Összevonási metaadatok
A Microsoft Entra ID közzétesz egy összevonási metaadat-dokumentumot azokhoz a szolgáltatásokhoz, amelyek úgy vannak konfigurálva, hogy elfogadják a Microsoft Entra ID által problémákat okozó biztonsági jogkivonatokat. Az összevonási metaadat-dokumentum formátumát a Web Services Összevonási nyelv (WS-Federation) 1.2-es verziója ismerteti, amely kibővíti az OASIS security Assertion Markup Language (SAML) 2.0-s verziójának metaadatait.
Bérlőspecifikus és bérlőfüggetlen metaadat-végpontok
A Microsoft Entra ID bérlőspecifikus és bérlőfüggetlen végpontokat tesz közzé.
A bérlőspecifikus végpontok egy adott bérlőhöz vannak tervezve. A bérlőspecifikus összevonási metaadatok tartalmazzák a bérlőre vonatkozó információkat, beleértve a bérlőspecifikus kiállítót és a végpont adatait. Az egyetlen bérlőhöz való hozzáférést korlátozó alkalmazások bérlőspecifikus végpontokat használnak.
A bérlőfüggetlen végpontok az összes Microsoft Entra-bérlőre jellemző információkat biztosítják. Ezek az információk a login.microsoftonline.com üzemeltetett bérlőkre vonatkoznak, és megosztják a bérlők között. A bérlőfüggetlen végpontok több-bérlős alkalmazásokhoz ajánlottak, mivel nincsenek társítva egyetlen adott bérlőhöz sem.
Összevonási metaadat-végpontok
A Microsoft Entra ID a címen https://login.microsoftonline.com/<TenantDomainName>/FederationMetadata/2007-06/FederationMetadata.xml
teszi közzé az összevonási metaadatokat.
Bérlőspecifikus végpontok esetén a TenantDomainName
következő típusok egyike lehet:
- Egy Microsoft Entra-bérlő regisztrált tartományneve, például:
contoso.onmicrosoft.com
. - A tartomány nem módosítható bérlőazonosítója, például
aaaabbbb-0000-cccc-1111-dddd2222eeee
.
Bérlőfüggetlen végpontok esetén a TenantDomainName
következő: common
. Ez a dokumentum csak azokat az összevonási metaadat-elemeket sorolja fel, amelyek a login.microsoftonline.com üzemeltetett összes Microsoft Entra-bérlőre jellemzőek.
Például egy bérlőspecifikus végpont lehet https://login.microsoftonline.com/contoso.onmicrosoft.com/FederationMetadata/2007-06/FederationMetadata.xml
. A bérlőfüggetlen végpont az https://login.microsoftonline.com/common/FederationMetadata/2007-06/FederationMetadata.xml. Az összevonási metaadat-dokumentum megtekintéséhez írja be ezt az URL-címet egy böngészőbe.
Összevonási metaadatok tartalma
A következő szakasz a Microsoft Entra ID által kibocsátott jogkivonatokat használó szolgáltatások számára szükséges információkat tartalmazza.
Entitás azonosítója
Az EntityDescriptor
elem tartalmaz egy EntityID
attribútumot. Az attribútum értéke EntityID
a kiállítót, vagyis a jogkivonatot kibocsátó biztonsági jogkivonat-szolgáltatást (STS) jelöli. Fontos, hogy érvényesítse a kiállítót, amikor jogkivonatot kap.
Az alábbi metaadatok egy bérlőspecifikus EntityDescriptor
mintaelemet és egy EntityID
elemet mutatnak be.
<EntityDescriptor
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
ID="_00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
entityID="https://sts.windows.net/11bb11bb-cc22-dd33-ee44-55ff55ff55ff/">
Bérlőspecifikus érték létrehozásához lecserélheti a bérlőfüggetlen végpont bérlőazonosítóját a bérlőazonosítóra EntityID
. Az eredményül kapott érték megegyezik a jogkivonat kiállítójával. A stratégia lehetővé teszi, hogy egy több-bérlős alkalmazás érvényesítse a kiállítót egy adott bérlőre vonatkozóan.
Az alábbi metaadatok egy bérlőfüggetlen EntityID
mintaelemet mutatnak be. Vegye figyelembe, hogy ez {tenant}
egy literál, nem helyőrző.
