Freigeben über

Erstellen von internalDomainFederation

  • Artikel

Namespace: microsoft.graph

Wichtig

Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.

Erstellen Sie ein neues internalDomainFederation-Objekt .

Diese API ist in den folgenden nationalen Cloudbereitstellungen verfügbar.

Weltweiter Service US Government L4 US Government L5 (DOD) China, betrieben von 21Vianet

Berechtigungen

Wählen Sie die Berechtigungen aus, die für diese API als am wenigsten privilegiert markiert sind. Verwenden Sie eine höhere Berechtigung oder Berechtigungen nur, wenn Ihre App dies erfordert. Ausführliche Informationen zu delegierten Berechtigungen und Anwendungsberechtigungen finden Sie unter Berechtigungstypen. Weitere Informationen zu diesen Berechtigungen finden Sie in der Berechtigungsreferenz.

Berechtigungstyp Berechtigungen mit den geringsten Berechtigungen Berechtigungen mit höheren Berechtigungen
Delegiert (Geschäfts-, Schul- oder Unikonto) Domain.ReadWrite.All Nicht verfügbar.
Delegiert (persönliches Microsoft-Konto) Nicht unterstützt Nicht unterstützt
Anwendung Domain.ReadWrite.All Nicht verfügbar.

Wichtig

Diese Methode weist ein bekanntes Berechtigungsproblem auf und erfordert möglicherweise die Zustimmung zur Berechtigung Directory.AccessAsUser.All für delegierte Szenarien.

Wichtig

In delegierten Szenarien mit Geschäfts-, Schul- oder Unikonten muss dem angemeldeten Benutzer eine unterstützte Microsoft Entra Rolle oder eine benutzerdefinierte Rolle mit einer unterstützten Rollenberechtigung zugewiesen werden. Die folgenden Rollen mit den geringsten Berechtigungen werden für diesen Vorgang unterstützt.

  • Domänennamenadministrator
  • Administrator für externe Identitätsanbieter
  • Hybrididentitätsadministrator
  • Sicherheitsadministrator

HTTP-Anforderung

POST /domains/{domainsId}/federationConfiguration

Anforderungsheader

Name Beschreibung
Authorization Bearer {token}. Erforderlich. Erfahren Sie mehr über Authentifizierung und Autorisierung.
Content-Type application/json. Erforderlich.

Anforderungstext

Geben Sie im Anforderungstext eine JSON-Darstellung des internalDomainFederation-Objekts an .

Sie können die folgenden Eigenschaften angeben, wenn Sie eine internalDomainFederation erstellen.

Eigenschaft Typ Beschreibung
activeSignInUri String URL des Endpunkts, der von aktiven Clients bei der Authentifizierung mit Verbunddomänen verwendet wird, die für einmaliges Anmelden in Microsoft Entra ID eingerichtet sind. Entspricht der ActiveLogOnUri-Eigenschaft des PowerShell-Cmdlets Set-MsolDomainFederationSettings MSOnline v1.
displayName String Der Anzeigename des Verbundidentitätsanbieters.
federatedIdpMfaBehavior federatedIdpMfaBehavior Bestimmt, ob Microsoft Entra ID die MFA akzeptiert, die vom Verbund-IdP ausgeführt wird, wenn ein Verbundbenutzer auf eine Anwendung zugreift, die von einer Richtlinie für bedingten Zugriff gesteuert wird, die MFA erfordert. Mögliche Werte sind: acceptIfMfaDoneByFederatedIdp, enforceMfaByFederatedIdp, rejectMfaByFederatedIdp, unknownFutureValue. Weitere Informationen finden Sie unter federatedIdpMfaBehavior-Werte.
isSignedAuthenticationRequestRequired Boolesch Wenn true, wenn SAML-Authentifizierungsanforderungen an den SAML-Verbund-IDP gesendet werden, signiert Microsoft Entra ID diese Anforderungen mit dem OrgID-Signaturschlüssel. False (Standard) gibt an, dass die saml-Authentifizierungsanforderungen, die an den Verbund-IDP gesendet werden, nicht signiert werden.
issuerUri String Aussteller-URI des Verbundservers.
metadataExchangeUri String Der URI des Metadatenaustauschendpunkts, der für die Authentifizierung von Rich-Client-Anwendungen verwendet wird.
nextSigningCertificate String Fallbacktokensignaturzertifikat, das zum Signieren von Token verwendet wird, wenn das primäre Signaturzertifikat abläuft. Formatiert als Base64-codierte Zeichenfolgen des öffentlichen Teils des Tokensignaturzertifikats des Verbund-IdP. Muss mit der X509Certificate2-Klasse kompatibel sein. Ähnlich wie signingCertificate wird die nextSigningCertificate-Eigenschaft verwendet, wenn ein Rollover außerhalb des Automatischrollover-Updates erforderlich ist, ein neuer Verbunddienst eingerichtet wird oder wenn das neue Tokensignaturzertifikat nicht in den Verbundeigenschaften vorhanden ist, nachdem das Verbunddienstzertifikat aktualisiert wurde.
passiveSignInUri String URI, an den webbasierte Clients weitergeleitet werden, wenn sie sich bei Microsoft Entra-Diensten anmelden.
passwordResetUri String URI, an den Clients zum Zurücksetzen ihres Kennworts umgeleitet werden.
preferredAuthenticationProtocol authenticationProtocol Bevorzugtes Authentifizierungsprotokoll. Dieser Parameter muss explizit konfiguriert werden, damit der passive Verbundauthentifizierungsflow funktioniert. Die möglichen Werte sind: wsFed, saml, unknownFutureValue.
promptLoginBehavior promptLoginBehavior Legt das bevorzugte Verhalten für die Anmeldeaufforderung fest. Mögliche Werte sind: translateToFreshPasswordAuthentication, nativeSupport, disabled, unknownFutureValue.
signingCertificate String Aktuelles Zertifikat, das zum Signieren von Token verwendet wird, die an den Microsoft Identity Platform übergeben werden. Das Zertifikat ist als Base64-codierte Zeichenfolge des öffentlichen Teils des Tokensignaturzertifikats des Verbund-IdP formatiert und muss mit der X509Certificate2-Klasse kompatibel sein.
Diese Eigenschaft wird in den folgenden Szenarien verwendet:
  • Wenn ein Rollover außerhalb des Automatischrollover-Updates erforderlich ist
  • Ein neuer Verbunddienst wird eingerichtet.
  • Wenn das neue Tokensignaturzertifikat nicht in den Verbundeigenschaften vorhanden ist, nachdem das Verbunddienstzertifikat aktualisiert wurde.
    Microsoft Entra ID aktualisiert Zertifikate über einen Automatischrollover-Prozess, bei dem versucht wird, ein neues Zertifikat aus den Verbunddienstmetadaten abzurufen, 30 Tage vor Ablauf des aktuellen Zertifikats. Wenn kein neues Zertifikat verfügbar ist, überwacht Microsoft Entra ID die Metadaten täglich und aktualisiert die Verbundeinstellungen für die Domäne, wenn ein neues Zertifikat verfügbar ist.
    		•
    signOutUri String URI, an den Clients umgeleitet werden, wenn sie sich bei Microsoft Entra-Diensten abmelden. Entspricht der LogOffUri-Eigenschaft des PowerShell-Cmdlets Set-MsolDomainFederationSettings MSOnline v1.
    signingCertificateUpdateStatus signingCertificateUpdateStatus Stellt status und Zeitstempel der letzten Aktualisierung des Signaturzertifikats bereit.

