Microsoft ID プラットフォームでの SAML プロトコルの使用方法

Microsoft ID プラットフォームでは、SAML 2.0 プロトコルおよびその他のプロトコルを使用して、アプリケーションでユーザーにシングル サインオン (SSO) エクスペリエンスを提供できるようにしています。 Microsoft Entra ID のSSOシングル サインアウト SAML プロファイルには、ID プロバイダー サービスでの SAML アサーション、プロトコルおよびバインドの使用方法について説明されています。

SAML プロトコルで、ID プロバイダー (Microsoft ID プラットフォーム) とサービス プロバイダー (アプリケーション) に関する情報を交換する必要があります。

アプリケーションが Microsoft Entra ID に登録されると、アプリ開発者は Microsoft Entra ID にフェデレーションに関する情報を登録します。 この情報には、アプリケーションのリダイレクト URIメタデータ URI が含まれます。

Microsoft ID プラットフォームでは、クラウド サービスのメタデータ URI を使用して、署名キーとログアウト URI が取得されます。 このようにして、Microsoft ID プラットフォームから正しい URL に応答が送信されます。 Microsoft Entra 管理センターで次の手順を実行します。

  • Microsoft Entra ID でアプリを開き、[アプリの登録] を選択します
  • [管理] で、 [認証] を選択します。 そこからログアウト URL を更新できます。

Microsoft Entra ID は、テナント固有および共通 (テナントに依存しない) SSO およびシングル サインアウト エンドポイントを公開します。 これらの URL はアドレス指定可能な場所を表し、識別子だけではありません。 その後、エンドポイントに移動してメタデータを読み取ることができます。

  • テナント固有のエンドポイントは、https://login.microsoftonline.com/<TenantDomainName>/FederationMetadata/2007-06/FederationMetadata.xml にあります。 <TenantDomainName> プレースホルダーは、Microsoft Entra テナントの登録済みドメイン名または TenantID GUID を表します。 たとえば、contoso.com テナントのフェデレーション メタデータは次の場所に置かれます: https://login.microsoftonline.com/contoso.com/FederationMetadata/2007-06/FederationMetadata.xml

  • テナント独立のエンドポイントは、https://login.microsoftonline.com/common/FederationMetadata/2007-06/FederationMetadata.xml にあります。 このエンドポイント アドレスの common は、テナントのドメイン名または ID の代わりに表示されます。

次のステップ

Microsoft Entra ID で発行されるフェデレーション メタデータ ドキュメントについては、「フェデレーション メタデータ」を参照してください。