Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Microsoft Identity Platform gibt mehrere Arten von Sicherheitstoken bei der Verarbeitung der einzelnen Authentifizierungsabläufe aus. In diesem Dokument werden das Format, die Sicherheitsmerkmale und der Inhalt von SAML 2.0-Token beschrieben.
Ansprüche in SAML-Token
| Name | Gleichwertiger JWT-Anspruch | BESCHREIBUNG | Beispiel |
|---|---|---|---|
| Publikum | aud |
Der beabsichtigte Empfänger des Tokens. Die Anwendung, die das Token empfängt, muss überprüfen, ob der Zielgruppenwert korrekt ist, und alle Token ablehnen, die für eine andere Zielgruppe vorgesehen sind. | <AudienceRestriction><Audience>https://contoso.com</Audience></AudienceRestriction> |
| Sofortauthentifizierung | Zeichnet das Datum und die Uhrzeit des Authentifizierungstermins auf. | <AuthnStatement AuthnInstant="2011-12-29T05:35:22.000Z"> |
|
| Authentifizierungsmethode | amr |
Gibt an, wie der Betreff des Tokens authentifiziert wurde. | <AuthnContextClassRef>http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod/password</AuthnContextClassRef> |
| Vorname | given_name |
Stellt den ersten oder "angegebenen" Namen des Benutzers bereit, wie für das Microsoft Entra-Benutzerobjekt festgelegt. | <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname"><AttributeValue>Frank<AttributeValue> |
| Gruppen | groups |
Stellt Objekt-IDs bereit, die die Gruppenmitgliedschaften des Betreffs darstellen. Diese Werte sind eindeutig (siehe Objekt-ID) und können sicher zum Verwalten des Zugriffs verwendet werden, z. B. das Erzwingen der Autorisierung für den Zugriff auf eine Ressource. Die in den Gruppenansprüchen enthaltenen Gruppen werden auf Anwendungsbasis über die Eigenschaft "groupMembershipClaims" des Anwendungsmanifests konfiguriert. Ein Wert von NULL schließt alle Gruppen aus, ein Wert von "SecurityGroup" enthält Verzeichnisrollen und Active Directory-Sicherheitsgruppenmitgliedschaften, und ein Wert von "Alle" enthält sowohl Sicherheitsgruppen als auch Microsoft 365-Verteilerlisten. Hinweise: Wenn die Anzahl der Gruppen, in denen sich der Benutzer befindet, einen Grenzwert überschreitet (150 für SAML, 200 für JWT), wird ein Überlastungsanspruch hinzugefügt, der auf den Graph-Endpunkt verweist, der die Liste der Gruppen für den Benutzer enthält. |
<Attribute Name="http://schemas.microsoft.com/ws/2008/06/identity/claims/groups"><AttributeValueaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb</AttributeValue> |
| Gruppenüberlastungsindikator | groups:src1 |
Bei Tokenanforderungen, die nicht längenbeschränkt, aber dennoch zu groß für das Token sind, wird ein Link zur vollständigen Gruppenliste für den Benutzer eingeschlossen. Für SAML wird dies als neuer Anspruch anstelle des groups Anspruchs hinzugefügt. Hinweise: Die Azure AD Graph-API wird durch die Microsoft Graph-API ersetzt. Weitere Informationen zum entsprechenden Endpunkt finden Sie unter "user: getMemberObjects". |
<Attribute Name=" http://schemas.microsoft.com/claims/groups.link"><AttributeValue>https://graph.windows.net/{tenantID}/users/{userID}/getMemberObjects<AttributeValue> |
| Identitätsanbieter | idp |
