SAML-jogkivonatok jogcímeinek referenciája
A Microsoft Identitásplatform különböző típusú biztonsági jogkivonatokat bocsát ki az egyes hitelesítési folyamatok feldolgozása során. Ez a dokumentum az SAML 2.0-jogkivonatok formátumát, biztonsági jellemzőit és tartalmát ismerteti.
Jogcímek SAML-jogkivonatokban
| Név | Egyenértékű JWT-jogcím | Leírás | Példa |
|---|---|---|---|
| Célközönség | aud |
A jogkivonat címzettje. A jogkivonatot fogadó alkalmazásnak ellenőriznie kell, hogy a célközönség értéke helyes-e, és elutasítja-e a más célközönségnek szánt jogkivonatokat. | <AudienceRestriction><Audience>https://contoso.com</Audience></AudienceRestriction> |
| Hitelesítési időpont | A hitelesítés dátumát és időpontját rögzíti. | <AuthnStatement AuthnInstant="2011-12-29T05:35:22.000Z"> |
|
| Hitelesítési módszer | amr |
Azonosítja a jogkivonat tulajdonosának hitelesítését. | <AuthnContextClassRef>http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod/password</AuthnContextClassRef> |
| Utónév | given_name |
Megadja a felhasználó első vagy "adott" nevét a Microsoft Entra felhasználói objektumon beállított módon. | <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname"><AttributeValue>Frank<AttributeValue> |
| Csoportok | groups |
Olyan objektumazonosítókat biztosít, amelyek a tárgy csoporttagságait jelölik. Ezek az értékek egyediek (lásd az objektumazonosítót), és biztonságosan használhatók a hozzáférés kezeléséhez, például az erőforrásokhoz való hozzáférés engedélyezésének kikényszerítéséhez. A csoportok jogcímében szereplő csoportok alkalmazásonként vannak konfigurálva az alkalmazásjegyzék "groupMembershipClaims" tulajdonságán keresztül. A null érték az összes csoportot kizárja, a "SecurityGroup" érték a címtárszerepköröket és az Active Directory biztonsági csoporttagságokat, a "Minden" érték pedig a biztonsági csoportokat és a Microsoft 365 terjesztési listákat is tartalmazza. Megjegyzések: Ha a felhasználó által használt csoportok száma túllép egy korlátot (SAML esetén 150, JWT esetén 200), akkor a rendszer hozzáad egy túlhasználati jogcímet a felhasználó csoportlistáját tartalmazó Graph-végpontra mutató jogcímforrásokhoz. |
<Attribute Name="http://schemas.microsoft.com/ws/2008/06/identity/claims/groups"><AttributeValue>07dd8a60-bf6d-4e17-8844-230b77145381</AttributeValue> |
| Csoportok túlhasználati mutatója | groups:src1 |
Az olyan jogkivonat-kérelmek esetében, amelyek nem hosszabbak, de túl nagyok a jogkivonathoz, megjelenik a felhasználó teljes csoportlistájára mutató hivatkozás. Az SAML esetében ez a jogcím helyett groups új jogcímként lesz hozzáadva. Megjegyzések: Az Azure AD Graph API helyébe a Microsoft Graph API lép. Az egyenértékű végpontról további információt a következő felhasználó: getMemberObjects című témakörben talál. |
<Attribute Name=" http://schemas.microsoft.com/claims/groups.link"><AttributeValue>https://graph.windows.net/{tenantID}/users/{userID}/getMemberObjects<AttributeValue> |
| Identitásszolgáltató | idp |
A jogkivonat alanyát hitelesítő identitásszolgáltatót adja meg. Ez az érték megegyezik a Kiállítói jogcím értékével, kivéve, ha a felhasználói fiók más bérlőben van, mint a kiállító. | <Attribute Name=" http://schemas.microsoft.com/identity/claims/identityprovider"><AttributeValue>https://sts.windows.net/aaaabbbb-0000-cccc-1111-dddd2222eeee/<AttributeValue> |
| Kibocsátva | iat |
Tárolja a jogkivonat kiállításának időpontját. Gyakran használják a token frissességének mérésére. | <Assertion ID="_d5ec7a9b-8d8f-4b44-8c94-9812612142be" IssueInstant="2014-01-06T20:20:23.085Z" Version="2.0" xmlns="urn:oasis:names:tc:SAML:2.0:assertion"> |
| Issuer | iss |
