Verwenden des SAML-Protokolls durch Microsoft Identity Platform

Microsoft Identity Platform verwendet das SAML 2.0-Protokoll und andere Protokolle, um Anwendungen das Bereitstellen einer Umgebung für einmaliges Anmelden (SSO) für die Benutzer zu ermöglichen. In den SAML-Profilen zum einmaligen Anmelden und einmaligen Abmelden von Microsoft Entra ID wird beschrieben, wie SAML-Assertionen, -Protokolle und -Bindungen im Identitätsanbieterdienst verwendet werden.

Für das SAML-Protokoll ist es erforderlich, dass der Identitätsanbieter (Microsoft Identity Platform) und der Dienstanbieter (die Anwendung) Informationen übereinander austauschen.

Wenn eine Anwendung mit Microsoft Entra ID registriert wird, registriert der App-Entwickler verbundbezogene Informationen mit Microsoft Entra ID. Dies gilt auch für den Umleitungs-URI und den Metadaten-URI der Anwendung.

Microsoft Identity Platform nutzt den Metadaten-URI des Clouddiensts, um den Signaturschlüssel und den Abmelde-URI abzurufen. Dadurch kann Microsoft Identity Platform die Antwort an die richtige URL senden. Im Microsoft Entra Admin Center;

  • Öffnen Sie die App in Microsoft Entra ID und wählen Sie App-Registrierungen
  • Wählen Sie unter Verwalten die Option Authentifizierung aus. Dort können Sie die Abmelde-URL aktualisieren.

Microsoft Entra ID macht mandantenspezifische und allgemeine (mandantenunabhängige) Endpunkte für einmaliges Anmelden und einmaliges Anmelden verfügbar. Diese URLs stellen adressierbare Speicherorte dar und sind nicht nur Bezeichner. Anschließend können Sie zum Endpunkt wechseln, um die Metadaten zu lesen.

  • Der mandantenspezifische Endpunkt befindet sich unter https://login.microsoftonline.com/<TenantDomainName>/FederationMetadata/2007-06/FederationMetadata.xml. Der Platzhalter <TenantDomainName> steht für einen registrierten Domänennamen oder die TenantID-GUID eines Microsoft Entra-Mandanten. Beispielsweise befinden sich die Verbundmetadaten des Mandanten contoso.com unter: https://login.microsoftonline.com/contoso.com/FederationMetadata/2007-06/FederationMetadata.xml.

  • Der mandantenunabhängige Endpunkt befindet sich unter https://login.microsoftonline.com/common/FederationMetadata/2007-06/FederationMetadata.xml. Bei dieser Endpunktadresse wird anstelle eines Mandantendomänennamens oder einer ID das Wort common verwendet.

Nächste Schritte

Informationen zu den Verbundmetadatendokumenten, die von Microsoft Entra ID veröffentlicht werden, finden Sie unter Verbundmetadaten.