

  • urn:oasis:names:tc:SAML:2.0:nameid-format:persistent: Azure Active Directory stellt den NameID-Anspruch als paarweisen Bezeichner aus.urn:oasis:names:tc:SAML:2.0:nameid-format:persistent: Azure Active Directory issues the NameID claim as a pairwise identifier.
  • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress: Azure Active Directory stellt den NameID-Anspruch im E-Mail-Adressformat aus.urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress: Azure Active Directory issues the NameID claim in e-mail address format.
  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified: Azure Active Directory kann das Anspruchsformat selbst wählen.urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified: This value permits Azure Active Directory to select the claim format. Azure Active Directory stellt die NameID als paarweisen Bezeichner aus.Azure Active Directory issues the NameID as a pairwise identifier.
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient: Azure Active Directory stellt den NameID-Anspruch in Form eines zufällig generierten Werts aus, der für den aktuellen SSO-Vorgang eindeutig ist.urn:oasis:names:tc:SAML:2.0:nameid-format:transient: Azure Active Directory issues the NameID claim as a randomly generated value that is unique to the current SSO operation. Dieser Wert ist temporär und kann nicht zur Identifizierung des sich authentifizierenden Benutzers verwendet werden.This means that the value is temporary and cannot be used to identify the authenticating user.

Wenn SPNameQualifier angegeben wird, enthält Azure AD denselben SPNameQualifier in der Antwort.If SPNameQualifier is specified, Azure AD will include the same SPNameQualifier in the response.

Das AllowCreate -Attribut wird von Azure AD ignoriert.Azure AD ignores the AllowCreate attribute.

RequestAuthnContextRequestAuthnContext

Das RequestedAuthnContext -Element gibt die gewünschten Authentifizierungsmethoden an.The RequestedAuthnContext element specifies the desired authentication methods. In AuthnRequest -Elementen, die an Azure AD gesendet werden, ist es optional.It is optional in AuthnRequest elements sent to Azure AD. Azure AD unterstützt AuthnContextClassRef-Werte wie urn:oasis:names:tc:SAML:2.0:ac:classes:Password.Azure AD supports AuthnContextClassRef values such as urn:oasis:names:tc:SAML:2.0:ac:classes:Password.

BereichsdefinitionScoping

Das Scoping-Element enthält eine Liste mit Identitätsanbietern und ist bei AuthnRequest-Elementen, die an Azure AD gesendet werden, optional.The Scoping element, which includes a list of identity providers, is optional in AuthnRequest elements sent to Azure AD.

Wenn Sie sich für die Angabe entscheiden, schließen Sie nicht das ProxyCount-Attribut, IDPListOption oder das RequesterID-Element ein, da diese nicht unterstützt werden.If provided, don't include the ProxyCount attribute, IDPListOption or RequesterID element, as they aren't supported.

SignaturSignature

Ein Signature-Element in AuthnRequest-Elementen ist optional.A Signature element in AuthnRequest elements is optional. Azure AD überprüft signierte Authentifizierungsanforderungen nicht, wenn eine Signatur vorhanden ist.Azure AD does not validate signed authentication requests if a signature is present. Die Überprüfung des Anforderers erfolgt, indem nur auf registrierte Assertionsverbraucherdienst-URLs reagiert wird.Requestor verification is provided for by only responding to registered Assertion Consumer Service URLs.

SubjectSubject

Fügen Sie kein Subject-Element ein.Don't include a Subject element. Das Angeben eines „Subject“-Elements für eine Anforderung wird von Azure AD nicht unterstützt, und bei Angabe wird ein Fehler zurückgegeben.Azure AD doesn't support specifying a subject for a request and will return an error if one is provided.

AntwortResponse

Wenn eine angeforderte Anmeldung erfolgreich abgeschlossen wird, sendet Azure AD eine Antwort an den Clouddienst.When a requested sign-on completes successfully, Azure AD posts a response to the cloud service. Eine Antwort auf einen erfolgreichen Anmeldeversuch sieht wie im folgenden Beispiel aus:A response to a successful sign-on attempt looks like the following sample:

<samlp:Response ID="_a4958bfd-e107-4e67-b06d-0d85ade2e76a" Version="2.0" IssueInstant="2013-03-18T07:38:15.144Z" Destination="https://contoso.com/identity/inboundsso.aspx" InResponseTo="id758d0ef385634593a77bdf7e632984b6" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion"> https://login.microsoftonline.com/82869000-6ad1-48f0-8171-272ed18796e9/</Issuer>
  <ds:Signature xmlns:ds="https://www.w3.org/2000/09/xmldsig#">
    ...
  </ds:Signature>
  <samlp:Status>
    <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" />
  </samlp:Status>
  <Assertion ID="_bf9c623d-cc20-407a-9a59-c2d0aee84d12" IssueInstant="2013-03-18T07:38:15.144Z" Version="2.0" xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <Issuer>https://login.microsoftonline.com/82869000-6ad1-48f0-8171-272ed18796e9/</Issuer>
    <ds:Signature xmlns:ds="https://www.w3.org/2000/09/xmldsig#">
      ...
    </ds:Signature>
    <Subject>
      <NameID>Uz2Pqz1X7pxe4XLWxV9KJQ+n59d573SepSAkuYKSde8=</NameID>
      <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
        <SubjectConfirmationData InResponseTo="id758d0ef385634593a77bdf7e632984b6" NotOnOrAfter="2013-03-18T07:43:15.144Z" Recipient="https://contoso.com/identity/inboundsso.aspx" />
      </SubjectConfirmation>
    </Subject>
    <Conditions NotBefore="2013-03-18T07:38:15.128Z" NotOnOrAfter="2013-03-18T08:48:15.128Z">
      <AudienceRestriction>
        <Audience>https://www.contoso.com</Audience>
      </AudienceRestriction>
    </Conditions>
    <AttributeStatement>
      <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name">
        <AttributeValue>testuser@contoso.com</AttributeValue>
      </Attribute>
      <Attribute Name="http://schemas.microsoft.com/identity/claims/objectidentifier">
        <AttributeValue>3F2504E0-4F89-11D3-9A0C-0305E82C3301</AttributeValue>
      </Attribute>
      ...
    </AttributeStatement>
    <AuthnStatement AuthnInstant="2013-03-18T07:33:56.000Z" SessionIndex="_bf9c623d-cc20-407a-9a59-c2d0aee84d12">
      <AuthnContext>
        <AuthnContextClassRef> urn:oasis:names:tc:SAML:2.0:ac:classes:Password</AuthnContextClassRef>
      </AuthnContext>
    </AuthnStatement>
  </Assertion>
</samlp:Response>

AntwortResponse

Das Response -Element enthält das Ergebnis der Autorisierungsanforderung.The Response element includes the result of the authorization request. Azure AD legt die Werte ID, Version und IssueInstant im Response-Element fest.Azure AD sets the ID, Version and IssueInstant values in the Response element. Außerdem legt es die folgenden Attribute fest:It also sets the following attributes:

  • Destination: Wird nach erfolgreichem Abschluss der Anmeldung auf den RedirectUri des Dienstanbieters (Clouddienst) festgelegt.Destination: When sign-on completes successfully, this is set to the RedirectUri of the service provider (cloud service).
  • InResponseTo: Wird auf das ID-Attribut des AuthnRequest-Elements festgelegt, das die Antwort initiiert hat.InResponseTo: This is set to the ID attribute of the AuthnRequest element that initiated the response.

Issuer (Aussteller)Issuer

Azure AD legt das Issuer-Element auf https://sts.windows.net/<TenantIDGUID>/ fest, wobei <TenantIDGUID> die Mandanten-ID des Azure AD-Mandanten ist.Azure AD sets the Issuer element to https://sts.windows.net/<TenantIDGUID>/ where <TenantIDGUID> is the tenant ID of the Azure AD tenant.

Eine Antwort mit einem Issuer-Element sieht beispielsweise wie im folgenden Beispiel aus:For example, a response with Issuer element could look like the following sample:

<Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion"> https://sts.windows.net/82869000-6ad1-48f0-8171-272ed18796e9/</Issuer>

StatusStatus

Das Status -Element gibt an, ob die Anmeldung erfolgreich war.The Status element conveys the success or failure of sign-on. Es enthält das StatusCode-Element, das einen Code oder mehrere geschachtelte Codes enthält, die den Status der Anforderung darstellen.It includes the StatusCode element, which contains a code or a set of nested codes that represents the status of the request. Außerdem enthält es das StatusMessage -Element mit spezifischen, während der Anmeldung generierten Fehlermeldungen.It also includes the StatusMessage element, which contains custom error messages that are generated during the sign-on process.

Im folgenden Beispiel finden Sie eine SAML-Antwort auf einen fehlerhaften Anmeldeversuch.The following sample is a SAML response to an unsuccessful sign-on attempt.

