Protocolo SAML de início de sessão único

Este artigo aborda as solicitações de autenticação SAML 2.0 e respostas que o Microsoft Entra ID oferece suporte para logon único (SSO).

O diagrama de protocolo a seguir descreve a sequência de logon único. O serviço de nuvem (o provedor de serviços) usa uma ligação de redirecionamento HTTP para passar um AuthnRequest elemento (solicitação de autenticação) para o Microsoft Entra ID (o provedor de identidade). Em seguida, o Microsoft Entra ID usa uma ligação HTTP pós para postar um Response elemento no serviço de nuvem.

Nota

Este artigo discute o uso do SAML para logon único. Para obter mais informações sobre outras maneiras de lidar com o logon único (por exemplo, usando o OpenID Connect ou a autenticação integrada do Windows), consulte Logon único para aplicativos no Microsoft Entra ID.

AuthnRequest

Para solicitar uma autenticação de usuário, os serviços de nuvem enviam um AuthnRequest elemento para o Microsoft Entra ID. Um exemplo de SAML 2.0 AuthnRequest pode se parecer com o exemplo a seguir:

<samlp:AuthnRequest
  xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
  ID="id6c1c178c166d486687be4aaf5e482730"
  Version="2.0" IssueInstant="2013-03-18T03:28:54.1839884Z"
  xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">https://www.contoso.com</Issuer>
</samlp:AuthnRequest>

Parâmetro	Tipo	Descrição
ID	Obrigatório	O Microsoft Entra ID usa esse atributo para preencher o InResponseTo atributo da resposta retornada. ID não deve começar com um número, portanto, uma estratégia comum é anexar uma cadeia de caracteres como "ID" à representação de cadeia de caracteres de um GUID. Por exemplo, id6c1c178c166d486687be4aaf5e482730 é um ID válido.
Version	Necessário	Este parâmetro deve ser definido como 2.0.
IssueInstant	Necessário	Esta é uma cadeia de caracteres DateTime com um valor UTC e formato de ida e volta ("o"). O Microsoft Entra ID espera um valor DateTime desse tipo, mas não avalia nem usa o valor.
AssertionConsumerServiceURL	Opcional	Se fornecido, esse parâmetro deve corresponder ao RedirectUri do serviço de nuvem no Microsoft Entra ID.
ForceAuthn	Opcional	Este é um valor booleano. Se verdadeiro, significa que o usuário será forçado a se autenticar novamente, mesmo que tenha uma sessão válida com o Microsoft Entra ID.
IsPassive	Opcional	Este é um valor booleano que especifica se o Microsoft Entra ID deve autenticar o usuário silenciosamente, sem interação do usuário, usando o cookie de sessão, se existir. Se isso for verdade, o Microsoft Entra ID tenta autenticar o usuário usando o cookie de sessão.

Todos os outros AuthnRequest atributos, como Consent, Destination, AssertionConsumerServiceIndex, , AttributeConsumerServiceIndexe ProviderName são ignorados.

Microsoft Entra ID também ignora o Conditions elemento em AuthnRequest.

Emissor

O Issuer elemento em um AuthnRequest deve corresponder exatamente a um dos ServicePrincipalNames no serviço de nuvem no Microsoft Entra ID. Normalmente, isso é definido como o URI da ID do aplicativo especificado durante o registro do aplicativo.

Um trecho SAML contendo o Issuer elemento se parece com o seguinte exemplo:

<Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">https://www.contoso.com</Issuer>

NomeIDPolicy

Este elemento solicita um formato de ID de nome específico na resposta e é opcional nos AuthnRequest elementos enviados para o Microsoft Entra ID.

Um NameIdPolicy elemento se parece com o exemplo a seguir:

<NameIDPolicy Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"/>

Se NameIDPolicy for fornecido, você pode incluir seu atributo opcional Format . O Format atributo pode ter apenas um dos seguintes valores, qualquer outro valor resulta em um erro.

