Teilen über

Verbund mit SAML/WS-Fed-Identitätsanbietern

  • Artikel

Gilt für:Grüner Kreis mit weißem Häkchen. Mitarbeitermandanten Grüner Kreis mit weißem Häkchen. Externe Mandanten (weitere Informationen)

Ihr Microsoft Entra-Mandant kann direkt mit externen Organisationen verbunden werden, die einen SAML- oder WS-Verbund-Identitätsanbieter (IDP) verwenden. Benutzer aus der externen Organisation können dann ihr idP-verwaltetes Konto verwenden, um sich bei Ihrem Mandanten anzumelden, ohne neue Microsoft Entra-Anmeldeinformationen erstellen zu müssen. Für neu eingeladene Benutzer hat SAML/WS-Fed IdP-Partnerverbund Vorrang als primäre Anmeldemethode. Der Benutzer wird beim Registrieren oder Anmelden bei Ihrer App zu ihrem IdP umgeleitet und nach der erfolgreichen Anmeldung an Microsoft Entra zurückgegeben.

Sie können mehrere Domänen einer einzelnen Verbundkonfiguration zuordnen. Die Domäne des Partners kann entweder von Microsoft Entra überprüft oder nichtverifiziert sein.

Das Einrichten des Verbunds von SAML- bzw. WS-Verbund-Identitätsanbietern erfordert eine Konfiguration in Ihrem Mandanten und im Identitätsanbieter der externen Organisation. In einigen Fällen muss der Partner seine DNS-Texteinträge aktualisieren. Diese müssen ihren Identitätsanbieter ebenfalls mit den erforderlichen Ansprüchen und Vertrauensstellungen der vertrauenden Seite aktualisieren.

Hinweis

Dieses Feature befindet sich für externe Mandanten derzeit in der Vorschauphase und ist für Mitarbeitermandanten allgemein verfügbar.

Wann wird ein Benutzer mit SAML/WS-Fed IdP-Partnerverbund authentifiziert?

Nach dem Einrichten des Partnerverbunds hängt die Anmeldeoberfläche für den externen Benutzer von Ihren Anmeldeeinstellungen und davon ab, ob die Domäne des Partners Microsoft Entra überprüft wurde.

Verbund mit verifizierten und nicht verifizierten Domains

Sie können eine SAML/WS-Fed IdP-Föderation einrichten mit:

  • nicht verifizierte Domänen: Diese Domänen werden in der Microsoft Entra-ID nicht DURCH DNS überprüft. Bei nicht verifizierten Domänen werden Benutzer aus der externen Organisation mithilfe der Verbund-SAML/WS-Fed IdP authentifiziert.
  • Microsoft Entra ID verifizierte Domänen: Diese Domänen wurden innerhalb der Microsoft Entra-ID verifiziert, einschließlich der Domänen, bei denen der Mandant eine Admin-Übernahmedurchlaufen hat. Bei überprüften Domänen ist Microsoft Entra ID der primäre Identitätsanbieter, der während der Einladungseinlösung verwendet wird. Für B2B Collaboration in einem Mitarbeitermandanten können Sie die Einlösungsreihenfolge ändern, um den Verbundsidentitätsanbieter zur primären Methode zu machen.

Hinweis

Derzeit werden die Einstellungen für die Einlösungsreihenfolge in externen Mandanten oder in Clouds nicht unterstützt.

Verbund mit nicht verwalteten Mandanten (E-Mail überprüft)

Sie können einen SAML/WS-Fed IdP-Verbund mit Domänen einrichten, die in Microsoft Entra ID nicht DNS-verifiziert sind, einschließlich nicht verwalteter (E-Mail-verifizierter oder "viraler") Microsoft Entra-Mandanten. Derartige Mandanten werden erstellt, wenn ein Benutzer eine B2B-Einladung einlöst oder eine Self-Service-Registrierung für Microsoft Entra ID mit einer Domäne durchführt, die derzeit nicht vorhanden ist.