<samlp:Response ID="_f0961a83-d071-4be5-a18c-9ae7b22987a4" Version="2.0" IssueInstant="2013-03-18T08:49:24.405Z" InResponseTo="iddce91f96e56747b5ace6d2e2aa9d4f8c" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">https://sts.windows.net/82869000-6ad1-48f0-8171-272ed18796e9/</Issuer>
  <samlp:Status>
    <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Requester">
      <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:RequestUnsupported" />
    </samlp:StatusCode>
    <samlp:StatusMessage>AADSTS75006: An error occurred while processing a SAML2 Authentication request. AADSTS90011: The SAML authentication request property 'NameIdentifierPolicy/SPNameQualifier' is not supported.
Trace ID: 66febed4-e737-49ff-ac23-464ba090d57c
Timestamp: 2013-03-18 08:49:24Z</samlp:StatusMessage>
  </samlp:Status>

AssertionAssertion

Zusätzlich zu ID, IssueInstant und Version legt Azure AD im Assertion-Element der Antwort die folgenden Elemente fest.In addition to the ID, IssueInstant and Version, Azure AD sets the following elements in the Assertion element of the response.

Issuer (Aussteller)Issuer

Ist auf https://sts.windows.net/<TenantIDGUID>/ festgelegt, wobei <TenantIDGUID> die Mandanten-ID des Azure AD-Mandanten ist.This is set to https://sts.windows.net/<TenantIDGUID>/where <TenantIDGUID> is the Tenant ID of the Azure AD tenant.

<Issuer>https://sts.windows.net/82869000-6ad1-48f0-8171-272ed18796e9/</Issuer>

SignaturSignature

Azure AD signiert die Assertion als Antwort auf eine erfolgreiche Anmeldung.Azure AD signs the assertion in response to a successful sign-on. Das Signature -Element enthält eine digitale Signatur, die vom Clouddienst zum Authentifizieren der Quelle und zum Überprüfen der Integrität der Assertion verwendet werden kann.The Signature element contains a digital signature that the cloud service can use to authenticate the source to verify the integrity of the assertion.

Azure AD verwendet den im IDPSSODescriptor -Element des Metadatendokuments festgelegten Signaturschlüssel, um diese digitale Signatur zu generieren.To generate this digital signature, Azure AD uses the signing key in the IDPSSODescriptor element of its metadata document.

<ds:Signature xmlns:ds="https://www.w3.org/2000/09/xmldsig#">
      digital_signature_here
    </ds:Signature>

SubjectSubject

Legt den Prinzipal fest, der Betreff der Anweisungen in der Assertion ist.This specifies the principal that is the subject of the statements in the assertion. Er enthält ein NameID-Element, das den authentifizierten Benutzer darstellt.It contains a NameID element, which represents the authenticated user. Der NameID-Wert ist ein gezielter Bezeichner, der nur an den Dienstanbieter gerichtet ist, welcher die Zielgruppe für das Token darstellt.The NameID value is a targeted identifier that is directed only to the service provider that is the audience for the token. Er ist persistent – er kann widerrufen werden, eine erneute Zuweisung ist jedoch nicht mehr möglich.It is persistent - it can be revoked, but is never reassigned. Er ist zudem nicht transparent, d.h. Informationen über den Benutzer werden nicht preisgegeben, und er kann nicht als Bezeichner für Attributabfragen verwendet werden.It is also opaque, in that it does not reveal anything about the user and cannot be used as an identifier for attribute queries.

Das Method-Attribut des SubjectConfirmation-Elements ist immer auf urn:oasis:names:tc:SAML:2.0:cm:bearer festgelegt.The Method attribute of the SubjectConfirmation element is always set to urn:oasis:names:tc:SAML:2.0:cm:bearer.

<Subject>
      <NameID>Uz2Pqz1X7pxe4XLWxV9KJQ+n59d573SepSAkuYKSde8=</NameID>
      <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
        <SubjectConfirmationData InResponseTo="id758d0ef385634593a77bdf7e632984b6" NotOnOrAfter="2013-03-18T07:43:15.144Z" Recipient="https://contoso.com/identity/inboundsso.aspx" />
      </SubjectConfirmation>
</Subject>

BedingungenConditions

Dieses Element legt die Bedingungen fest, die die akzeptable Verwendung von SAML-Assertions definieren.This element specifies conditions that define the acceptable use of SAML assertions.

<Conditions NotBefore="2013-03-18T07:38:15.128Z" NotOnOrAfter="2013-03-18T08:48:15.128Z">
      <AudienceRestriction>
        <Audience>https://www.contoso.com</Audience>
      </AudienceRestriction>
</Conditions>

Die Attribute NotBefore und NotOnOrAfter legen das Intervall fest, in dem die Assertion gültig ist.The NotBefore and NotOnOrAfter attributes specify the interval during which the assertion is valid.