Zeichnet den Identitätsanbieter auf, der das Subjekt des Tokens authentifiziert hat. Dieser Wert ist identisch mit dem Wert des Ausstelleranspruchs, es sei denn, das Benutzerkonto befindet sich in einem anderen Mandanten als der Aussteller. | <Attribute Name=" http://schemas.microsoft.com/identity/claims/identityprovider"><AttributeValue>https://sts.windows.net/aaaabbbb-0000-cccc-1111-dddd2222eeee/<AttributeValue> |
| IssuedAt | iat |
Speichert die Uhrzeit, zu der das Token ausgestellt wurde. Es wird häufig verwendet, um die Aktualität des Tokens zu messen. | <Assertion ID="_d5ec7a9b-8d8f-4b44-8c94-9812612142be" IssueInstant="2014-01-06T20:20:23.085Z" Version="2.0" xmlns="urn:oasis:names:tc:SAML:2.0:assertion"> |
| Emittent | iss |
Gibt den Sicherheitstokendienst (Security Token Service, STS) an, der das Token erstellt und zurückgibt. In den Von Microsoft Entra-ID zurückgegebenen Token wird der Aussteller sts.windows.net. Die GUID im Ausstelleranspruchswert ist die Mandanten-ID des Microsoft Entra-Verzeichnisses. Die Mandanten-ID ist ein unveränderlicher und zuverlässiger Bezeichner des Verzeichnisses. | <Issuer>https://sts.windows.net/aaaabbbb-0000-cccc-1111-dddd2222eeee/</Issuer> |
| Nachname | family_name |
Stellt den Nachnamen, den Nachnamen oder den Familiennamen des Benutzers bereit, wie im Microsoft Entra-Benutzerobjekt definiert. | <Attribute Name=" http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"><AttributeValue>Miller<AttributeValue> |
| Name | unique_name |
Ein lesbarer Wert, der Aufschluss über den Antragsteller des Tokens gibt. Dieser Wert ist nicht garantiert, dass er innerhalb eines Mandanten eindeutig ist und nur für Anzeigezwecke verwendet wird. | <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name"><AttributeValue>frankm@contoso.com<AttributeValue> |
| Objekt-ID | oid |
Enthält einen eindeutigen Bezeichner eines Objekts in der Microsoft Entra-ID. Dieser Wert ist unveränderlich und kann nicht erneut zugewiesen oder wiederverwendet werden. Verwenden Sie die Objekt-ID, um ein Objekt in Abfragen zur Microsoft Entra-ID zu identifizieren. | <Attribute Name="http://schemas.microsoft.com/identity/claims/objectidentifier"><AttributeValue>bbbbbbbb-1111-2222-3333-cccccccccccc<AttributeValue> |
| Rollen | roles |
Stellt alle Anwendungsrollen dar, denen der Betreff direkt und indirekt über die Gruppenmitgliedschaft gewährt wurde und zum Erzwingen der rollenbasierten Zugriffssteuerung verwendet werden kann. Anwendungsrollen werden pro Anwendung mithilfe der appRoles Eigenschaft des Anwendungsmanifests definiert. Die value Eigenschaft jeder Anwendungsrolle ist der Wert, der im Rollenanspruch angezeigt wird. |
<Attribute Name="http://schemas.microsoft.com/ws/2008/06/identity/claims/role"> |
| Betreff | sub |
Gibt den Prinzipal an, über den das Token Informationen bestätigt, z. B. der Benutzer einer Anwendung. Der Betreff ist immer im SAML-Token vorhanden, das microsoft Entra ID ausgibt. Je nach NameID-Formatkann dieser Wert verwendet werden, um den Betreff in einem allgemeinen Autorisierungssystem zu identifizieren (siehe Risiken bei verwendung der E-Mail-Adresse für die Autorisierung).SubjectConfirmation ist kein Anspruch. Es beschreibt, wie der Betreff des Tokens überprüft wird.
