Verwijzing naar SAML-tokenclaims
Het Microsoft Identity Platform verzendt verschillende typen beveiligingstokens in de verwerking van elke verificatiestroom. In dit document worden de indeling, beveiligingskenmerken en inhoud van SAML 2.0-tokens beschreven.
Claims in SAML-tokens
| Naam | Equivalente JWT-claim | Beschrijving | Voorbeeld |
|---|---|---|---|
| Doelgroep | aud |
De beoogde ontvanger van het token. De toepassing die het token ontvangt, moet controleren of de doelgroepwaarde juist is en tokens weigeren die zijn bedoeld voor een andere doelgroep. | <AudienceRestriction><Audience>https://contoso.com</Audience></AudienceRestriction> |
| Verificatiemoment | Registreert de datum en tijd waarop de verificatie heeft plaatsgevonden. | <AuthnStatement AuthnInstant="2011-12-29T05:35:22.000Z"> |
|
| Authenticatiemethode | amr |
Hiermee wordt aangegeven hoe het onderwerp van het token is geverifieerd. | <AuthnContextClassRef>http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod/password</AuthnContextClassRef> |
| Voornaam | given_name |
Geeft de eerste of 'opgegeven' naam van de gebruiker op, zoals ingesteld op het Microsoft Entra-gebruikersobject. | <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname"><AttributeValue>Frank<AttributeValue> |
| Groepen | groups |
Biedt object-id's die de groepslidmaatschappen van het onderwerp vertegenwoordigen. Deze waarden zijn uniek (zie object-id) en kunnen veilig worden gebruikt voor het beheren van toegang, zoals het afdwingen van autorisatie voor toegang tot een resource. De groepen die zijn opgenomen in de groepsclaim, worden per toepassing geconfigureerd via de eigenschap groupMembershipClaims van het toepassingsmanifest. Een waarde van null sluit alle groepen uit, een waarde van 'SecurityGroup' bevat directoryrollen en Active Directory-beveiligingsgroepslidmaatschappen, en een waarde van 'Alle' bevat zowel beveiligingsgroepen als Microsoft 365-distributielijsten. Opmerkingen: Als het aantal groepen waarin de gebruiker zich bevindt een limiet overschrijdt (150 voor SAML, 200 voor JWT), wordt er een overschrijdingsclaim toegevoegd aan de claimbronnen die verwijzen naar het Graph-eindpunt met de lijst met groepen voor de gebruiker. |
<Attribute Name="http://schemas.microsoft.com/ws/2008/06/identity/claims/groups"><AttributeValue>07dd8a60-bf6d-4e17-8844-230b77145381</AttributeValue> |
| Indicator voor groepsoverschrijding | groups:src1 |
Voor tokenaanvragen die niet lengte-beperkt zijn, maar nog steeds te groot zijn voor het token, wordt een koppeling naar de lijst met volledige groepen voor de gebruiker opgenomen. Voor SAML wordt dit toegevoegd als een nieuwe claim in plaats van de groups claim. Opmerkingen: De Azure AD Graph API wordt vervangen door de Microsoft Graph API. Zie de gebruiker: getMemberObjects voor meer informatie over het equivalente eindpunt. |
<Attribute Name=" http://schemas.microsoft.com/claims/groups.link"><AttributeValue>https://graph.windows.net/{tenantID}/users/{userID}/getMemberObjects<AttributeValue> |
| Identiteitsprovider | idp |
Registreert de identiteitsprovider waarmee het onderwerp van het token is geverifieerd. Deze waarde is identiek aan de waarde van de verlenerclaim, tenzij het gebruikersaccount zich in een andere tenant bevindt dan de verlener. | <Attribute Name=" http://schemas.microsoft.com/identity/claims/identityprovider"><AttributeValue>https://sts.windows.net/aaaabbbb-0000-cccc-1111-dddd2222eeee/<AttributeValue> |
| IssuedAt | iat |
Slaat het tijdstip op waarop het token is uitgegeven. Het wordt vaak gebruikt om de versheid van tokens te meten. | <Assertion ID="_d5ec7a9b-8d8f-4b44-8c94-9812612142be" IssueInstant="2014-01-06T20:20:23.085Z" Version="2.0" xmlns="urn:oasis:names:tc:SAML:2.0:assertion"> |
| Verlener | iss |
Identificeert de beveiligingstokenservice (STS) die het token bouwt en retourneert. In de tokens die microsoft Entra-id retourneert, wordt de verlener sts.windows.net. De GUID in de claimwaarde Issuer is de tenant-id van de Microsoft Entra-map. De tenant-id is een onveranderbare en betrouwbare id van de map. | <Issuer>https://sts.windows.net/aaaabbbb-0000-cccc-1111-dddd2222eeee/</Issuer> |
| Achternaam | family_name |
Hiermee geeft u de achternaam, achternaam of familienaam van de gebruiker op zoals gedefinieerd in het Microsoft Entra-gebruikersobject. | <Attribute Name=" http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"><AttributeValue>Miller<AttributeValue> |
| Naam | unique_name |