  • Der Wert des NotBefore-Attributs entspricht dem Wert des IssueInstant-Attributs des Assertion-Elements oder ist etwas (weniger als einer Sekunde) höher.The value of the NotBefore attribute is equal to or slightly (less than a second) later than the value of IssueInstant attribute of the Assertion element. Azure AD berücksichtigt keine Zeitunterschiede zwischen sich selbst und dem Clouddienst (Dienstanbieter) und fügt dieser Zeit keinen Puffer hinzu.Azure AD does not account for any time difference between itself and the cloud service (service provider), and does not add any buffer to this time.
  • Der Wert des NotOnOrAfter-Attributs liegt 70 Minuten nach dem Wert des NotBefore-Attributs.The value of the NotOnOrAfter attribute is 70 minutes later than the value of the NotBefore attribute.

ZielgruppeAudience

Dieses Element enthält einen URI, der die beabsichtigte Zielgruppe identifiziert.This contains a URI that identifies an intended audience. Azure AD legt den Wert dieses Elements auf den Wert des Issuer-Elements der AuthnRequest fest, die die Anmeldung initiiert hat.Azure AD sets the value of this element to the value of Issuer element of the AuthnRequest that initiated the sign-on. Verwenden Sie zum Auswerten des Werts Audience den Wert von App ID URI, der bei der Anwendungsregistrierung angegeben wurde.To evaluate the Audience value, use the value of the App ID URI that was specified during application registration.

<AudienceRestriction>
        <Audience>https://www.contoso.com</Audience>
</AudienceRestriction>

Genau wie der Issuer-Wert muss auch der Audience-Wert genau mit einem der Dienstprinzipalnamen des Clouddiensts in Azure AD übereinstimmen.Like the Issuer value, the Audience value must exactly match one of the service principal names that represents the cloud service in Azure AD. Falls es sich beim Wert des Issuer-Elements allerdings nicht um einen URI-Wert handelt, entspricht der Audience-Wert in der Antwort dem Issuer-Wert mit dem Präfix spn:.However, if the value of the Issuer element is not a URI value, the Audience value in the response is the Issuer value prefixed with spn:.

AttributeStatementAttributeStatement

Enthält Ansprüche bezüglich des Antragstellers oder des Benutzers.This contains claims about the subject or user. Der folgende Auszug enthält ein AttributeStatement -Beispielelement.The following excerpt contains a sample AttributeStatement element. Die Auslassungszeichen weisen darauf hin, dass das Element mehrere Attribute und Attributwerte enthalten kann.The ellipsis indicates that the element can include multiple attributes and attribute values.

<AttributeStatement>
      <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name">
        <AttributeValue>testuser@contoso.com</AttributeValue>
      </Attribute>
      <Attribute Name="http://schemas.microsoft.com/identity/claims/objectidentifier">
        <AttributeValue>3F2504E0-4F89-11D3-9A0C-0305E82C3301</AttributeValue>
      </Attribute>
      ...
</AttributeStatement>
  • Name-Anspruch: Der Wert des Name-Attributs (http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name) ist der Benutzerprinzipalname des authentifizierten Benutzers (z.B. testuser@managedtenant.com).Name Claim - The value of the Name attribute (http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name) is the user principal name of the authenticated user, such as testuser@managedtenant.com.
  • ObjectIdentifier-Anspruch: Der Wert des ObjectIdentifier-Attributs (http://schemas.microsoft.com/identity/claims/objectidentifier) ist das ObjectId-Element des Verzeichnisobjekts, das den authentifizierten Benutzer in Azure AD darstellt.ObjectIdentifier Claim - The value of the ObjectIdentifier attribute (http://schemas.microsoft.com/identity/claims/objectidentifier) is the ObjectId of the directory object that represents the authenticated user in Azure AD. ObjectId ist ein unveränderlicher, global eindeutiger und sicher wiederverwendbarer Bezeichner des authentifizierten Benutzers.ObjectId is an immutable, globally unique, and reuse safe identifier of the authenticated user.

AuthnStatementAuthnStatement

Dieses Element bestätigt, dass das Assertion-Subjekt mit einer bestimmten Methode zu einem bestimmten Zeitpunkt authentifiziert wurde.This element asserts that the assertion subject was authenticated by a particular means at a particular time.

  • Das AuthnInstant -Attribut gibt die Uhrzeit an, zu der der Benutzer mit Azure AD authentifiziert wurde.The AuthnInstant attribute specifies the time at which the user authenticated with Azure AD.
  • Das AuthnContext -Element gibt den Authentifizierungskontext an, der zum Authentifizieren des Benutzers verwendet wurde.The AuthnContext element specifies the authentication context used to authenticate the user.
<AuthnStatement AuthnInstant="2013-03-18T07:33:56.000Z" SessionIndex="_bf9c623d-cc20-407a-9a59-c2d0aee84d12">
      <AuthnContext>
        <AuthnContextClassRef> urn:oasis:names:tc:SAML:2.0:ac:classes:Password</AuthnContextClassRef>
      </AuthnContext>
</AuthnStatement>