Bearer gibt an, dass der Betreff durch seinen Besitz des Tokens bestätigt wird. |
<Subject><NameID>S40rgb3XjhFTv6EQTETkEzcgVmToHKRkZUIsJlmLdVc</NameID><SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer" /></Subject> |
| Mieter-ID | tid |
Ein unveränderlicher, nicht wiederverwendbarer Bezeichner, der den Verzeichnismandanten identifiziert, der das Token ausgestellt hat. Sie können diesen Wert verwenden, um auf mandantenspezifische Verzeichnisressourcen in einer mehrinstanzenfähigen Anwendung zuzugreifen. Sie können diesen Wert beispielsweise verwenden, um den Mandanten in einem Aufruf der Graph-API zu identifizieren. | <Attribute Name="http://schemas.microsoft.com/identity/claims/tenantid"><AttributeValue>aaaabbbb-0000-cccc-1111-dddd2222eeee<AttributeValue> |
| Tokengültigkeitsdauer |
nbf, exp |
Definiert das Zeitintervall, innerhalb dessen ein Token gültig ist. Der Dienst, der das Token überprüft, sollte überprüfen, ob das aktuelle Datum innerhalb der Tokenlebensdauer liegt, andernfalls sollte es das Token ablehnen. Der Dienst kann bis zu fünf Minuten außerhalb des Tokenlebensdauerbereichs zulassen, um alle Unterschiede in der Zeit ("Zeitverknürung") zwischen Microsoft Entra ID und dem Dienst zu berücksichtigen. | <ConditionsNotBefore="2013-03-18T21:32:51.261Z"NotOnOrAfter="2013-03-18T22:32:51.261Z"> |
SAML-Beispieltoken
Dies ist ein Beispiel für ein typisches SAML-Token.
<?xml version="1.0" encoding="UTF-8"?>
<t:RequestSecurityTokenResponse xmlns:t="http://schemas.xmlsoap.org/ws/2005/02/trust">
<t:Lifetime>
<wsu:Created xmlns:wsu="https://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">2014-12-24T05:15:47.060Z</wsu:Created>
<wsu:Expires xmlns:wsu="https://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">2014-12-24T06:15:47.060Z</wsu:Expires>
</t:Lifetime>
<wsp:AppliesTo xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy">
<EndpointReference xmlns="https://www.w3.org/2005/08/addressing">
<Address>https://contoso.onmicrosoft.com/MyWebApp</Address>
</EndpointReference>
</wsp:AppliesTo>
<t:RequestedSecurityToken>
<Assertion xmlns="urn:oasis:names:tc:SAML:2.0:assertion" ID="_aaaaaaaa-0b0b-1c1c-2d2d-333333333333" IssueInstant="2014-12-24T05:20:47.060Z" Version="2.0">
<Issuer>https://sts.windows.net/aaaabbbb-0000-cccc-1111-dddd2222eeee/</Issuer>
<ds:Signature xmlns:ds="https://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#" />
<ds:SignatureMethod Algorithm="https://www.w3.org/2001/04/xmldsig-more#rsa-sha256" />
<ds:Reference URI="#_aaaaaaaa-0b0b-1c1c-2d2d-333333333333">
<ds:Transforms>
<ds:Transform Algorithm="https://www.w3.org/2000/09/xmldsig#enveloped-signature" />
<ds:Transform Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#" />
</ds:Transforms>
<ds:DigestMethod Algorithm="https://www.w3.org/2001/04/xmlenc#sha256" />
<ds:DigestValue>E3fH4iJ5kL6mN7oP8qR9sT0uV1wX2y/nDY=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>aB1cD2eF3gH4i...J5kL6-mN7oP8qR==</ds:SignatureValue>
<KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
<X509Data>
<X509Certificate>C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1w</X509Certificate>
</X509Data>
</KeyInfo>
</ds:Signature>
<Subject>
<NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">m_H3naDei2LNxUmEcWd0BZlNi_jVET1pMLR6iQSuYmo</NameID>
<SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer" />
</Subject>
<Conditions NotBefore="2014-12-24T05:15:47.060Z" NotOnOrAfter="2014-12-24T06:15:47.060Z">
<AudienceRestriction>
<Audience>https://contoso.onmicrosoft.com/MyWebApp</Audience>
</AudienceRestriction>
</Conditions>
<AttributeStatement>
