Federasyon meta verileri
Uyarı
Bu içerik eski Azure AD v1.0 uç noktasına yöneliktir. Yeni projeler için Microsoft kimlik platformu kullanın.
Azure Active Directory (Azure AD), sorunları Azure AD güvenlik belirteçlerini kabul etmek üzere yapılandırılmış hizmetler için bir federasyon meta verisi belgesi yayımlar. Federasyon meta verileri belge biçimi, OASIS Güvenlik Onaylama İşaretleme Dili (SAML) v2.0 için Meta Verileri genişleten Web Hizmetleri Federasyon Dili (WS-Federasyon) Sürüm 1.2'de açıklanmıştır.
Kiracıya özgü ve Kiracıdan bağımsız meta veri uç noktaları
Azure AD kiracıya özgü ve kiracıdan bağımsız uç noktalar yayımlar.
Kiracıya özgü uç noktalar belirli bir kiracı için tasarlanmıştır. Kiracıya özgü federasyon meta verileri, kiracıya özgü veren ve uç nokta bilgileri de dahil olmak üzere kiracı hakkındaki bilgileri içerir. Tek bir kiracıya erişimi kısıtlayan uygulamalar kiracıya özgü uç noktaları kullanır.
Kiracıdan bağımsız uç noktalar, tüm Azure AD kiracılar için ortak olan bilgiler sağlar. Bu bilgiler login.microsoftonline.com'da barındırılan kiracılar için geçerlidir ve kiracılar arasında paylaşılır. Kiracıdan bağımsız uç noktalar, belirli bir kiracıyla ilişkilendirilmediğinden, çok kiracılı uygulamalar için önerilir.
Federasyon meta veri uç noktaları
Azure AD adresinde https://login.microsoftonline.com/<TenantDomainName>/FederationMetadata/2007-06/FederationMetadata.xml
federasyon meta verilerini yayımlar.
Kiracıya özgü uç noktalar için, TenantDomainName
aşağıdaki türlerden biri olabilir:
- Azure AD kiracısının kayıtlı etki alanı adı, örneğin:
contoso.onmicrosoft.com
. - Etki alanının sabit kiracı kimliği, örneğin
72f988bf-86f1-41af-91ab-2d7cd011db45
.
Kiracıdan bağımsız uç noktalarTenantDomainName
için , şeklindedircommon
. Bu belgede yalnızca login.microsoftonline.com'de barındırılan tüm Azure AD kiracılar için ortak olan Federasyon Meta Verileri öğeleri listelenir.
Örneğin, kiracıya özgü uç nokta olabilir https://login.microsoftonline.com/contoso.onmicrosoft.com/FederationMetadata/2007-06/FederationMetadata.xml
. Kiracıdan bağımsız uç nokta şeklindedir https://login.microsoftonline.com/common/FederationMetadata/2007-06/FederationMetadata.xml. Bu URL'yi bir tarayıcıda yazarak federasyon meta verileri belgesini görüntüleyebilirsiniz.
Federasyon Meta Verilerinin İçeriği
Aşağıdaki bölümde, Azure AD tarafından verilen belirteçleri kullanan hizmetlerin ihtiyaç duyduğu bilgiler sağlanır.
Varlık Kimliği
EntityDescriptor
öğesi bir EntityID
öznitelik içerir. özniteliğinin EntityID
değeri vereni, yani belirteci veren güvenlik belirteci hizmetini (STS) temsil eder. Belirteç aldığınızda vereni doğrulamak önemlidir.
Aşağıdaki meta veriler, bir öğe ile kiracıya özgü EntityDescriptor
örnek bir EntityID
öğeyi gösterir.
<EntityDescriptor
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
ID="_b827a749-cfcb-46b3-ab8b-9f6d14a1294b"
entityID="https://sts.windows.net/72f988bf-86f1-41af-91ab-2d7cd011db45/">
Kiracıya özgü EntityID
bir değer oluşturmak için kiracıdan bağımsız uç noktadaki kiracı kimliğini kiracı kimliğinizle değiştirebilirsiniz. Sonuçta elde edilen değer, belirteç verenle aynı olacaktır. Strateji, çok kiracılı bir uygulamanın belirli bir kiracı için vereni doğrulamasını sağlar.
Aşağıdaki meta veriler kiracıdan bağımsız EntityID
örnek bir öğeyi gösterir. öğesinin yer tutucu değil değişmez değer olduğunu {tenant}
lütfen unutmayın.
