Federasyon meta verileri

Microsoft Entra Id, Microsoft Entra Id'nin karşılaştığı güvenlik belirteçlerini kabul etmek üzere yapılandırılmış hizmetler için bir federasyon meta veri belgesi yayımlar. Federasyon meta verisi belge biçimi, OASIS Güvenlik Onaylama İşaretleme Dili (SAML) v2.0 için Meta Verileri genişleten Web Hizmetleri Federasyon Dili (WS-Federasyon) Sürüm 1.2'de açıklanmıştır.

Kiracıya özgü ve kiracıdan bağımsız meta veri uç noktaları

Microsoft Entra Id, kiracıya özgü ve kiracıdan bağımsız uç noktaları yayımlar.

Kiracıya özgü uç noktalar belirli bir kiracı için tasarlanmıştır. Kiracıya özgü federasyon meta verileri, kiracıya özgü veren ve uç nokta bilgileri de dahil olmak üzere kiracı hakkındaki bilgileri içerir. Tek bir kiracıya erişimi kısıtlayan uygulamalar kiracıya özgü uç noktaları kullanır.

Kiracıdan bağımsız uç noktalar, tüm Microsoft Entra kiracıları için ortak olan bilgiler sağlar. Bu bilgiler login.microsoftonline.com'de barındırılan kiracılar için geçerlidir ve kiracılar arasında paylaşılır. Kiracıdan bağımsız uç noktalar, belirli bir kiracıyla ilişkilendirilmediğinden çok kiracılı uygulamalar için önerilir.

Federasyon meta veri uç noktaları

Microsoft Entra Id adresinde https://login.microsoftonline.com/<TenantDomainName>/FederationMetadata/2007-06/FederationMetadata.xmlfederasyon meta verilerini yayımlar.

Kiracıya TenantDomainName özgü uç noktalar için, aşağıdaki türlerden biri olabilir:

• Microsoft Entra kiracısının kayıtlı etki alanı adı, örneğin: contoso.onmicrosoft.com.
• Etki alanının sabit kiracı kimliği, örneğin aaaabbbb-0000-cccc-1111-dddd2222eeee.

Kiracıdan bağımsız uç noktalarTenantDomainName için , şeklindedircommon. Bu belgede yalnızca login.microsoftonline.com'de barındırılan tüm Microsoft Entra kiracıları için ortak olan Federasyon Meta Verileri öğeleri listelenir.

Örneğin, kiracıya özgü uç nokta olabilir https://login.microsoftonline.com/contoso.onmicrosoft.com/FederationMetadata/2007-06/FederationMetadata.xml. Kiracıdan bağımsız uç nokta şudur: https://login.microsoftonline.com/common/FederationMetadata/2007-06/FederationMetadata.xml. Bu URL'yi bir tarayıcıya yazarak federasyon meta verileri belgesini görüntüleyebilirsiniz.

Federasyon meta verilerinin içeriği

Aşağıdaki bölümde, Microsoft Entra ID tarafından verilen belirteçleri kullanan hizmetlerin ihtiyaç duyduğu bilgiler sağlanır.

Varlık Kimliği

EntityDescriptor öğesi bir EntityID öznitelik içerir. özniteliğinin EntityID değeri vereni, yani belirteci veren güvenlik belirteci hizmetini (STS) temsil eder. Belirteç aldığınızda verenin doğrulanması önemlidir.

Aşağıdaki meta veriler, bir öğeye sahip kiracıya özgü EntityDescriptor örnek bir EntityID öğeyi gösterir.

<EntityDescriptor
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
ID="_00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
entityID="https://sts.windows.net/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/">

Kiracıya özgü EntityID bir değer oluşturmak için kiracıdan bağımsız uç noktadaki kiracı kimliğini kiracı kimliğinizle değiştirebilirsiniz. Sonuçta elde edilen değer, belirteç verenle aynı olacaktır. Strateji, çok kiracılı bir uygulamanın belirli bir kiracı için vereni doğrulamasını sağlar.

Aşağıdaki meta veriler, kiracıdan bağımsız EntityID örnek bir öğeyi gösterir. öğesinin yer tutucu değil değişmez değer olduğunu {tenant} lütfen unutmayın.