A jogkivonatot összeállító és visszaadó biztonsági jogkivonat-szolgáltatást (STS) azonosítja. A Microsoft Entra ID által visszaadott jogkivonatokban a kiállító sts.windows.net. A Kiállító jogcímérték guid azonosítója a Microsoft Entra könyvtár bérlőazonosítója. A bérlőazonosító a címtár nem módosítható és megbízható azonosítója. | <Issuer>https://sts.windows.net/aaaabbbb-0000-cccc-1111-dddd2222eeee/</Issuer> |
| Vezetéknév | family_name |
Megadja a felhasználó vezetéknevét, vezetéknevét vagy családi nevét a Microsoft Entra felhasználói objektumban meghatározottak szerint. | <Attribute Name=" http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"><AttributeValue>Miller<AttributeValue> |
| Név | unique_name |
A jogkivonat alanyát azonosító, ember által olvasható értéket ad meg. Ez az érték nem garantáltan egyedi a bérlőn belül, és csak megjelenítési célokra használható. | <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"><AttributeValue>frankm@contoso.com<AttributeValue> |
| Objektumazonosító | oid |
Egy objektum egyedi azonosítóját tartalmazza a Microsoft Entra ID-ban. Ez az érték nem módosítható, és nem rendelhető újra és nem használható újra. Az objektumazonosítóval azonosíthat egy objektumot a Microsoft Entra ID-nak küldött lekérdezésekben. | <Attribute Name="http://schemas.microsoft.com/identity/claims/objectidentifier"><AttributeValue>528b2ac2-aa9c-45e1-88d4-959b53bc7dd0<AttributeValue> |
| Szerepkörök | roles |
Az összes olyan alkalmazásszerepkört jelöli, amelyet a tulajdonos közvetlenül és közvetetten is kapott a csoporttagságon keresztül, és a szerepköralapú hozzáférés-vezérlés kényszerítésére használható. Az alkalmazásszerepkörök alkalmazásonként vannak definiálva az appRoles alkalmazásjegyzék tulajdonságán keresztül. Az value egyes alkalmazásszerepkörök tulajdonsága a szerepkör-jogcímben megjelenő érték. |
<Attribute Name="http://schemas.microsoft.com/ws/2008/06/identity/claims/role"> |
| Tárgy | sub |
Azonosítja azt az egyszerű felhasználót, akiről a jogkivonat információkat állít be, például egy alkalmazás felhasználóját. Ez az érték nem módosítható, és nem rendelhető hozzá újra vagy nem használható újra, így az engedélyezési ellenőrzések biztonságos végrehajtására használható. Mivel a tárgy mindig jelen van a Microsoft Entra-azonosítóval kapcsolatos problémák jogkivonataiban, javasoljuk, hogy használja ezt az értéket egy általános célú engedélyezési rendszerben. SubjectConfirmation nem jogcím. Leírja, hogy a jogkivonat tárgyát hogyan ellenőrzi a rendszer. Bearer azt jelzi, hogy a tulajdonost a jogkivonat birtokában megerősítik. |
<Subject><NameID>S40rgb3XjhFTv6EQTETkEzcgVmToHKRkZUIsJlmLdVc</NameID><SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer" /></Subject> |
| Bérlőazonosító | tid |
Nem módosítható, nem újrafelhasználható azonosító, amely azonosítja a jogkivonatot kibocsátó címtárbérlőt. Ezzel az értékkel bérlőspecifikus címtárerőforrásokat érhet el több-bérlős alkalmazásokban. Ezzel az értékkel például azonosíthatja a bérlőt a Graph API hívásában. | <Attribute Name="http://schemas.microsoft.com/identity/claims/tenantid"><AttributeValue>aaaabbbb-0000-cccc-1111-dddd2222eeee<AttributeValue> |
| Jogkivonat élettartama | nbf, exp |
A jogkivonat érvényességi idejét határozza meg. A jogkivonatot érvényesítő szolgáltatásnak ellenőriznie kell, hogy az aktuális dátum a jogkivonat élettartamán belül van-e, ellenkező esetben el kell utasítania a jogkivonatot. A szolgáltatás akár öt percig is lehetővé teheti, hogy a jogkivonat élettartam-tartományán túl figyelembe lehessen venni a Microsoft Entra ID és a szolgáltatás óraideje közötti különbségeket ("időeltérés"). | <ConditionsNotBefore="2013-03-18T21:32:51.261Z"NotOnOrAfter="2013-03-18T22:32:51.261Z"> |
MINTA SAML-jogkivonat
Ez egy tipikus SAML-jogkivonat mintája.