Auswirkungen des Partnerverbunds auf aktuelle externe Benutzer

Das Einrichten des Partnerverbunds ändert nicht die Authentifizierungsmethode für Benutzer, die bereits eine Einladung eingelöst haben. Beispiel:

  • Benutzer, die Einladungen eingelöst haben, bevor das Partnerverbundsetup eingerichtet wurde, verwenden weiterhin ihre ursprüngliche Authentifizierungsmethode. Beispielsweise verwenden Benutzer, die Einladungen mit Einmalpasswort-Authentifizierung eingelöst haben, bevor Sie den Partnerverbund eingerichtet haben, weiterhin Einmalpasscodes.
  • Benutzer, die Einladungen mit dem Partner-IdP eingelöst haben, verwenden diese Methode weiterhin, auch wenn ihre Organisation später zu Microsoft Entra wechselt.
  • Benutzer, die derzeit die SAML/WS-Fed IdP verwenden, werden daran gehindert, sich anzumelden, wenn der Partnerverbund gelöscht wird.

Sie müssen keine neuen Einladungen an vorhandene Benutzer senden, da sie weiterhin ihre aktuelle Anmeldemethode verwenden. Für B2B Collaboration in einem Mitarbeitermandanten können Sie jedoch den Einlösungsstatus eines Benutzers zurücksetzen. Wenn der Benutzer das nächste Mal auf Ihre App zugreift, wiederholt er die Einlösungsschritte und wechselt zum Partnerverbund. Derzeit werden die Einstellungen für die Einlösungsreihenfolge in externen Mandanten oder in Clouds nicht unterstützt.

Anmeldeendpunkte in Mitarbeitermandanten

Wenn der Verbund in Ihrem Mitarbeitermandanten eingerichtet ist, können sich Benutzende aus der verbundenen Organisation bei Ihren Apps mit mehreren Instanzen oder Erstanbieter-Apps von Microsoft anmelden, indem sie einen gemeinsamen Endpunkt verwenden. Dabei handelt es sich um eine allgemeine App-URL, die nicht den Kontext Ihres Mandanten enthält. Während des Anmeldevorgangs wählt der Benutzer Anmeldeoptionenaus und wählt dann Anmeldung bei einer Organisationaus. Sie geben den Namen Ihrer Organisation ein und melden sich weiterhin mit ihren eigenen Anmeldeinformationen an.

SAML/WS-Fed IdP-Partnerverbundbenutzer können auch Anwendungsendpunkte verwenden, die Ihre Mandanteninformationen enthalten, z. B.:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

Sie können Benutzern auch einen direkten Link zu einer Anwendung oder Ressource bereitstellen, indem Sie Ihre Mandanteninformationen einbeziehen, z. B. https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>.

Überlegungen zur Einrichtung des Verbunds

Die Einrichtung des Verbunds umfasst das Konfigurieren Ihres Microsoft Entra-Mandanten und des Identitätsanbieters der externen Organisation.

Anforderungen an den Partneridentitätsanbieter

Je nach seinem IdP muss der Partner möglicherweise seine DNS-Einträge aktualisieren, um einen Verbund mit Ihnen zu aktivieren. Siehe Schritt 1: Ermitteln, ob der Partner seine DNS-Texteinträgeaktualisieren muss.

Die Aussteller-URL in der SAML-Anforderung, die von Microsoft Entra-ID für externe Partnerverbunde gesendet wird, ist jetzt ein Mandantenendpunkt, während es sich zuvor um einen globalen Endpunkt handelte. Vorhandene Föderationen mit dem globalen Endpunkt funktionieren weiterhin. Legen Sie bei neuen Verbunden jedoch die Zielgruppe der externen SAML- oder WS-Verbund-Identitätsanbieter auf einen Mandantenendpunkt fest. Informationen den zu erforderlichen Attributen und Ansprüchen finden Sie in den Abschnitten SAML 2.0 und WS-Verbund.

Ablauf des Signaturzertifikats

Wenn Sie die Metadaten-URL in den Identitätsanbietereinstellungen angeben, verlängert Microsoft Entra ID das Signaturzertifikat automatisch, wenn es abläuft. Wenn das Zertifikat jedoch aus irgendeinem Grund vor der Ablaufzeit rotiert wird oder wenn Sie keine Metadaten-URL bereitstellen, kann Microsoft Entra ID es nicht verlängern. In diesem Fall müssen Sie das Signaturzertifikat manuell aktualisieren.

