In che modo Microsoft Identity Platform usa il protocollo SAML

  • Articolo

Microsoft Identity Platform usa SAML 2.0 e altri protocolli per consentire alle applicazioni di offrire agli utenti un'esperienza Single Sign-On (SSO). I profili SAML SSO e Single Sign-Out di Microsoft Entra ID spiegano come vengono usate asserzioni, protocolli e associazioni SAML nel servizio provider di identità.

Il protocollo SAML richiede il provider di identità (Microsoft Identity Platform) e il provider di servizi (l'applicazione) per scambiare informazioni su se stessi.

Quando un'applicazione viene registrata con l'ID Microsoft Entra, lo sviluppatore dell'app registra le informazioni correlate alla federazione con l'ID Microsoft Entra. Tali informazioni includono l'URI di reindirizzamento e l'URI dei metadati dell'applicazione.

Microsoft Identity Platform usa l'URI metadati del servizio cloud per recuperare la chiave di firma e l'URI di disconnessione. In questo modo Microsoft Identity Platform può inviare la risposta all'URL corretto. Nell'interfaccia di amministrazione di Microsoft Entra;

  • Aprire l'app in Microsoft Entra ID e selezionare Registrazioni app
  • In Gestisci selezionare Autenticazione. Da qui è possibile aggiornare l'URL di disconnessione.

Microsoft Entra ID espone endpoint SSO e comuni (indipendenti dal tenant) e single sign-out specifici del tenant. Questi URL rappresentano percorsi indirizzabili e non sono solo identificatori. È quindi possibile passare all'endpoint per leggere i metadati.

  • L'endpoint specifico del tenant si trova all'indirizzo https://login.microsoftonline.com/<TenantDomainName>/FederationMetadata/2007-06/FederationMetadata.xml. Il <segnaposto TenantDomainName> rappresenta un nome di dominio registrato o un GUID TenantID di un tenant di Microsoft Entra. Ad esempio, i metadati di federazione del contoso.com tenant si trova in: https://login.microsoftonline.com/contoso.com/FederationMetadata/2007-06/FederationMetadata.xml

  • L'endpoint indipendente dal tenant si trova all'indirizzo https://login.microsoftonline.com/common/FederationMetadata/2007-06/FederationMetadata.xml. Questo indirizzo dell'endpoint contiene common anziché l'ID o il nome di un domino tenant.

Passaggi successivi

Per informazioni sui documenti di metadati della federazione pubblicati da Microsoft Entra ID, vedere Metadati della federazione.