• urn:oasis:names:tc:SAML:2.0:nameid-format:persistent: O Microsoft Entra ID emite a NameID declaração como um identificador par.
• urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress: Microsoft Entra ID emite a NameID declaração no formato de endereço de email.
• urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified: Este valor permite que o Microsoft Entra ID selecione o formato da declaração. O Microsoft Entra ID emite a NameID declaração como um identificador par.
• urn:oasis:names:tc:SAML:2.0:nameid-format:transient: O Microsoft Entra ID emite a NameID declaração como um valor gerado aleatoriamente que é exclusivo para a operação SSO atual. Isso significa que o valor é temporário e não pode ser usado para identificar o usuário autenticador.

Se SPNameQualifier for especificado, o ID do Microsoft Entra inclui o mesmo SPNameQualifier na resposta.

O Microsoft Entra ID ignora o AllowCreate atributo.

RequestedAuthnContext

O RequestedAuthnContext elemento especifica os métodos de autenticação desejados. É opcional nos AuthnRequest elementos enviados para o Microsoft Entra ID. O Microsoft Entra ID suporta AuthnContextClassRef valores como urn:oasis:names:tc:SAML:2.0:ac:classes:Password.

Âmbito

O Scoping elemento , que inclui uma lista de provedores de identidade, é opcional nos AuthnRequest elementos enviados para o Microsoft Entra ID.

Se fornecido, não inclua o atributo ou RequesterID elementoProxyCount, IDPListOption pois eles não são suportados.

Assinatura

Um Signature elemento em AuthnRequest elementos é opcional. O Microsoft Entra ID pode ser configurado para impor o requisito de pedidos de autenticação assinados. Se habilitada, somente solicitações de autenticação assinadas serão aceitas, caso contrário, a verificação do solicitante será fornecida respondendo apenas a URLs de Serviço ao Consumidor de Asserção registradas.

Assunto

Não inclua um Subject elemento. O Microsoft Entra ID não suporta a especificação de um assunto e AuthnRequest retornará um erro se for fornecido.

Em vez disso, um assunto pode ser fornecido adicionando um login_hint parâmetro à solicitação HTTP à URL de logon único, com NameID do assunto como o valor do parâmetro.

Response

Quando um logon solicitado é concluído com êxito, o ID do Microsoft Entra publica uma resposta ao serviço de nuvem. Uma resposta a uma tentativa de logon bem-sucedida se parece com o exemplo a seguir:

<samlp:Response ID="_a4958bfd-e107-4e67-b06d-0d85ade2e76a" Version="2.0" IssueInstant="2013-03-18T07:38:15.144Z" Destination="https://contoso.com/identity/inboundsso.aspx" InResponseTo="id758d0ef385634593a77bdf7e632984b6" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion"> https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/</Issuer>
  <ds:Signature xmlns:ds="https://www.w3.org/2000/09/xmldsig#">
    ...
  </ds:Signature>
  <samlp:Status>
    <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" />
  </samlp:Status>
  <Assertion ID="_bf9c623d-cc20-407a-9a59-c2d0aee84d12" IssueInstant="2013-03-18T07:38:15.144Z" Version="2.0" xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <Issuer>https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/</Issuer>
    <ds:Signature xmlns:ds="https://www.w3.org/2000/09/xmldsig#">
      ...
    </ds:Signature>
    <Subject>
      <NameID>Uz2Pqz1X7pxe4XLWxV9KJQ+n59d573SepSAkuYKSde8=</NameID>
      <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
        <SubjectConfirmationData InResponseTo="id758d0ef385634593a77bdf7e632984b6" NotOnOrAfter="2013-03-18T07:43:15.144Z" Recipient="https://contoso.com/identity/inboundsso.aspx" />
      </SubjectConfirmation>
    </Subject>
    <Conditions NotBefore="2013-03-18T07:38:15.128Z" NotOnOrAfter="2013-03-18T08:48:15.128Z">
      <AudienceRestriction>
        <Audience>https://www.contoso.com</Audience>
      </AudienceRestriction>
    </Conditions>
    <AttributeStatement>
      <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name">
        <AttributeValue>testuser@contoso.com</AttributeValue>
      </Attribute>
      <Attribute Name="http://schemas.microsoft.com/identity/claims/objectidentifier">
        <AttributeValue>3F2504E0-4F89-11D3-9A0C-0305E82C3301</AttributeValue>
      </Attribute>
      ...
    </AttributeStatement>
    <AuthnStatement AuthnInstant="2013-03-18T07:33:56.000Z" SessionIndex="_bf9c623d-cc20-407a-9a59-c2d0aee84d12">
      <AuthnContext>
        <AuthnContextClassRef> urn:oasis:names:tc:SAML:2.0:ac:classes:Password</AuthnContextClassRef>
      </AuthnContext>
    </AuthnStatement>
  </Assertion>
</samlp:Response>

