Как платформа удостоверений Майкрософт использует протокол SAML

  • Статья

Платформа идентификаторов Майкрософт использует протокол SAML 2.0 и другие протоколы, чтобы приложения могли предоставлять пользователям единый вход (Single Sign-On, или SSO). Профили единого входа и единого входа SAML в идентификаторе Microsoft Entra ID объясняют, как утверждения SAML, протоколы и привязки используются в службе поставщика удостоверений.

Протокол SAML подразумевает, что поставщик удостоверений (платформа идентификаторов Майкрософт) и поставщик услуг (приложение) обмениваются информацией друг о друге.

При регистрации приложения с идентификатором Microsoft Entra разработчик регистрирует сведения, связанные с федерацией, с помощью идентификатора Microsoft Entra. К ним относятся URI перенаправления и URI метаданных для приложения.

Платформа удостоверений Майкрософт использует URI метаданных облачной службы, чтобы получить ключ подписывания и URI выхода. Таким образом платформа удостоверений Майкрософт может отправить ответ на правильный URL-адрес. В Центре администрирования Microsoft Entra;

  • Откройте приложение в идентификаторе Microsoft Entra и выберите Регистрация приложений
  • В разделе Управление выберите Проверка подлинности. Оттуда можно обновить URL-адрес выхода.

Идентификатор Microsoft Entra предоставляет общие и общие (независимые от клиента) единый вход и конечные точки единого входа. Эти URL-адреса представляют адресные расположения и не только идентификаторы. Затем вы можете перейти к конечной точке, чтобы прочитать метаданные.

  • Конечная точка конкретного клиента находится по адресу https://login.microsoftonline.com/<TenantDomainName>/FederationMetadata/2007-06/FederationMetadata.xml. Заполнитель <TenantDomainName> представляет зарегистрированное доменное имя или GUID TenantID клиента Microsoft Entra. Например, метаданные contoso.com федерации клиента: https://login.microsoftonline.com/contoso.com/FederationMetadata/2007-06/FederationMetadata.xml

  • Независимая от клиента конечная точка расположена по адресу https://login.microsoftonline.com/common/FederationMetadata/2007-06/FederationMetadata.xml. В этом адресе конечной точки вместо доменного имени или идентификатора клиента содержится ключевое слово common.

Следующие шаги

Сведения о документах метаданных федерации, публикуемых идентификаторами Microsoft Entra, см. в разделе метаданных федерации.