Sitzungsablauf

Wenn die Microsoft Entra-Sitzung abläuft oder ungültig wird und der Verbund-IdP SSO aktiviert hat, erlebt der Benutzer SSO. Wenn die Sitzung des Verbundbenutzers/der Verbundbenutzerin gültig ist, wird er/sie nicht aufgefordert, sich erneut anzumelden. Andernfalls wird der Benutzer/die Benutzerin für die Anmeldung an seinen Identitätsanbieter umgeleitet.

Weitere Überlegungen

Im Folgenden finden Sie weitere Überlegungen beim Verbund mit einem SAML/WS-Fed Identitätsanbieter.

  • Der Verbund behebt keine Anmeldeprobleme, die durch einen teilweise synchronisierten Mandanten verursacht werden, bei dem die lokalen Benutzeridentitäten eines Partners in der Cloud nicht vollständig mit Microsoft Entra synchronisiert werden. Diese Benutzer können sich nicht mit einer B2B-Einladung anmelden, daher müssen sie stattdessen die E-Mail-Einmal-Passwort--Funktion verwenden. Das Verbundfeature für SAML- bzw. WS-Verbund-Identitätsanbieter richtet sich an Partner mit eigenen von Identitätsanbietern verwalteten Organisationskonten, jedoch ohne Microsoft Entra.

  • Der Verbund ersetzt nicht die Notwendigkeit von B2B-Gastkonten in Ihrem Verzeichnis. Bei der B2B-Zusammenarbeit wird unabhängig von der verwendeten Authentifizierung oder Verbundmethode ein Gastkonto für den Benutzer in Ihrem Mitarbeitermandantenverzeichnis erstellt. Mithilfe dieses Benutzerobjekts können Sie Zugriff auf Anwendungen gewähren, Rollen zuweisen und die Mitgliedschaft in Sicherheitsgruppen definieren.

  • Derzeit unterstützt das Microsoft Entra-SAML/WS-Fed-Verbundfeature das Senden eines signierten Authentifizierungstokens an den SAML-Identitätsanbieter nicht.

Konfigurieren Sie SAML/WS-Fed IdP-Föderation

Schritt 1: Ermitteln, ob der Partner seine DNS-Textdatensätze aktualisieren muss

Führen Sie die folgenden Schritte aus, um zu ermitteln, ob der Partner seine DNS-Einträge aktualisieren muss, um den Partnerverbund mit Ihnen zu aktivieren.

  1. Überprüfen Sie die passive IdP-Authentifizierungs-URL des Partners, um festzustellen, ob die Domäne mit der Zieldomäne oder einem Host innerhalb der Zieldomäne übereinstimmt. Anders ausgedrückt: Beim Einrichten eines Verbunds für fabrikam.com gilt Folgendes:

    • Wenn der passive Authentifizierungsendpunkt https://fabrikam.com oder https://sts.fabrikam.com/adfs (ein Host in derselben Domäne) lautet, sind keine DNS-Änderungen erforderlich.
    • Wenn der passive Authentifizierungsendpunkt https://fabrikamconglomerate.com/adfs oder https://fabrikam.co.uk/adfs lautet, stimmt die Domäne nicht mit der fabrikam.com-Domäne überein. Der Partner muss seiner DNS-Konfiguration daher einen Texteintrag für die Authentifizierungs-URL hinzufügen.

  2. Wenn gemäß dem vorherigen Schritt DNS-Änderungen erforderlich sind, bitten Sie den Partner, den DNS-Einträgen seiner Domäne einen TXT-Eintrag hinzuzufügen, wie im folgenden Beispiel gezeigt:

    fabrikam.com.  IN   TXT   DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs

Schritt 2: Konfigurieren des IdPs des Partnerunternehmens

Als Nächstes muss Ihr Partnerunternehmen ihren IdP mit den erforderlichen Ansprüchen und Vertrauensstellungen der vertrauenden Seite konfigurieren.

Hinweis

Um zu veranschaulichen, wie ein SAML/WS-Fed IdP für den Partnerverbund konfiguriert wird, verwenden wir Active Directory-Verbunddienste (AD FS) als Beispiel. Beispiele zum Konfigurieren von AD FS als SAML 2.0 oder WS-Fed-IdP in der Vorbereitung für einen Verbunds finden Sie unter Konfigurieren eines SAML/WS-Fed IdP-Verbunds mit AD FS.