Response

O Response elemento inclui o resultado da solicitação de autorização. Microsoft Entra ID define o ID, Version e IssueInstant valores no Response elemento . Ele também define os seguintes atributos:

• Destination: Quando o logon é concluído com êxito, ele é definido como o RedirectUri do provedor de serviços (serviço de nuvem).
• InResponseTo: Isso é definido como o ID atributo do elemento que iniciou a AuthnRequest resposta.

Emissor

Microsoft Entra ID define o Issuer elemento para https://sts.windows.net/<TenantIDGUID>/ onde <TenantIDGUID> é a ID do locatário do Microsoft Entra.

Por exemplo, uma resposta com o elemento Emissor pode ser semelhante ao seguinte exemplo:

<Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion"> https://sts.windows.net/aaaabbbb-0000-cccc-1111-dddd2222eeee/</Issuer>

Status

O Status elemento transmite o sucesso ou fracasso do sign-on. Ele inclui o StatusCode elemento , que contém um código ou um conjunto de códigos aninhados que representa o status da solicitação. Ele também inclui o StatusMessage elemento , que contém mensagens de erro personalizadas que são geradas durante o processo de logon.

O exemplo a seguir é uma resposta SAML a uma tentativa de logon malsucedida.

<samlp:Response ID="_f0961a83-d071-4be5-a18c-9ae7b22987a4" Version="2.0" IssueInstant="2013-03-18T08:49:24.405Z" InResponseTo="iddce91f96e56747b5ace6d2e2aa9d4f8c" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
  <Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">https://sts.windows.net/aaaabbbb-0000-cccc-1111-dddd2222eeee/</Issuer>
  <samlp:Status>
    <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Requester">
      <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:RequestUnsupported" />
    </samlp:StatusCode>
    <samlp:StatusMessage>AADSTS75006: An error occurred while processing a SAML2 Authentication request. AADSTS90011: The SAML authentication request property 'NameIdentifierPolicy/SPNameQualifier' is not supported.
    Trace ID: 0000aaaa-11bb-cccc-dd33-eeeeee333333
    Timestamp: 2013-03-18 08:49:24Z</samlp:StatusMessage>
    </samlp:Status>
</samlp:Response>

Asserção

Além do , IssueInstant e Version, o IDMicrosoft Entra ID define os seguintes elementos no Assertion elemento da resposta.

Emissor

Isso é definido como https://sts.windows.net/<TenantIDGUID>/onde <TenantIDGUID> é a ID do Locatário do locatário do Microsoft Entra.

<Issuer>https://sts.windows.net/aaaabbbb-0000-cccc-1111-dddd2222eeee/</Issuer>

Assinatura

A ID do Microsoft Entra assina a asserção em resposta a uma entrada bem-sucedida. O Signature elemento contém uma assinatura digital que o serviço de nuvem pode usar para autenticar a origem para verificar a integridade da afirmação.

Para gerar essa assinatura digital, o Microsoft Entra ID usa a chave de assinatura no IDPSSODescriptor elemento de seu documento de metadados.

<ds:Signature xmlns:ds="https://www.w3.org/2000/09/xmldsig#">
  digital_signature_here
</ds:Signature>

Assunto

Isto especifica o princípio que é o objeto das declarações na asserção. Ele contém um NameID elemento , que representa o usuário autenticado. O NameID valor é um identificador de destino direcionado apenas para o provedor de serviços que é o público do token. É persistente - pode ser revogado, mas nunca é reatribuído. Também é opaco, na medida em que não revela nada sobre o usuário e não pode ser usado como um identificador para consultas de atributos.

