Federasyon meta verileri

  • Makale

Uyarı

Bu içerik eski Azure AD v1.0 uç noktasına yöneliktir. Yeni projeler için Microsoft kimlik platformu kullanın.

Azure Active Directory (Azure AD), sorunları Azure AD güvenlik belirteçlerini kabul etmek üzere yapılandırılmış hizmetler için bir federasyon meta verisi belgesi yayımlar. Federasyon meta verileri belge biçimi, OASIS Güvenlik Onaylama İşaretleme Dili (SAML) v2.0 için Meta Verileri genişleten Web Hizmetleri Federasyon Dili (WS-Federasyon) Sürüm 1.2'de açıklanmıştır.

Kiracıya özgü ve Kiracıdan bağımsız meta veri uç noktaları

Azure AD kiracıya özgü ve kiracıdan bağımsız uç noktalar yayımlar.

Kiracıya özgü uç noktalar belirli bir kiracı için tasarlanmıştır. Kiracıya özgü federasyon meta verileri, kiracıya özgü veren ve uç nokta bilgileri de dahil olmak üzere kiracı hakkındaki bilgileri içerir. Tek bir kiracıya erişimi kısıtlayan uygulamalar kiracıya özgü uç noktaları kullanır.

Kiracıdan bağımsız uç noktalar, tüm Azure AD kiracılar için ortak olan bilgiler sağlar. Bu bilgiler login.microsoftonline.com'da barındırılan kiracılar için geçerlidir ve kiracılar arasında paylaşılır. Kiracıdan bağımsız uç noktalar, belirli bir kiracıyla ilişkilendirilmediğinden, çok kiracılı uygulamalar için önerilir.

Federasyon meta veri uç noktaları

Azure AD adresinde https://login.microsoftonline.com/<TenantDomainName>/FederationMetadata/2007-06/FederationMetadata.xmlfederasyon meta verilerini yayımlar.

Kiracıya özgü uç noktalar için, TenantDomainName aşağıdaki türlerden biri olabilir:

  • Azure AD kiracısının kayıtlı etki alanı adı, örneğin: contoso.onmicrosoft.com.
  • Etki alanının sabit kiracı kimliği, örneğin 72f988bf-86f1-41af-91ab-2d7cd011db45.

Kiracıdan bağımsız uç noktalarTenantDomainName için , şeklindedircommon. Bu belgede yalnızca login.microsoftonline.com'de barındırılan tüm Azure AD kiracılar için ortak olan Federasyon Meta Verileri öğeleri listelenir.

Örneğin, kiracıya özgü uç nokta olabilir https://login.microsoftonline.com/contoso.onmicrosoft.com/FederationMetadata/2007-06/FederationMetadata.xml. Kiracıdan bağımsız uç nokta şeklindedir https://login.microsoftonline.com/common/FederationMetadata/2007-06/FederationMetadata.xml. Bu URL'yi bir tarayıcıda yazarak federasyon meta verileri belgesini görüntüleyebilirsiniz.

Federasyon Meta Verilerinin İçeriği

Aşağıdaki bölümde, Azure AD tarafından verilen belirteçleri kullanan hizmetlerin ihtiyaç duyduğu bilgiler sağlanır.

Varlık Kimliği

EntityDescriptor öğesi bir EntityID öznitelik içerir. özniteliğinin EntityID değeri vereni, yani belirteci veren güvenlik belirteci hizmetini (STS) temsil eder. Belirteç aldığınızda vereni doğrulamak önemlidir.

Aşağıdaki meta veriler, bir öğe ile kiracıya özgü EntityDescriptor örnek bir EntityID öğeyi gösterir.

<EntityDescriptor
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
ID="_b827a749-cfcb-46b3-ab8b-9f6d14a1294b"
entityID="https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db45/">

Kiracıya özgü EntityID bir değer oluşturmak için kiracıdan bağımsız uç noktadaki kiracı kimliğini kiracı kimliğinizle değiştirebilirsiniz. Sonuçta elde edilen değer, belirteç verenle aynı olacaktır. Strateji, çok kiracılı bir uygulamanın belirli bir kiracı için vereni doğrulamasını sağlar.

Aşağıdaki meta veriler kiracıdan bağımsız EntityID örnek bir öğeyi gösterir. öğesinin yer tutucu değil değişmez değer olduğunu {tenant} lütfen unutmayın.