<EntityDescriptor
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
ID="="_11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
entityID="https://sts.windows.net/{tenant}/">
Jogkivonat-aláíró tanúsítványok
Amikor egy szolgáltatás egy Microsoft Entra-bérlő által kibocsátott jogkivonatot kap, a jogkivonat aláírását az összevonási metaadat-dokumentumban közzétett aláíró kulccsal kell ellenőrizni. Az összevonási metaadatok tartalmazzák a bérlők által a jogkivonat-aláíráshoz használt tanúsítványok nyilvános részét. A tanúsítvány nyers bájtja megjelenik az KeyDescriptor
elemben. A jogkivonat-aláíró tanúsítvány csak akkor érvényes az aláírásra, ha az use
attribútum értéke .signing
A Microsoft Entra ID által közzétett összevonási metaadat-dokumentumok több aláíró kulcssal is rendelkezhetnek, például amikor a Microsoft Entra ID az aláíró tanúsítvány frissítésére készül. Ha egy összevonási metaadat-dokumentum több tanúsítványt is tartalmaz, a jogkivonatokat érvényesítő szolgáltatásnak támogatnia kell a dokumentum összes tanúsítványát.
Az alábbi metaadatok egy aláíró kulccsal rendelkező mintaelemet KeyDescriptor
mutatnak be.
<KeyDescriptor use="signing">
<KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
<X509Data>
<X509Certificate>
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
</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>
Az KeyDescriptor
elem két helyen jelenik meg az összevonási metaadat-dokumentumban, a WS-Összevonás-specifikus szakaszban és az SAML-specifikus szakaszban. A mindkét szakaszban közzétett tanúsítványok ugyanazok lesznek.
A WS-Összevonás-specifikus szakaszban egy WS-összevonás metaadat-olvasó felolvassa a tanúsítványokat egy RoleDescriptor
ilyen típusú elemből SecurityTokenServiceType
.
Az alábbi metaadatok egy mintaelemet RoleDescriptor
mutatnak be.
<RoleDescriptor xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" xmlns:fed="https://docs.oasis-open.org/wsfed/federation/200706" xsi:type="fed:SecurityTokenServiceType" protocolSupportEnumeration="https://docs.oasis-open.org/wsfed/federation/200706">
Az SAML-specifikus szakaszban egy WS-összevonási metaadat-olvasó felolvassa a tanúsítványokat egy IDPSSODescriptor
elemből.
Az alábbi metaadatok egy mintaelemet IDPSSODescriptor
mutatnak be.
<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
A bérlőspecifikus és a bérlőfüggetlen tanúsítványok formátuma nem különbözik.
WS-Federation végpont URL-címe
Az összevonási metaadatok tartalmazzák azt az URL-címet, amelyet a Microsoft Entra ID az egyszeri bejelentkezéshez és az egyszeri kijelentkezéshez használ a WS-Federation protokollban. Ez a végpont megjelenik az PassiveRequestorEndpoint
elemben.
Az alábbi metaadatok egy bérlőspecifikus végpont mintaelemét PassiveRequestorEndpoint
jelenítik meg.
<fed:PassiveRequestorEndpoint>
<EndpointReference xmlns="https://www.w3.org/2005/08/addressing">
<Address>
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/wsfed
</Address>
</EndpointReference>
</fed:PassiveRequestorEndpoint>
A bérlőfüggetlen végpont esetében a WS-összevonási URL-cím megjelenik a WS-Összevonás végponton, ahogyan az az alábbi példában is látható.
<fed:PassiveRequestorEndpoint>
<EndpointReference xmlns="https://www.w3.org/2005/08/addressing">
<Address>
https://login.microsoftonline.com/common/wsfed
</Address>
</EndpointReference>
</fed:PassiveRequestorEndpoint>
SAML protokollvégpont URL-címe
Az összevonási metaadatok tartalmazzák a Microsoft Entra ID által az egyszeri bejelentkezéshez és az egyszeri kijelentkezéshez használt URL-címet az SAML 2.0 protokollban. Ezek a végpontok megjelennek az IDPSSODescriptor
elemben.
A bejelentkezési és bejelentkezési URL-címek megjelennek az és SingleLogoutService
az SingleSignOnService
elemek között.
Az alábbi metaadatok egy bérlőspecifikus végpont mintáját PassiveResistorEndpoint
jelenítik meg.
<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
…
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/contoso.onmicrosoft.com/saml2" />
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/contoso.onmicrosoft.com /saml2" />
</IDPSSODescriptor>
Hasonlóképpen a közös SAML 2.0 protokollvégpontok végpontjai is közzé vannak téve a bérlőfüggetlen összevonási metaadatokban, ahogyan az az alábbi példában is látható.
<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
…
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/common/saml2" />
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/common/saml2" />
</IDPSSODescriptor>