O Method atributo do SubjectConfirmation elemento é sempre definido como urn:oasis:names:tc:SAML:2.0:cm:bearer.

<Subject>
  <NameID>Uz2Pqz1X7pxe4XLWxV9KJQ+n59d573SepSAkuYKSde8=</NameID>
  <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
    <SubjectConfirmationData InResponseTo="id758d0ef385634593a77bdf7e632984b6" NotOnOrAfter="2013-03-18T07:43:15.144Z" Recipient="https://contoso.com/identity/inboundsso.aspx" />
  </SubjectConfirmation>
</Subject>

Condições

Este elemento especifica as condições que definem o uso aceitável de asserções SAML.

<Conditions NotBefore="2013-03-18T07:38:15.128Z" NotOnOrAfter="2013-03-18T08:48:15.128Z">
  <AudienceRestriction>
    <Audience>https://www.contoso.com</Audience>
  </AudienceRestriction>
</Conditions>

Os NotBefore atributos e NotOnOrAfter especificam o intervalo durante o qual a asserção é válida.

• O valor do NotBefore atributo é igual ou ligeiramente (menos de um segundo) posterior ao valor do IssueInstant atributo do Assertion elemento. O Microsoft Entra ID não contabiliza nenhuma diferença de tempo entre ele e o serviço de nuvem (provedor de serviços) e não adiciona nenhum buffer a esse tempo.
• O valor do NotOnOrAfter atributo é 70 minutos mais tarde do que o valor do NotBefore atributo.

Audiência

Isso contém um URI que identifica um público-alvo. O Microsoft Entra ID define o valor desse elemento como o valor do Issuer elemento do AuthnRequest que iniciou o logon. Para avaliar o Audience valor, use o valor do que foi especificado durante o registro do App ID URI aplicativo.

<AudienceRestriction>
  <Audience>https://www.contoso.com</Audience>
</AudienceRestriction>

Como o Issuer valor, o Audience valor deve corresponder exatamente a um dos nomes de entidade de serviço que representa o serviço de nuvem no Microsoft Entra ID. No entanto, se o Issuer valor do elemento não for um valor de URI, o Audience valor na resposta será o Issuer valor prefixado com spn:.

AttributeStatement

Isso contém reivindicações sobre o assunto ou usuário. O trecho a seguir contém um elemento de exemplo AttributeStatement . As reticências indicam que o elemento pode incluir vários atributos e valores de atributo.

<AttributeStatement>
  <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name">
    <AttributeValue>testuser@contoso.com</AttributeValue>
  </Attribute>
  <Attribute Name="http://schemas.microsoft.com/identity/claims/objectidentifier">
    <AttributeValue>3F2504E0-4F89-11D3-9A0C-0305E82C3301</AttributeValue>
  </Attribute>
  ...
</AttributeStatement>

• Reivindicação de nome - O valor do Name atributo (http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name) é o nome principal do usuário autenticado, como testuser@managedtenant.com.
• Declaração ObjectIdentifier - O valor do ObjectIdentifier atributo (http://schemas.microsoft.com/identity/claims/objectidentifier) é o ObjectId do objeto de diretório que representa o usuário autenticado no ID do Microsoft Entra. ObjectId é um identificador seguro imutável, globalmente exclusivo e de reutilização do usuário autenticado.

Declaração AuthnStatement

Este elemento afirma que o sujeito da asserção foi autenticado por um determinado meio em um determinado momento.

• O AuthnInstant atributo especifica o momento em que o usuário se autenticou com o ID do Microsoft Entra.
• O AuthnContext elemento especifica o contexto de autenticação usado para autenticar o usuário.

<AuthnStatement AuthnInstant="2013-03-18T07:33:56.000Z" SessionIndex="_bf9c623d-cc20-407a-9a59-c2d0aee84d12">
  <AuthnContext>
    <AuthnContextClassRef> urn:oasis:names:tc:SAML:2.0:ac:classes:Password</AuthnContextClassRef>
  </AuthnContext>
</AuthnStatement>