<Attribute Name="http://schemas.microsoft.com/identity/claims/objectidentifier">
<AttributeValue>aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.microsoft.com/identity/claims/tenantid">
<AttributeValue>aaaabbbb-0000-cccc-1111-dddd2222eeee</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name">
<AttributeValue>sample.admin@contoso.onmicrosoft.com</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
<AttributeValue>Admin</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">
<AttributeValue>Sample</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.microsoft.com/ws/2008/06/identity/claims/groups">
<AttributeValue>5581e43f-6096-41d4-8ffa-04e560bab39d</AttributeValue>
<AttributeValue>07dd8a89-bf6d-4e81-8844-230b77145381</AttributeValue>
<AttributeValue>0e129f4g-6b0a-4944-982d-f776000632af</AttributeValue>
<AttributeValue>3ee07328-52ef-4739-a89b-109708c22fb5</AttributeValue>
<AttributeValue>329k14b3-1851-4b94-947f-9a4dacb595f4</AttributeValue>
<AttributeValue>6e32c650-9b0a-4491-b429-6c60d2ca9a42</AttributeValue>
<AttributeValue>f3a169a7-9a58-4e8f-9d47-b70029v07424</AttributeValue>
<AttributeValue>8e2c86b2-b1ad-476d-9574-544d155aa6ff</AttributeValue>
<AttributeValue>1bf80264-ff24-4866-b22c-6212e5b9a847</AttributeValue>
<AttributeValue>4075f9c3-072d-4c32-b542-03e6bc678f3e</AttributeValue>
<AttributeValue>76f80527-f2cd-46f4-8c52-8jvd8bc749b1</AttributeValue>
<AttributeValue>0ba31460-44d0-42b5-b90c-47b3fcc48e35</AttributeValue>
<AttributeValue>edd41703-8652-4948-94a7-2d917bba7667</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.microsoft.com/identity/claims/identityprovider">
<AttributeValue>https://sts.windows.net/aaaabbbb-0000-cccc-1111-dddd2222eeee/</AttributeValue>
</Attribute>
</AttributeStatement>
<AuthnStatement AuthnInstant="2014-12-23T18:51:11.000Z">
<AuthnContext>
<AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:Password</AuthnContextClassRef>
</AuthnContext>
</AuthnStatement>
</Assertion>
</t:RequestedSecurityToken>
<t:RequestedAttachedReference>
<SecurityTokenReference xmlns="https://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:d3p1="https://docs.oasis-open.org/wss/oasis-wss-wssecurity-secext-1.1.xsd" d3p1:TokenType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0">
<KeyIdentifier ValueType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLID">_aaaaaaaa-0b0b-1c1c-2d2d-333333333333</KeyIdentifier>
</SecurityTokenReference>
</t:RequestedAttachedReference>
<t:RequestedUnattachedReference>
<SecurityTokenReference xmlns="https://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:d3p1="https://docs.oasis-open.org/wss/oasis-wss-wssecurity-secext-1.1.xsd" d3p1:TokenType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0">
<KeyIdentifier ValueType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLID">_aaaaaaaa-0b0b-1c1c-2d2d-333333333333</KeyIdentifier>
</SecurityTokenReference>
</t:RequestedUnattachedReference>
<t:TokenType>http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0</t:TokenType>
<t:RequestType>http://schemas.xmlsoap.org/ws/2005/02/trust/Issue</t:RequestType>
<t:KeyType>http://schemas.xmlsoap.org/ws/2005/05/identity/NoProofKey</t:KeyType>
</t:RequestSecurityTokenResponse>
Nächste Schritte
- Weitere Informationen zum Verwalten der Tokenlebensdauerrichtlinie mithilfe der Microsoft Graph-API finden Sie in der Übersicht über die Microsoft Entra-Richtlinienressource.
- Fügen Sie den Token für Ihre Anwendung benutzerdefinierte und optionale Ansprüche hinzu.
- Verwenden Sie single Sign-On (SSO) mit SAML.
- Verwenden des Azure Single Sign-Out SAML-Protokolls