<EntityDescriptor
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
ID="="_0e5bd9d0-49ef-4258-bc15-21ce143b61bd"
entityID="https://sts.windows.net/{tenant}/">

Belirteç imzalama sertifikaları

Bir hizmet Azure AD kiracı tarafından verilen bir belirteç aldığında, belirtecin imzası federasyon meta verileri belgesinde yayımlanan bir imzalama anahtarıyla doğrulanmalıdır. Federasyon meta verileri, kiracıların belirteç imzalama için kullandığı sertifikaların genel bölümünü içerir. Sertifika ham baytları öğesinde KeyDescriptor görünür. Belirteç imzalama sertifikası yalnızca özniteliğinin use değeri olduğunda signingimzalama için geçerlidir.

Azure AD tarafından yayımlanan federasyon meta verileri belgesinde, Azure AD imzalama sertifikasını güncelleştirmeye hazırlanırken olduğu gibi birden çok imzalama anahtarı olabilir. Federasyon meta verileri belgesinde birden fazla sertifika varsa, belirteçleri doğrulayan bir hizmet belgedeki tüm sertifikaları desteklemelidir.

Aşağıdaki meta veriler, imzalama anahtarına sahip örnek KeyDescriptor bir öğeyi gösterir.

<KeyDescriptor use="signing">
<KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
<X509Data>
<X509Certificate>
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
</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>

KeyDescriptor öğesi federasyon meta veri belgesinde iki yerde görünür; WS-Federasyona özgü bölümünde ve SAML'ye özgü bölümünde. Her iki bölümde de yayımlanan sertifikalar aynı olacaktır.

WS-Federasyona özgü bölümünde, WS-Federation meta veri okuyucusu türüne SecurityTokenServiceType sahip bir RoleDescriptor öğeden sertifikaları okur.

Aşağıdaki meta veriler örnek RoleDescriptor bir öğeyi gösterir.

<RoleDescriptor xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" xmlns:fed="https://docs.oasis-open.org/wsfed/federation/200706" xsi:type="fed:SecurityTokenServiceType" protocolSupportEnumeration="https://docs.oasis-open.org/wsfed/federation/200706">

SAML'ye özgü bölümünde, WS-Federation meta veri okuyucusu bir IDPSSODescriptor öğedeki sertifikaları okur.

Aşağıdaki meta veriler örnek IDPSSODescriptor bir öğeyi gösterir.

<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

Kiracıya özgü ve kiracıdan bağımsız sertifikaların biçiminde hiçbir fark yoktur.

uç nokta URL'lerini WS-Federation

Federasyon meta verileri, Azure AD WS-Federation protokolünde çoklu oturum açma ve çoklu oturum kapatma için kullanılan URL'yi içerir. Bu uç nokta öğesinde PassiveRequestorEndpoint görünür.

Aşağıdaki meta veriler kiracıya özgü uç nokta için örnek PassiveRequestorEndpoint bir öğeyi gösterir.

<fed:PassiveRequestorEndpoint>
<EndpointReference xmlns="https://www.w3.org/2005/08/addressing">
<Address>
https://login.microsoftonline.com/72f988bf-86f1-41af-91ab-2d7cd011db45/wsfed
</Address>
</EndpointReference>
</fed:PassiveRequestorEndpoint>

Kiracıdan bağımsız uç nokta için WS-Federation URL'si aşağıdaki örnekte gösterildiği gibi WS-Federation uç noktasında görünür.

<fed:PassiveRequestorEndpoint>
<EndpointReference xmlns="https://www.w3.org/2005/08/addressing">
<Address>
https://login.microsoftonline.com/common/wsfed
</Address>
</EndpointReference>
</fed:PassiveRequestorEndpoint>

SAML protokolü uç nokta URL'si

Federasyon meta verileri, Azure AD SAML 2.0 protokolünde çoklu oturum açma ve çoklu oturum kapatma için kullandığı URL'yi içerir. Bu uç noktalar öğesinde IDPSSODescriptor görünür.

Oturum açma ve oturum kapatma URL'leri ve SingleLogoutService öğelerinde SingleSignOnService görünür.

Aşağıdaki meta veriler kiracıya özgü uç nokta için bir örnek PassiveResistorEndpoint gösterir.

<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
…
    <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/contoso.onmicrosoft.com/saml2" />
    <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/contoso.onmicrosoft.com /saml2" />
  </IDPSSODescriptor>

Benzer şekilde, ortak SAML 2.0 protokol uç noktaları için uç noktalar, aşağıdaki örnekte gösterildiği gibi kiracıdan bağımsız federasyon meta verilerinde yayımlanır.

<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
…
    <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/common/saml2" />
    <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/common/saml2" />
  </IDPSSODescriptor>