SAML 2.0-Konfiguration

Microsoft Entra B2B kann so konfiguriert werden, dass es einen Verbund mit Identitätsanbietern bildet, die das SAML-Protokoll mit bestimmten Anforderungen, die in diesem Abschnitt aufgeführt werden, verwenden. Weitere Informationen zum Einrichten einer Vertrauensstellung zwischen Ihrem SAML-Identitätsanbieter und Microsoft Entra ID, finden Sie unter Verwenden eines SAML 2.0-Identitätsanbieters (IdP) für das einmalige Anmelden (SSO).

Hinweis

Sie können jetzt einen SAML/WS-Fed-IdP-Verbund mit anderen überprüften Microsoft Entra ID-Domänen einrichten. Mehr erfahren

Erforderliche SAML 2.0-Attribute und -Ansprüche

In den folgenden Tabellen sind die Anforderungen für bestimmte Attribute und Ansprüche aufgeführt, die bei dem Drittanbieter-IdP konfiguriert werden müssen. Die folgenden Attribute müssen in der SAML 2.0-Antwort vom Identitätsanbieter empfangen werden, um einen Verbund einzurichten. Diese Attribute können durch Verlinkung mit der XML-Datei des Online-Sicherheitstokendiensts oder durch manuelle Eingabe konfiguriert werden.

Hinweis

Stellen Sie sicher, dass der Wert mit der Cloud übereinstimmt, für die Sie einen externen Verbund einrichten.

Tabelle 1: Erforderliche Attribute für die SAML 2.0-Antwort vom IdP.

attribute Wert
AssertionConsumerService https://login.microsoftonline.com/login.srf
Zielgruppe https://login.microsoftonline.com/<tenant ID>/ (Empfohlen) Ersetzen Sie <tenant ID> durch die Mandanten-ID des Microsoft Entra-Mandanten, mit dem Sie einen Verbund einrichten.

In der SAML-Anforderung, die von Microsoft Entra ID für externe Verbunde gesendet wird, ist die Aussteller-URL ein Mandantenendpunkt (zum Beispiel https://login.microsoftonline.com/<tenant ID>/). Für alle neuen Verbunde wird empfohlen, dass alle unsere Partner die Zielgruppe des SAML- oder WS-Fed-basierten IdP auf einen mandantenbasierten Endpunkt festlegen. Alle vorhandenen Partnerverbunde, die mit dem globalen Endpunkt konfiguriert sind (z. B. urn:federation:MicrosoftOnline), funktionieren weiterhin, aber neue Partnerverbunde funktionieren nicht mehr, wenn Ihr externer IdP eine globale Aussteller-URL in der SAML-Anforderung erwartet, die von Microsoft Entra ID gesendet wird.
Issuer (Aussteller) Der Aussteller-URI des Partneridentitätsanbieters, z. B. http://www.example.com/exk10l6w90DHM0yi...

Tabelle 2: Erforderliche Ansprüche für das VOM IDP ausgestellte SAML 2.0-Token.

Attributname Wert
NameID-Format urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress emailaddress

WS-Verbund-Konfiguration

Microsoft Entra B2B kann so konfiguriert werden, dass es einen Verbund mit Identitätsanbietern bildet, die das WS-Fed-Protokoll verwenden. In diesem Abschnitt werden die Anforderungen erläutert. Derzeit sind die beiden WS-Fed Anbieter, die auf Kompatibilität mit Microsoft Entra ID getestet wurden, AD FS und Shibboleth. Weitere Informationen zum Aufbau einer Vertrauensstellung der vertrauenden Seite zwischen einem WS-Verbund-kompatiblen Anbieter mit Microsoft Entra ID finden Sie in dem „Artikel zur STS-Integration unter Verwendung von WS-Protokollen“, der in den Dokumenten zur Kompatibilität von Microsoft Entra-Identitätsanbietern verfügbar ist.

Hinweis

Sie können jetzt einen SAML/WS-Fed-IdP-Verbund mit anderen überprüften Microsoft Entra ID-Domänen einrichten. Mehr erfahren

Erforderliche WS-Verbund-Attribute und -Ansprüche

In den folgenden Tabellen sind die Anforderungen für bestimmte Attribute und Ansprüche aufgeführt, die bei dem Drittanbieter WS-Fed-IdP konfiguriert werden müssen. Die folgenden Attribute müssen in der WS-Fed-Nachricht vom Identitätsanbieter empfangen werden, um einen Verbund einzurichten. Diese Attribute können durch Verlinkung mit der XML-Datei des Online-Sicherheitstokendiensts oder durch manuelle Eingabe konfiguriert werden.

