Megosztás a következőn keresztül:

Összevonási metaadatok

  • Cikk

A Microsoft Entra ID közzétesz egy összevonási metaadat-dokumentumot azokhoz a szolgáltatásokhoz, amelyek úgy vannak konfigurálva, hogy elfogadják a Microsoft Entra ID által problémákat okozó biztonsági jogkivonatokat. Az összevonási metaadat-dokumentum formátumát a Web Services Összevonási nyelv (WS-Federation) 1.2-es verziója ismerteti, amely kibővíti az OASIS security Assertion Markup Language (SAML) 2.0-s verziójának metaadatait.

Bérlőspecifikus és bérlőfüggetlen metaadat-végpontok

A Microsoft Entra ID bérlőspecifikus és bérlőfüggetlen végpontokat tesz közzé.

A bérlőspecifikus végpontok egy adott bérlőhöz vannak tervezve. A bérlőspecifikus összevonási metaadatok tartalmazzák a bérlőre vonatkozó információkat, beleértve a bérlőspecifikus kiállítót és a végpont adatait. Az egyetlen bérlőhöz való hozzáférést korlátozó alkalmazások bérlőspecifikus végpontokat használnak.

A bérlőfüggetlen végpontok az összes Microsoft Entra-bérlőre jellemző információkat biztosítják. Ezek az információk a login.microsoftonline.com üzemeltetett bérlőkre vonatkoznak, és megosztják a bérlők között. A bérlőfüggetlen végpontok több-bérlős alkalmazásokhoz ajánlottak, mivel nincsenek társítva egyetlen adott bérlőhöz sem.

Összevonási metaadat-végpontok

A Microsoft Entra ID a címen https://login.microsoftonline.com/<TenantDomainName>/FederationMetadata/2007-06/FederationMetadata.xmlteszi közzé az összevonási metaadatokat.

Bérlőspecifikus végpontok esetén a TenantDomainName következő típusok egyike lehet:

  • Egy Microsoft Entra-bérlő regisztrált tartományneve, például: contoso.onmicrosoft.com.
  • A tartomány nem módosítható bérlőazonosítója, például aaaabbbb-0000-cccc-1111-dddd2222eeee.

Bérlőfüggetlen végpontok esetén a TenantDomainName következő: common. Ez a dokumentum csak azokat az összevonási metaadat-elemeket sorolja fel, amelyek a login.microsoftonline.com üzemeltetett összes Microsoft Entra-bérlőre jellemzőek.

Például egy bérlőspecifikus végpont lehet https://login.microsoftonline.com/contoso.onmicrosoft.com/FederationMetadata/2007-06/FederationMetadata.xml. A bérlőfüggetlen végpont az https://login.microsoftonline.com/common/FederationMetadata/2007-06/FederationMetadata.xml. Az összevonási metaadat-dokumentum megtekintéséhez írja be ezt az URL-címet egy böngészőbe.

Összevonási metaadatok tartalma

A következő szakasz a Microsoft Entra ID által kibocsátott jogkivonatokat használó szolgáltatások számára szükséges információkat tartalmazza.

Entitás azonosítója

Az EntityDescriptor elem tartalmaz egy EntityID attribútumot. Az attribútum értéke EntityID a kiállítót, vagyis a jogkivonatot kibocsátó biztonsági jogkivonat-szolgáltatást (STS) jelöli. Fontos, hogy érvényesítse a kiállítót, amikor jogkivonatot kap.

Az alábbi metaadatok egy bérlőspecifikus EntityDescriptor mintaelemet és egy EntityID elemet mutatnak be.

<EntityDescriptor
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
ID="_00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
entityID="https://sts.windows.net/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/">

Bérlőspecifikus érték létrehozásához lecserélheti a bérlőfüggetlen végpont bérlőazonosítóját a bérlőazonosítóra EntityID . Az eredményül kapott érték megegyezik a jogkivonat kiállítójával. A stratégia lehetővé teszi, hogy egy több-bérlős alkalmazás érvényesítse a kiállítót egy adott bérlőre vonatkozóan.

Az alábbi metaadatok egy bérlőfüggetlen EntityID mintaelemet mutatnak be. Vegye figyelembe, hogy ez {tenant} egy literál, nem helyőrző.

