Uso del protocolo SAML por parte de la Plataforma de identidad de Microsoft

  • Artículo

La Plataforma de identidad de Microsoft usa el protocolo SAML 2.0, entre otros, para permitir a las aplicaciones proporcionar una experiencia de inicio de sesión único (SSO) a sus usuarios. Los perfiles SAML de inicio y cierre de sesión único de Microsoft Entra ID explican cómo se usan las aserciones, los protocolos y los enlaces SAML en el servicio de proveedor de identidades.

El protocolo SAML requiere que el proveedor de identidades (Plataforma de identidad de Microsoft) y el proveedor de servicios (la aplicación) intercambien información sobre sí mismos.

Cuando una aplicación se registra en Microsoft Entra ID, el desarrollador de esta registra información relacionada con la federación en Microsoft Entra ID. Esta información incluye el URI de redireccionamiento y de metadatos de la aplicación.

La Plataforma de identidad de Microsoft usa el URI de metadatos del servicio en la nube para recuperar la clave de firma y el URI de cierre de sesión. De este modo, la Plataforma de identidad de Microsoft puede enviar la respuesta a la dirección URL correcta. En el Centro de administración de Microsoft Entra:

  • Abra la aplicación en Microsoft Entra ID y seleccione Registros de aplicaciones
  • En Administrar, seleccione Autenticación. Desde allí puede actualizar la dirección URL de cierre de sesión.

Microsoft Entra ID expone los puntos de conexión de inicio y cierre de sesión único comunes (independientes del inquilino) y específicos del inquilino. Estas direcciones URL representan ubicaciones direccionables y no solo son identificadores. Después, puede ir al punto de conexión para leer los metadatos.

  • El punto de conexión específico del inquilino se encuentra en https://login.microsoftonline.com/<TenantDomainName>/FederationMetadata/2007-06/FederationMetadata.xml. El marcador de posición <TenantDomainName> representa un nombre de dominio registrado o GUID TenantID de un inquilino de Microsoft Entra. Por ejemplo, los metadatos de federación del inquilino contoso.com están en: https://login.microsoftonline.com/contoso.com/FederationMetadata/2007-06/FederationMetadata.xml

  • El punto de conexión independiente del inquilino se encuentra en https://login.microsoftonline.com/common/FederationMetadata/2007-06/FederationMetadata.xml. En esta dirección de punto de conexión, se muestra common, en lugar de un id. o nombre de dominio del inquilino.

Pasos siguientes

Para obtener información sobre los documentos de metadatos de federación que publica Microsoft Entra ID, consulte Metadatos de federación.