Azure Active Directory 如何使用 SAML 协议

Azure Active Directory (Azure AD) 使用 SAML 2.0 协议,使应用程序能够为其用户提供单一登录体验。 Azure AD 的单一登录单一注销 SAML 配置文件说明了如何在标识提供者服务中使用 SAML 断言、协议和绑定。

SAML 协议要求标识提供者 (Azure AD) 与服务提供者(应用程序)交换有关自身的信息。

将应用程序注册到 Azure AD 时,应用开发人员需将与联合身份验证相关的信息注册到 Azure AD。 这包括应用程序的重定向 URI 和元数据 URI。

Azure AD 使用云服务的 元数据 URI 来检索云服务的签名密钥和注销 URI。 如果应用程序不支持元数据 URI,开发人员必须联系 Microsoft 支持人员,让其提供注销 URI 和签名密钥。

Azure Active Directory 公开特定于租户的和公用的(独立于租户的)单一登录和单一注销终结点。 这些 URL 表示可寻址位置(不只是标识符),方便你转到终结点读取元数据。

  • 特定于租户的终结点位于 https://login.partner.microsoftonline.cn/<TenantDomainName>/FederationMetadata/2007-06/FederationMetadata.xml 占位符表示已注册域名或 Azure AD 租户的 TenantID GUID。 例如,contoso.com 租户的联合元数据位于: https://login.partner.microsoftonline.cn/contoso.com/FederationMetadata/2007-06/FederationMetadata.xml

  • 独立于租户的终结点位于 https://login.partner.microsoftonline.cn/common/FederationMetadata/2007-06/FederationMetadata.xml。此终结点地址中显示公用终结点,而不是租户域名或 ID。

有关 Azure AD 发布的联合元数据文档的信息,请参阅联合元数据