<EntityDescriptor
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
ID="="_aaaabbbb-0000-cccc-1111-dddd2222eeee"
entityID="https://sts.windows.net/{tenant}/">

Jogkivonat-aláíró tanúsítványok

Amikor egy szolgáltatás egy Microsoft Entra-bérlő által kibocsátott jogkivonatot kap, a jogkivonat aláírását az összevonási metaadat-dokumentumban közzétett aláíró kulccsal kell ellenőrizni. Az összevonási metaadatok tartalmazzák a bérlők által a jogkivonat-aláíráshoz használt tanúsítványok nyilvános részét. A tanúsítvány nyers bájtja megjelenik az KeyDescriptor elemben. A jogkivonat-aláíró tanúsítvány csak akkor érvényes az aláírásra, ha az use attribútum értéke .signing

A Microsoft Entra ID által közzétett összevonási metaadat-dokumentumok több aláíró kulcssal is rendelkezhetnek, például amikor a Microsoft Entra ID az aláíró tanúsítvány frissítésére készül. Ha egy összevonási metaadat-dokumentum több tanúsítványt is tartalmaz, a jogkivonatokat érvényesítő szolgáltatásnak támogatnia kell a dokumentum összes tanúsítványát.

Az alábbi metaadatok egy aláíró kulccsal rendelkező mintaelemet KeyDescriptor mutatnak be.

<KeyDescriptor use="signing">
<KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
<X509Data>
<X509Certificate>
aB1cD2eF-3gH4i...J5kL6-mN7oP8qR=
</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>

Az KeyDescriptor elem két helyen jelenik meg az összevonási metaadat-dokumentumban, a WS-Összevonás-specifikus szakaszban és az SAML-specifikus szakaszban. A mindkét szakaszban közzétett tanúsítványok ugyanazok lesznek.

A WS-Összevonás-specifikus szakaszban egy WS-összevonás metaadat-olvasó felolvassa a tanúsítványokat egy RoleDescriptor ilyen típusú elemből SecurityTokenServiceType .

Az alábbi metaadatok egy mintaelemet RoleDescriptor mutatnak be.

<RoleDescriptor xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" xmlns:fed="https://docs.oasis-open.org/wsfed/federation/200706" xsi:type="fed:SecurityTokenServiceType" protocolSupportEnumeration="https://docs.oasis-open.org/wsfed/federation/200706">

Az SAML-specifikus szakaszban egy WS-összevonási metaadat-olvasó felolvassa a tanúsítványokat egy IDPSSODescriptor elemből.

Az alábbi metaadatok egy mintaelemet IDPSSODescriptor mutatnak be.

<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

A bérlőspecifikus és a bérlőfüggetlen tanúsítványok formátuma nem különbözik.

WS-Federation végpont URL-címe

Az összevonási metaadatok tartalmazzák azt az URL-címet, amelyet a Microsoft Entra ID az egyszeri bejelentkezéshez és az egyszeri kijelentkezéshez használ a WS-Federation protokollban. Ez a végpont megjelenik az PassiveRequestorEndpoint elemben.

Az alábbi metaadatok egy bérlőspecifikus végpont mintaelemét PassiveRequestorEndpoint jelenítik meg.

<fed:PassiveRequestorEndpoint>
<EndpointReference xmlns="https://www.w3.org/2005/08/addressing">
<Address>
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/wsfed
</Address>
</EndpointReference>
</fed:PassiveRequestorEndpoint>

A bérlőfüggetlen végpont esetében a WS-összevonási URL-cím megjelenik a WS-Összevonás végponton, ahogyan az az alábbi példában is látható.

<fed:PassiveRequestorEndpoint>
<EndpointReference xmlns="https://www.w3.org/2005/08/addressing">
<Address>
https://login.microsoftonline.com/common/wsfed
</Address>
</EndpointReference>
</fed:PassiveRequestorEndpoint>

SAML protokollvégpont URL-címe

Az összevonási metaadatok tartalmazzák a Microsoft Entra ID által az egyszeri bejelentkezéshez és az egyszeri kijelentkezéshez használt URL-címet az SAML 2.0 protokollban. Ezek a végpontok megjelennek az IDPSSODescriptor elemben.

A bejelentkezési és bejelentkezési URL-címek megjelennek az és SingleLogoutService az SingleSignOnService elemek között.

Az alábbi metaadatok egy bérlőspecifikus végpont mintáját PassiveResistorEndpoint jelenítik meg.

<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
…
    <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/contoso.onmicrosoft.com/saml2" />
    <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/contoso.onmicrosoft.com/saml2" />
  </IDPSSODescriptor>

Hasonlóképpen a közös SAML 2.0 protokollvégpontok végpontjai is közzé vannak téve a bérlőfüggetlen összevonási metaadatokban, ahogyan az az alábbi példában is látható.

<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
…
    <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/common/saml2" />
    <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/common/saml2" />
  </IDPSSODescriptor>