Biedt een voor mensen leesbare waarde waarmee het onderwerp van het token wordt geïdentificeerd. Deze waarde is niet gegarandeerd uniek binnen een tenant en is ontworpen om alleen voor weergavedoeleinden te worden gebruikt. | <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"><AttributeValue>frankm@contoso.com<AttributeValue> |
| Object-id | oid |
Bevat een unieke id van een object in Microsoft Entra-id. Deze waarde is onveranderbaar en kan niet opnieuw worden toegewezen of opnieuw worden gebruikt. Gebruik de object-id om een object in query's te identificeren bij Microsoft Entra-id. | <Attribute Name="http://schemas.microsoft.com/identity/claims/objectidentifier"><AttributeValue>528b2ac2-aa9c-45e1-88d4-959b53bc7dd0<AttributeValue> |
| Rollen | roles |
Vertegenwoordigt alle toepassingsrollen waaraan het onderwerp rechtstreeks en indirect is verleend via groepslidmaatschap en kan worden gebruikt om op rollen gebaseerd toegangsbeheer af te dwingen. Toepassingsrollen worden per toepassing gedefinieerd via de appRoles eigenschap van het toepassingsmanifest. De value eigenschap van elke toepassingsrol is de waarde die wordt weergegeven in de rolclaim. |
<Attribute Name="http://schemas.microsoft.com/ws/2008/06/identity/claims/role"> |
| Onderwerp | sub |
Identificeert de principal waarover het token informatie bevestigt, zoals de gebruiker van een toepassing. Deze waarde is onveranderbaar en kan niet opnieuw worden toegewezen of opnieuw worden gebruikt, zodat deze kan worden gebruikt om autorisatiecontroles veilig uit te voeren. Omdat het onderwerp altijd aanwezig is in de tokens, raden we aan deze waarde te gebruiken in een autorisatiesysteem voor algemeen gebruik. SubjectConfirmation is geen claim. Hierin wordt beschreven hoe het onderwerp van het token wordt geverifieerd. Bearer geeft aan dat het onderwerp wordt bevestigd door hun bezit van het token. |
<Subject><NameID>S40rgb3XjhFTv6EQTETkEzcgVmToHKRkZUIsJlmLdVc</NameID><SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer" /></Subject> |
| Tenant-id | tid |
Een onveranderbare, niet-herbruikbare id die de maptenant identificeert die het token heeft uitgegeven. U kunt deze waarde gebruiken voor toegang tot tenantspecifieke mapbronnen in een toepassing met meerdere tenants. U kunt deze waarde bijvoorbeeld gebruiken om de tenant te identificeren in een aanroep naar de Graph API. | <Attribute Name="http://schemas.microsoft.com/identity/claims/tenantid"><AttributeValue>aaaabbbb-0000-cccc-1111-dddd2222eeee<AttributeValue> |
| Levensduur van token | nbf, exp |
Definieert gedurende welke periode een token geldig is. De service die het token valideert, moet controleren of de huidige datum binnen de levensduur van het token valt, anders moet het token worden geweigerd. De service kan maximaal vijf minuten na het levensduurbereik van het token toestaan om rekening te houden met eventuele verschillen in kloktijd ('tijdverschil') tussen Microsoft Entra ID en de service. | <ConditionsNotBefore="2013-03-18T21:32:51.261Z"NotOnOrAfter="2013-03-18T22:32:51.261Z"> |
SamL-voorbeeldtoken
Dit is een voorbeeld van een typisch SAML-token.
<?xml version="1.0" encoding="UTF-8"?>
<t:RequestSecurityTokenResponse xmlns:t="http://schemas.xmlsoap.org/ws/2005/02/trust">
<t:Lifetime>
<wsu:Created xmlns:wsu="https://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">2014-12-24T05:15:47.060Z</wsu:Created>
<wsu:Expires xmlns:wsu="https://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">2014-12-24T06:15:47.060Z</wsu:Expires>
</t:Lifetime>
<wsp:AppliesTo xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy">
<EndpointReference xmlns="https://www.w3.org/2005/08/addressing">
<Address>https://contoso.onmicrosoft.com/MyWebApp</Address>
</EndpointReference>
</wsp:AppliesTo>
<t:RequestedSecurityToken>
<Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion" ID="_3ef08993-846b-41de-99df-b7f3ff77671b" IssueInstant="2014-12-24T05:20:47.060Z" Version="2.0">
<Issuer>https://sts.windows.net/aaaabbbb-0000-cccc-1111-dddd2222eeee/</Issuer>
<ds:Signature xmlns:ds="https://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#" />
<ds:SignatureMethod Algorithm="https://www.w3.org/2001/04/xmldsig-more#rsa-sha256" />
<ds:Reference URI="#_3ef08993-846b-41de-99df-b7f3ff77671b">
<ds:Transforms>
<ds:Transform Algorithm="https://www.w3.org/2000/09/xmldsig#enveloped-signature" />
<ds:Transform Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#" />
</ds:Transforms>