<?xml version="1.0" encoding="UTF-8"?>
<t:RequestSecurityTokenResponse xmlns:t="http://schemas.xmlsoap.org/ws/2005/02/trust">
<t:Lifetime>
<wsu:Created xmlns:wsu="https://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">2014-12-24T05:15:47.060Z</wsu:Created>
<wsu:Expires xmlns:wsu="https://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">2014-12-24T06:15:47.060Z</wsu:Expires>
</t:Lifetime>
<wsp:AppliesTo xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy">
<EndpointReference xmlns="https://www.w3.org/2005/08/addressing">
<Address>https://contoso.onmicrosoft.com/MyWebApp</Address>
</EndpointReference>
</wsp:AppliesTo>
<t:RequestedSecurityToken>
<Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion" ID="_3ef08993-846b-41de-99df-b7f3ff77671b" IssueInstant="2014-12-24T05:20:47.060Z" Version="2.0">
<Issuer>https://sts.windows.net/aaaabbbb-0000-cccc-1111-dddd2222eeee/</Issuer>
<ds:Signature xmlns:ds="https://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#" />
<ds:SignatureMethod Algorithm="https://www.w3.org/2001/04/xmldsig-more#rsa-sha256" />
<ds:Reference URI="#_3ef08993-846b-41de-99df-b7f3ff77671b">
<ds:Transforms>
<ds:Transform Algorithm="https://www.w3.org/2000/09/xmldsig#enveloped-signature" />
<ds:Transform Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#" />
</ds:Transforms>
<ds:DigestMethod Algorithm="https://www.w3.org/2001/04/xmlenc#sha256" />
<ds:DigestValue>cV1J580U1pD24hEyGuAxrbtgROVyghCqI32UkER/nDY=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>j+zPf6mti8Rq4Kyw2NU2nnu0pb{lots of characters}ut93UTyTAIGOs5fvP9ZfK2vNeMVJW7Xg==</ds:SignatureValue>
<KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
<X509Data>
<X509Certificate>MIIDPjCCAabcAwIBAgIQsRiM0jheFZhKk49YD0SK1TAJBgUrDg{lots of characters}OBcXWLAIarZ</X509Certificate>
</X509Data>
</KeyInfo>
</ds:Signature>
<Subject>
<NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">m_H3naDei2LNxUmEcWd0BZlNi_jVET1pMLR6iQSuYmo</NameID>
<SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer" />
</Subject>
<Conditions NotBefore="2014-12-24T05:15:47.060Z" NotOnOrAfter="2014-12-24T06:15:47.060Z">
<AudienceRestriction>
<Audience>https://contoso.onmicrosoft.com/MyWebApp</Audience>
</AudienceRestriction>
</Conditions>
<AttributeStatement>
<Attribute Name="http://schemas.microsoft.com/identity/claims/objectidentifier">
<AttributeValue>aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.microsoft.com/identity/claims/tenantid">
<AttributeValue>aaaabbbb-0000-cccc-1111-dddd2222eeee</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name">
<AttributeValue>sample.admin@contoso.onmicrosoft.com</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<AttributeValue>Admin</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
<AttributeValue>Sample</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.microsoft.com/ws/2008/06/identity/claims/groups">
<AttributeValue>5581e43f-6096-41d4-8ffa-04e560bab39d</AttributeValue>