<EntityDescriptor
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
ID="="_aaaabbbb-0000-cccc-1111-dddd2222eeee"
entityID="https://sts.windows.net/{tenant}/">

Belirteç imzalama sertifikaları

Bir hizmet Microsoft Entra kiracısı tarafından verilen bir belirteç aldığında, belirtecin imzası federasyon meta veri belgesinde yayımlanan bir imzalama anahtarıyla doğrulanmalıdır. Federasyon meta verileri, kiracıların belirteç imzalama için kullandığı sertifikaların genel bölümünü içerir. Sertifika ham baytları öğesinde KeyDescriptor görünür. Belirteç imzalama sertifikası yalnızca özniteliğinin use değeri olduğunda signingimzalama için geçerlidir.

Microsoft Entra Id tarafından yayımlanan federasyon meta verileri belgesinde, Microsoft Entra Id'nin imzalama sertifikasını güncelleştirmeye hazırlandığı durumlar gibi birden çok imzalama anahtarı olabilir. Federasyon meta verileri belgesinde birden fazla sertifika bulunduğunda, belirteçleri doğrulayan bir hizmet belgedeki tüm sertifikaları desteklemelidir.

Aşağıdaki meta veriler, imzalama anahtarına sahip örnek KeyDescriptor bir öğeyi gösterir.

<KeyDescriptor use="signing">
<KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
<X509Data>
<X509Certificate>
aB1cD2eF-3gH4i...J5kL6-mN7oP8qR=
</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>

KeyDescriptor öğesi, federasyon meta verileri belgesinde WS-Federasyon'a özgü bölümünde ve SAML'ye özgü bölümünde iki yerde görünür. Her iki bölümde de yayımlanan sertifikalar aynı olacaktır.

WS-Federasyona özgü bölümünde, WS-Federation meta veri okuyucusu türüne SecurityTokenServiceType sahip bir RoleDescriptor öğeden sertifikaları okur.

Aşağıdaki meta veriler örnek RoleDescriptor bir öğeyi gösterir.

<RoleDescriptor xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance" xmlns:fed="https://docs.oasis-open.org/wsfed/federation/200706" xsi:type="fed:SecurityTokenServiceType" protocolSupportEnumeration="https://docs.oasis-open.org/wsfed/federation/200706">

SAML'ye özgü bölümde, WS-Federation meta veri okuyucusu bir IDPSSODescriptor öğedeki sertifikaları okur.

Aşağıdaki meta veriler örnek IDPSSODescriptor bir öğeyi gösterir.

<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

Kiracıya özgü ve kiracıdan bağımsız sertifikaların biçiminde hiçbir fark yoktur.

WS-Federasyon uç noktası URL'si

Federasyon meta verileri, WS-Federation protokolünde çoklu oturum açma ve çoklu oturum kapatma için Microsoft Entra Id'nin kullandığı URL'yi içerir. Bu uç nokta öğesinde PassiveRequestorEndpoint görünür.

Aşağıdaki meta veriler kiracıya özgü uç nokta için örnek PassiveRequestorEndpoint bir öğeyi gösterir.

<fed:PassiveRequestorEndpoint>
<EndpointReference xmlns="https://www.w3.org/2005/08/addressing">
<Address>
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/wsfed
</Address>
</EndpointReference>
</fed:PassiveRequestorEndpoint>

Kiracıdan bağımsız uç nokta için WS-Federasyon URL'si, aşağıdaki örnekte gösterildiği gibi WS-Federasyon uç noktasında görünür.

<fed:PassiveRequestorEndpoint>
<EndpointReference xmlns="https://www.w3.org/2005/08/addressing">
<Address>
https://login.microsoftonline.com/common/wsfed
</Address>
</EndpointReference>
</fed:PassiveRequestorEndpoint>

SAML protokolü uç nokta URL'si

Federasyon meta verileri, Microsoft Entra Id'nin SAML 2.0 protokolünde çoklu oturum açma ve çoklu oturum kapatma için kullandığı URL'yi içerir. Bu uç noktalar öğesinde IDPSSODescriptor görünür.

ve öğelerinde oturum açma ve oturum kapatma URL'leri SingleSignOnService SingleLogoutService görünür.

Aşağıdaki meta veriler, kiracıya özgü uç nokta için bir örnek PassiveResistorEndpoint gösterir.

<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
…
    <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/contoso.onmicrosoft.com/saml2" />
    <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/contoso.onmicrosoft.com/saml2" />
  </IDPSSODescriptor>

Benzer şekilde, ortak SAML 2.0 protokol uç noktaları için uç noktalar, aşağıdaki örnekte gösterildiği gibi kiracıdan bağımsız federasyon meta verilerinde yayımlanır.

<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
…
    <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/common/saml2" />
    <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/common/saml2" />
  </IDPSSODescriptor>