Hinweis

Stellen Sie sicher, dass der Wert mit der Cloud übereinstimmt, für die Sie einen externen Verbund einrichten.

Tabelle 3: Erforderliche Attribute in der WS-Verbund-Nachricht vom Identitätsanbieter

attribute Wert
PassiveRequestorEndpoint https://login.microsoftonline.com/login.srf
Zielgruppe https://login.microsoftonline.com/<tenant ID>/ (Empfohlen) Ersetzen Sie <tenant ID> durch die Mandanten-ID des Microsoft Entra-Mandanten, mit dem Sie einen Verbund einrichten.

In der SAML-Anforderung, die von Microsoft Entra ID für externe Verbunde gesendet wird, ist die Aussteller-URL ein Mandantenendpunkt (zum Beispiel https://login.microsoftonline.com/<tenant ID>/). Für alle neuen Verbunde wird empfohlen, dass alle unsere Partner die Zielgruppe des SAML- oder WS-Fed-basierten IdP auf einen mandantenbasierten Endpunkt festlegen. Alle vorhandenen Partnerverbunde, die mit dem globalen Endpunkt konfiguriert sind (z. B. urn:federation:MicrosoftOnline), funktionieren weiterhin, aber neue Partnerverbunde funktionieren nicht mehr, wenn Ihr externer IdP eine globale Aussteller-URL in der SAML-Anforderung erwartet, die von Microsoft Entra ID gesendet wird.
Issuer (Aussteller) Der Aussteller-URI des Partneridentitätsanbieters, z. B. http://www.example.com/exk10l6w90DHM0yi...

Tabelle 4: Erforderliche Ansprüche für das vom IdP ausgestellte WS-Fed-Token.

attribute Wert
ImmutableID http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
emailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Schritt 3: Konfigurieren des SAML/WS-Fed IdP-Verbunds in Microsoft Entra External ID

Konfigurieren Sie als Nächstes den Verbund mit dem in Schritt 1 konfigurierten IdP in Microsoft Entra External ID. Sie können entweder das Microsoft Entra Admin Center oder die Microsoft Graph-API verwenden. Es kann 5–10 Minuten dauern, bis die Verbundrichtlinie wirksam wird. Versuchen Sie während dieser Zeit nicht, eine Einladung für die Verbunddomäne einzulösen. Die folgenden Attribute sind erforderlich:

  • Aussteller-URI des Partneridentitätsanbieters
  • Passiver Authentifizierungsendpunkt des Partneridentitätsanbieters (nur HTTPS wird unterstützt)
  • Zertifikat

So konfigurieren Sie einen Verbund im Microsoft Entra Admin Center

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für externe Identitätsanbieter an.

  2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Symbol Einstellungen im oberen Menü, und wechseln Sie über das Menü Verzeichnisse zu Ihrem Mandanten.

  3. Browsen Sie zu Identität>External Identities>Alle Identitätsanbieter.

  4. Wählen Sie die Registerkarte Benutzerdefiniert und dann Neue hinzufügen>SAML/WS-Fed aus.

    Screenshot der Schaltfläche zum Hinzufügen eines neuen SAML- oder WS-Verbund-Identitätsanbieters.

  5. Geben Sie auf der Seite Neuer SAML/WS-Fed-Identitätsanbieter Folgendes ein:

    • Anzeigename: Geben Sie einen Namen ein, der Ihnen beim Identifizieren des Partneridentitätsanbieters hilft.
    • Identitätsanbieterprotokoll: Wählen Sie SAML oder WS-Fed aus.
    • Domänenname des Verbundidentätsanbieters: Geben Sie den Namen der Zieldomäne des Partneridentitätsanbieters für den Verbund ein. Geben Sie während dieser anfänglichen Konfiguration nur einen Domänennamen ein. Sie können später weitere Domänen hinzufügen.

    Screenshot der neuen SAML- oder WS-Fed IdP-Seite.