<AttributeValue>07dd8a89-bf6d-4e81-8844-230b77145381</AttributeValue>
<AttributeValue>0e129f4g-6b0a-4944-982d-f776000632af</AttributeValue>
<AttributeValue>3ee07328-52ef-4739-a89b-109708c22fb5</AttributeValue>
<AttributeValue>329k14b3-1851-4b94-947f-9a4dacb595f4</AttributeValue>
<AttributeValue>6e32c650-9b0a-4491-b429-6c60d2ca9a42</AttributeValue>
<AttributeValue>f3a169a7-9a58-4e8f-9d47-b70029v07424</AttributeValue>
<AttributeValue>8e2c86b2-b1ad-476d-9574-544d155aa6ff</AttributeValue>
<AttributeValue>1bf80264-ff24-4866-b22c-6212e5b9a847</AttributeValue>
<AttributeValue>4075f9c3-072d-4c32-b542-03e6bc678f3e</AttributeValue>
<AttributeValue>76f80527-f2cd-46f4-8c52-8jvd8bc749b1</AttributeValue>
<AttributeValue>0ba31460-44d0-42b5-b90c-47b3fcc48e35</AttributeValue>
<AttributeValue>edd41703-8652-4948-94a7-2d917bba7667</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.microsoft.com/identity/claims/identityprovider">
<AttributeValue>https://sts.windows.net/aaaabbbb-0000-cccc-1111-dddd2222eeee/</AttributeValue>
</Attribute>
</AttributeStatement>
<AuthnStatement AuthnInstant="2014-12-23T18:51:11.000Z">
<AuthnContext>
<AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:Password</AuthnContextClassRef>
</AuthnContext>
</AuthnStatement>
</Assertion>
</t:RequestedSecurityToken>
<t:RequestedAttachedReference>
<SecurityTokenReference xmlns="https://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:d3p1="https://docs.oasis-open.org/wss/oasis-wss-wssecurity-secext-1.1.xsd" d3p1:TokenType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0">
<KeyIdentifier ValueType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLID">_3ef08993-846b-41de-99df-b7f3ff77671b</KeyIdentifier>
</SecurityTokenReference>
</t:RequestedAttachedReference>
<t:RequestedUnattachedReference>
<SecurityTokenReference xmlns="https://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:d3p1="https://docs.oasis-open.org/wss/oasis-wss-wssecurity-secext-1.1.xsd" d3p1:TokenType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0">
<KeyIdentifier ValueType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLID">_3ef08993-846b-41de-99df-b7f3ff77671b</KeyIdentifier>
</SecurityTokenReference>
</t:RequestedUnattachedReference>
<t:TokenType>http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0</t:TokenType>
<t:RequestType>http://schemas.xmlsoap.org/ws/2005/02/trust/Issue</t:RequestType>
<t:KeyType>http://schemas.xmlsoap.org/ws/2005/05/identity/NoProofKey</t:KeyType>
</t:RequestSecurityTokenResponse>
Következő lépések
- A jogkivonatok élettartam-szabályzatának a Microsoft Graph API használatával történő kezelésével kapcsolatos további információkért tekintse meg a Microsoft Entra szabályzaterőforrásának áttekintését.
- Adjon hozzá egyéni és opcionális jogcímeket az alkalmazás jogkivonataihoz.
- Egyszeri bejelentkezés (SSO) használata AZ SAML használatával.
- Az Azure Single Sign-Out SAML protokoll használata