<ds:DigestMethod Algorithm="https://www.w3.org/2001/04/xmlenc#sha256" />
<ds:DigestValue>cV1J580U1pD24hEyGuAxrbtgROVyghCqI32UkER/nDY=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>j+zPf6mti8Rq4Kyw2NU2nnu0pb{lots of characters}ut93UTyTAIGOs5fvP9ZfK2vNeMVJW7Xg==</ds:SignatureValue>
<KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
<X509Data>
<X509Certificate>MIIDPjCCAabcAwIBAgIQsRiM0jheFZhKk49YD0SK1TAJBgUrDg{lots of characters}OBcXWLAIarZ</X509Certificate>
</X509Data>
</KeyInfo>
</ds:Signature>
<Subject>
<NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">m_H3naDei2LNxUmEcWd0BZlNi_jVET1pMLR6iQSuYmo</NameID>
<SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer" />
</Subject>
<Conditions NotBefore="2014-12-24T05:15:47.060Z" NotOnOrAfter="2014-12-24T06:15:47.060Z">
<AudienceRestriction>
<Audience>https://contoso.onmicrosoft.com/MyWebApp</Audience>
</AudienceRestriction>
</Conditions>
<AttributeStatement>
<Attribute Name="http://schemas.microsoft.com/identity/claims/objectidentifier">
<AttributeValue>aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.microsoft.com/identity/claims/tenantid">
<AttributeValue>aaaabbbb-0000-cccc-1111-dddd2222eeee</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name">
<AttributeValue>sample.admin@contoso.onmicrosoft.com</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<AttributeValue>Admin</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
<AttributeValue>Sample</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.microsoft.com/ws/2008/06/identity/claims/groups">
<AttributeValue>5581e43f-6096-41d4-8ffa-04e560bab39d</AttributeValue>
<AttributeValue>07dd8a89-bf6d-4e81-8844-230b77145381</AttributeValue>
<AttributeValue>0e129f4g-6b0a-4944-982d-f776000632af</AttributeValue>
<AttributeValue>3ee07328-52ef-4739-a89b-109708c22fb5</AttributeValue>
<AttributeValue>329k14b3-1851-4b94-947f-9a4dacb595f4</AttributeValue>
<AttributeValue>6e32c650-9b0a-4491-b429-6c60d2ca9a42</AttributeValue>
<AttributeValue>f3a169a7-9a58-4e8f-9d47-b70029v07424</AttributeValue>
<AttributeValue>8e2c86b2-b1ad-476d-9574-544d155aa6ff</AttributeValue>
<AttributeValue>1bf80264-ff24-4866-b22c-6212e5b9a847</AttributeValue>
<AttributeValue>4075f9c3-072d-4c32-b542-03e6bc678f3e</AttributeValue>
<AttributeValue>76f80527-f2cd-46f4-8c52-8jvd8bc749b1</AttributeValue>
<AttributeValue>0ba31460-44d0-42b5-b90c-47b3fcc48e35</AttributeValue>
<AttributeValue>edd41703-8652-4948-94a7-2d917bba7667</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.microsoft.com/identity/claims/identityprovider">
<AttributeValue>https://sts.windows.net/aaaabbbb-0000-cccc-1111-dddd2222eeee/</AttributeValue>
</Attribute>
</AttributeStatement>
<AuthnStatement AuthnInstant="2014-12-23T18:51:11.000Z">
<AuthnContext>
<AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:Password</AuthnContextClassRef>
</AuthnContext>
</AuthnStatement>
</Assertion>
</t:RequestedSecurityToken>
<t:RequestedAttachedReference>
<SecurityTokenReference xmlns="https://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:d3p1="https://docs.oasis-open.org/wss/oasis-wss-wssecurity-secext-1.1.xsd" d3p1:TokenType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0">
<KeyIdentifier ValueType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLID">_3ef08993-846b-41de-99df-b7f3ff77671b</KeyIdentifier>
</SecurityTokenReference>
</t:RequestedAttachedReference>
<t:RequestedUnattachedReference>
<SecurityTokenReference xmlns="https://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:d3p1="https://docs.oasis-open.org/wss/oasis-wss-wssecurity-secext-1.1.xsd" d3p1:TokenType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0">
<KeyIdentifier ValueType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLID">_3ef08993-846b-41de-99df-b7f3ff77671b</KeyIdentifier>
</SecurityTokenReference>
</t:RequestedUnattachedReference>
<t:TokenType>http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0</t:TokenType>
<t:RequestType>http://schemas.xmlsoap.org/ws/2005/02/trust/Issue</t:RequestType>
<t:KeyType>http://schemas.xmlsoap.org/ws/2005/05/identity/NoProofKey</t:KeyType>
</t:RequestSecurityTokenResponse>
Volgende stappen
- Zie het overzicht van de Microsoft Entra-beleidsresource voor meer informatie over het beheren van levensduurbeleid voor tokens met behulp van de Microsoft Graph API.
- Voeg aangepaste en optionele claims toe aan de tokens voor uw toepassing.
- Gebruik eenmalige aanmelding (SSO) met SAML.
- Het SAML-protocol voor eenmalige aanmelding van Azure gebruiken