  6. Auswählen einer Methode zum Auffüllen von Metadaten. Sie können die Felder automatisch auffüllen, wenn Sie über eine Datei verfügen, die die Metadaten enthält. Wählen Sie dazu Metadatendatei analysieren aus, und suchen Sie nach der Datei. Alternativ können Sie Metadaten manuell einzugeben wählen und die folgenden Informationen eingeben:

    • Der Aussteller-URI des SAML-IdP des Partners oder die Entitäts-ID des WS-Fed-IdP des Partners.
    • Der Passive Authentifizierungsendpunkt des SAML-IdP des Partners oder der Passive Anfordererendpunkt des WS-Fed IdP des Partners.
    • Zertifikat: Die ID des Signaturzertifikats.
    • Metadaten-URL: Der Speicherort der Metadaten des Identitätsanbieters für die automatische Verlängerung des Signaturzertifikats.

    Screenshot: Metadatenfelder.

    Hinweis

    Metadaten-URL ist optional. Es wird jedoch dringend empfohlen. Wenn Sie die Metadaten-URL angeben, kann Microsoft Entra ID das Signaturzertifikat automatisch verlängern, wenn es abläuft. Wenn das Zertifikat aus irgendeinem Grund vor der Ablaufzeit gedreht wird oder Wenn Sie keine Metadaten-URL angeben, kann die Microsoft Entra-ID sie nicht verlängern. In diesem Fall müssen Sie das Signaturzertifikat manuell aktualisieren.

  7. Wählen Sie Speichern aus. Der Identitätsanbieter wird der Liste der SAML/WS-Fed-Identitätsanbieter hinzugefügt.

    Screenshot: Liste der SAML/WS-Fed-Identitätsanbieter mit dem neuen Eintrag.

  8. (Optional) So fügen Sie diesem Verbundidentitätsanbieter weitere Domänennamen hinzu:

    1. Wählen Sie den Link in der Spalte Domänen aus.

      Screenshot: Link zum Hinzufügen von Domänen zum SAML/WS-Fed-Identitätsanbieter.

    2. Geben Sie neben dem Domänennamen des Identitätsanbieters für Verbund den Domänennamen ein, und wählen Sie dann Hinzufügen aus. Wiederholen Sie diesen Schritt für jede Domäne, die Sie hinzufügen möchten. Klicken Sie auf Fertig, wenn Sie fertig sind.

      Screenshot der Schaltfläche „Hinzufügen“im Bereich „Domänendetails“.

So konfigurieren Sie den Verbund mit der Microsoft Graph-API

Sie können den Microsoft Graph-API-Ressourcentyp samlOrWsFedExternalDomainFederation verwenden, um einen Verbund mit einem Identitätsanbieter einzurichten, der entweder das SAML- oder WS-Fed-Protokoll unterstützt.

Konfigurieren der Einlösungsreihenfolge (B2B Collaboration in Mitarbeitermandanten)

Wenn Sie den Verbund in Ihrem Mitarbeitermandanten für B2B Collaboration mit einer überprüften Domäne konfigurieren, stellen Sie sicher, dass der Partneridentitätsanbieter zunächst beim Einlösen der Einladung verwendet wird. Konfigurieren Sie die Einstellungen für die Einlösereihenfolge in Ihren mandantenübergreifenden Zugriffseinstellungen für den eingehenden B2B Collaboration-Datenverkehr. Verschieben Sie SAML/WS-Fed-Identitätsanbieter an den Anfang der Liste der primären Identitätsanbieter, um die Einlösung mit dem Partner-IDP zu priorisieren. Für die B2B-Zusammenarbeit mit einer überprüften Domäne machen Sie den Verbund-IDP zum primären Identitätsanbieter für die Einladungseinlösung. über weitere Identitätsanbieter beim Einlösen der Einladung.

Sie können das Partnerverbundsetup testen, indem Sie einen neuen B2B-Gastbenutzer einladen. Weitere Informationen finden Sie unter Benutzer*innen für die Microsoft Entra B2B-Zusammenarbeit im Microsoft Entra Admin Center hinzufügen.

Hinweis

Die Microsoft Entra Admin Center-Einstellungen für das konfigurierbare Einlösungsfeature werden derzeit für Kunden bereitgestellt. Bis die Einstellungen im Admin Center verfügbar sind, können Sie die Bereitstellung für das Einlösen der Einladung mithilfe der REST-API von Microsoft Graph (Betaversion) konfigurieren. Siehe Beispiel 2: Aktualisieren der standardmäßigen Konfiguration für das Einlösen der Einladung in der Microsoft Graph-Referenzdokumentation.

