Microsoft 标识平台如何使用 SAML 协议

  • 项目

Microsoft 标识平台使用 SAML 2.0 和其他协议,使应用程序能够为其用户提供单一登录 (SSO) 体验。 Microsoft Entra 的单一登录单一退出登录 SAML 配置文件说明了如何在标识提供者服务中使用 SAML 断言、协议和绑定。

SAML 协议要求标识提供者(Microsoft 标识平台)与服务提供者(应用程序)交换有关自身的信息。

在使用 Microsoft Entra ID 注册应用程序时,应用开发人员会向 Microsoft Entra ID 注册与联合身份验证相关的信息。 这些信息包括应用程序的重定向 URI元数据 URI

Microsoft 标识平台使用云服务的元数据 URI 来检索签名密钥和注销 URI。 这样,Microsoft 标识平台就可以将响应发送到正确的 URL。 在 Microsoft Entra 管理中心中;

  • Microsoft Entra ID 中打开应用,然后选择“应用注册
  • 在“管理”下,选择“身份验证”。 可以从此处更新注销 URL。

Microsoft Entra ID 可公开特定于租户的和公用的(独立于租户)SSO 和单一退出登录终结点。 这些 URL 表示可寻址的位置,而不仅仅是标识符。 然后,可以转到终结点来读取元数据。

  • 特定于租户的终结点位于 https://login.microsoftonline.com/<TenantDomainName>/FederationMetadata/2007-06/FederationMetadata.xml<TenantDomainName> 占位符表示 Microsoft Entra 租户的已注册域名或 TenantID GUID。 例如,contoso.com 租户的联合元数据位于:https://login.microsoftonline.com/contoso.com/FederationMetadata/2007-06/FederationMetadata.xml

  • 独立于租户的终结点位于 https://login.microsoftonline.com/common/FederationMetadata/2007-06/FederationMetadata.xml。 此终结点地址中显示 common,而不是租户域名或 ID。

后续步骤

有关 Microsoft Entra 发布的联合元数据文档的信息,请参阅联合元数据