<EntityDescriptor
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
ID="="_0e5bd9d0-49ef-4258-bc15-21ce143b61bd"
entityID="https://sts.windows.net/{tenant}/">
Belirteç imzalama sertifikaları
Bir hizmet Azure AD kiracı tarafından verilen bir belirteç aldığında, belirtecin imzası federasyon meta verileri belgesinde yayımlanan bir imzalama anahtarıyla doğrulanmalıdır. Federasyon meta verileri, kiracıların belirteç imzalama için kullandığı sertifikaların genel bölümünü içerir. Sertifika ham baytları öğesinde KeyDescriptor
görünür. Belirteç imzalama sertifikası yalnızca özniteliğinin use
değeri olduğunda signing
imzalama için geçerlidir.
Azure AD tarafından yayımlanan federasyon meta verileri belgesinde, Azure AD imzalama sertifikasını güncelleştirmeye hazırlanırken olduğu gibi birden çok imzalama anahtarı olabilir. Federasyon meta verileri belgesinde birden fazla sertifika varsa, belirteçleri doğrulayan bir hizmet belgedeki tüm sertifikaları desteklemelidir.
Aşağıdaki meta veriler, imzalama anahtarına sahip örnek KeyDescriptor
bir öğeyi gösterir.
<KeyDescriptor use="signing">
<KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
<X509Data>
<X509Certificate>
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
</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>
KeyDescriptor
öğesi federasyon meta veri belgesinde iki yerde görünür; WS-Federasyona özgü bölümünde ve SAML'ye özgü bölümünde. Her iki bölümde de yayımlanan sertifikalar aynı olacaktır.
WS-Federasyona özgü bölümünde, WS-Federation meta veri okuyucusu türüne SecurityTokenServiceType
sahip bir RoleDescriptor
öğeden sertifikaları okur.
Aşağıdaki meta veriler örnek RoleDescriptor
bir öğeyi gösterir.
<RoleDescriptor xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" xmlns:fed="https://docs.oasis-open.org/wsfed/federation/200706" xsi:type="fed:SecurityTokenServiceType" protocolSupportEnumeration="https://docs.oasis-open.org/wsfed/federation/200706">
SAML'ye özgü bölümünde, WS-Federation meta veri okuyucusu bir IDPSSODescriptor
öğedeki sertifikaları okur.
Aşağıdaki meta veriler örnek IDPSSODescriptor
bir öğeyi gösterir.
<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
Kiracıya özgü ve kiracıdan bağımsız sertifikaların biçiminde hiçbir fark yoktur.
uç nokta URL'lerini WS-Federation
Federasyon meta verileri, Azure AD WS-Federation protokolünde çoklu oturum açma ve çoklu oturum kapatma için kullanılan URL'yi içerir. Bu uç nokta öğesinde PassiveRequestorEndpoint
görünür.
Aşağıdaki meta veriler kiracıya özgü uç nokta için örnek PassiveRequestorEndpoint
bir öğeyi gösterir.
<fed:PassiveRequestorEndpoint>
<EndpointReference xmlns="https://www.w3.org/2005/08/addressing">
<Address>
https://login.microsoftonline.com/72f988bf-86f1-41af-91ab-2d7cd011db45/wsfed
</Address>
</EndpointReference>
</fed:PassiveRequestorEndpoint>
Kiracıdan bağımsız uç nokta için WS-Federation URL'si aşağıdaki örnekte gösterildiği gibi WS-Federation uç noktasında görünür.
<fed:PassiveRequestorEndpoint>
<EndpointReference xmlns="https://www.w3.org/2005/08/addressing">
<Address>
https://login.microsoftonline.com/common/wsfed
</Address>
</EndpointReference>
</fed:PassiveRequestorEndpoint>
SAML protokolü uç nokta URL'si
Federasyon meta verileri, Azure AD SAML 2.0 protokolünde çoklu oturum açma ve çoklu oturum kapatma için kullandığı URL'yi içerir. Bu uç noktalar öğesinde IDPSSODescriptor
görünür.
Oturum açma ve oturum kapatma URL'leri ve SingleLogoutService
öğelerinde SingleSignOnService
görünür.
Aşağıdaki meta veriler kiracıya özgü uç nokta için bir örnek PassiveResistorEndpoint
gösterir.
<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
…
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/contoso.onmicrosoft.com/saml2" />
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/contoso.onmicrosoft.com /saml2" />
</IDPSSODescriptor>
Benzer şekilde, ortak SAML 2.0 protokol uç noktaları için uç noktalar, aşağıdaki örnekte gösterildiği gibi kiracıdan bağımsız federasyon meta verilerinde yayımlanır.
<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
…
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/common/saml2" />
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/common/saml2" />
</IDPSSODescriptor>