Wie kann ich die Zertifikats- oder Konfigurationsdetails aktualisieren?

Auf der Seite "Alle Identitätsanbieter" können Sie die Liste der konfigurierten SAML/WS-Fed Identitätsanbieter und deren Ablaufdaten anzeigen. In dieser Liste können Sie Zertifikate verlängern und andere Konfigurationsdetails ändern.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für externe Identitätsanbieter an.

  2. Browsen Sie zu Identität>External Identities>Alle Identitätsanbieter.

  3. Wählen Sie die Registerkarte Benutzerdefiniert aus.

  4. Scrollen Sie zu einem Identitätsanbieter in der Liste, oder verwenden Sie das Suchfeld.

  5. So aktualisieren Sie die Zertifikats- oder Konfigurationsdetails

    • Wählen Sie in der Spalte Konfiguration für den Identitätsanbieter den Link Bearbeiten aus.
    • Ändern Sie auf der Konfigurationsseite nach Bedarf die folgenden Details:
      • Anzeigename: Anzeigename für die Organisation des Partners.
      • Identitätsanbieterprotokoll: Wählen Sie SAML oder WS-Fed aus.
      • Passiver Authentifizierungsendpunkt: Der passive Anforderungsendpunkt des Partneridentitätsanbieters.
      • Zertifikat: Die ID des Signaturzertifikats. Um das Zertifikat zu verlängern, geben Sie eine neue Zertifikat-ID ein.
      • Metadaten-URL: Die URL, die die Metadaten des Partners enthält, die zur automatischen Verlängerung des Signaturzertifikats verwendet werden.
    • Wählen Sie Speichern aus.

    Screenshot der IDP-Konfigurationsdetails.

  6. Um die Domänen zu bearbeiten, die dem Partner zugeordnet sind, wählen Sie den Link in der Spalte Domänen aus. Im Bereich „Domänendetails“:

    • Um eine Domäne hinzuzufügen, geben Sie den Domänennamen neben dem Domänennamen des Identitätsanbieters für Verbund ein, und wählen Sie dann Hinzufügen aus. Wiederholen Sie diesen Schritt für jede Domäne, die Sie hinzufügen möchten.
    • Um eine Domäne zu löschen, wählen Sie das Symbol „Löschen“ neben der Domäne aus.
    • Klicken Sie auf Fertig, wenn Sie fertig sind.

    Screenshot: Domänenkonfigurationsseite.

    Hinweis

    Um den Partnerverbund zu entfernen, löschen Sie zuerst alle Domänen mit Ausnahme eines, und führen Sie dann die Schritte im nächsten Abschnittaus.

Gewusst wie – einen Verbund entfernen

Sie können Ihre Verbundkonfiguration entfernen. Wenn Sie dies tun, können sich Partnerverbund-Gastbenutzer, die ihre Einladungen bereits eingelöst haben, nicht mehr anmelden. Sie können ihnen jedoch den Zugriff auf ihre Ressourcen zurückgeben, indem Sie ihren Einlösungsstatus zurücksetzen. So entfernen Sie eine Konfiguration für einen IdP im Microsoft Entra Admin Center:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für externe Identitätsanbieter an.

  2. Browsen Sie zu Identität>External Identities>Alle Identitätsanbieter.

  3. Wählen Sie die Registerkarte Benutzerdefinierte aus und scrollen Sie in der Liste zu dem Identitätsanbieter, oder verwenden Sie das Suchfeld.

  4. Wählen Sie den Link in der Spalte Domänen aus, um die Domänendetails des Identitätsanbieters anzuzeigen.

  5. Löschen Sie alle Domänen bis auf eine in der Liste Domänennamen.

  6. Wählen Sie Konfiguration löschen und dann Fertig aus.

    Screenshot des Löschens einer Konfiguration.

  7. Wählen Sie OK aus, um den Löschvorgang zu bestätigen.

Sie können den Verbund auch mithilfe des Microsoft Graph-API-Ressourcentyps samlOrWsFedExternalDomainFederation-Ressourcentyps entfernen.

Nächste Schritte

Erfahren Sie mehr über die Umgebung zum Einlösen von Einladungen, wenn sich externe Benutzer mit verschiedenen Identitätsanbietern anmelden.