Hoe het Microsoft-identiteitsplatform het SAML-protocol gebruikt

De Microsoft identity platform maakt gebruik van de SAML 2.0- en andere protocollen om toepassingen in staat te stellen eenmalige aanmelding (SSO) te bieden aan hun gebruikers. De SAML-profielen voor eenmalige aanmelding en eenmalige aanmelding van Azure Active Directory (Azure AD) leggen uit hoe SAML-asserties, -protocollen en -bindingen worden gebruikt in de id-providerservice.

Het SAML-protocol vereist dat de id-provider (Microsoft identity platform) en de serviceprovider (de toepassing) informatie over zichzelf uitwisselen.

Wanneer een toepassing is geregistreerd bij Azure AD, registreert de app-ontwikkelaar federatiegegevens bij Azure AD. Deze informatie omvat de omleidings-URI en metagegevens-URI van de toepassing.

De Microsoft identity platform maakt gebruik van de metagegevens-URI van de cloudservice om de ondertekeningssleutel en de afmeldings-URI op te halen. In de Azure Portal kunt u de app openen in Azure Active Directory -> App-registraties en vervolgens in Beheren -> Verificatie kunt u de afmeldings-URL bijwerken. Op deze manier kan de Microsoft identity platform het antwoord naar de juiste URL verzenden.

Azure AD biedt tenantspecifieke en algemene (tenant-onafhankelijke) SSO- en eindpunten voor eenmalige afmelding. Deze URL's vertegenwoordigen adresseerbare locaties, ze zijn niet alleen id's, zodat u naar het eindpunt kunt gaan om de metagegevens te lezen.

  • Het tenantspecifieke eindpunt bevindt zich op https://login.microsoftonline.com/<TenantDomainName>/FederationMetadata/2007-06/FederationMetadata.xml. De <tijdelijke aanduiding TenantDomainName> vertegenwoordigt een geregistreerde domeinnaam of TenantID-GUID van een Azure AD-tenant. De federatiemetagegevens van de contoso.com-tenant bevinden zich bijvoorbeeld op: https://login.microsoftonline.com/contoso.com/FederationMetadata/2007-06/FederationMetadata.xml

  • Het tenant-onafhankelijke eindpunt bevindt zich op https://login.microsoftonline.com/common/FederationMetadata/2007-06/FederationMetadata.xml. In dit eindpuntadres wordt algemeen weergegeven in plaats van een tenantdomeinnaam of -id.

Volgende stappen

Zie Federatiemetagegevens voor informatie over de documenten met federatieve metagegevens die door Azure AD worden gepubliceerd.