    Hinweis

    Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zu Einstellungen. Nach diesem Datum beschränkt sich der Support für diese Module auf Unterstützung bei der Migration zum Microsoft Graph PowerShell SDK und auf Sicherheitskorrekturen. Die veralteten Module werden noch bis zum 30. März 2025 zur Verfügung stehen.

    Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Allgemeine Fragen zur Migration finden Sie in den Häufig gestellten Fragen zur Migration. Hinweis: Bei den Versionen 1.0.x von MSOnline kann es nach dem 30. Juni 2024 zu Unterbrechungen kommen.

    federatedIdpMfaBehavior-Werte

    Member Beschreibung
    acceptIfMfaDoneByFederatedIdp Microsoft Entra ID akzeptiert MFA, die vom Verbundidentitätsanbieter ausgeführt wird. Wenn der Verbundidentitätsanbieter keine MFA ausgeführt hat, führt Microsoft Entra ID die MFA aus.
    enforceMfaByFederatedIdp Microsoft Entra ID akzeptiert MFA, die vom Verbundidentitätsanbieter ausgeführt wird. Wenn der Verbundidentitätsanbieter keine MFA ausgeführt hat, leitet er die Anforderung an den Verbundidentitätsanbieter um, um MFA auszuführen.
    rejectMfaByFederatedIdp Microsoft Entra ID führt immer MFA durch und lehnt MFA ab, die vom Verbundidentitätsanbieter ausgeführt wird.

    Hinweis:federatedIdpMfaBehavior ist eine weiterentwickelte Version der SupportsMfa-Eigenschaft des PowerShell-Cmdlets Set-MsolDomainFederationSettings MSOnline v1.

    • Der Wechsel zwischen federatedIdpMfaBehavior und SupportsMfa wird nicht unterstützt.
    • Nachdem die eigenschaft federatedIdpMfaBehavior festgelegt wurde, ignoriert Microsoft Entra ID die Einstellung SupportsMfa.
    • Wenn die eigenschaft federatedIdpMfaBehavior nie festgelegt wird, berücksichtigt Microsoft Entra ID weiterhin die SupportsMfa-Einstellung.
    • Wenn weder federatedIdpMfaBehavior noch SupportsMfa festgelegt ist, Microsoft Entra ID standardmäßig auf acceptIfMfaDoneByFederatedIdp Verhalten festgelegt.

    Antwort

    Bei erfolgreicher Ausführung gibt die Methode den 201 Created Antwortcode und ein internalDomainFederation-Objekt im Antworttext zurück.

    Beispiele

    Anforderung

    POST https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration
Content-Type: application/json

{
  "@odata.type": "#microsoft.graph.internalDomainFederation",
  "displayName": "Contoso",
  "issuerUri": "http://contoso.com/adfs/services/trust",
  "metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
  "signingCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
  "passiveSignInUri": "https://sts.contoso.com/adfs/ls",
  "preferredAuthenticationProtocol": "wsFed",
  "activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
  "signOutUri": "https://sts.contoso.com/adfs/ls",
  "promptLoginBehavior": "nativeSupport",
  "isSignedAuthenticationRequestRequired": true,
  "nextSigningCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
  "federatedIdpMfaBehavior": "rejectMfaByFederatedIdp",
  "passwordResetUri": "https://sts.contoso.com/adfs/passwordReset"
}

    Antwort

    Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

    HTTP/1.1 201 Created
Content-Type: application/json

{
  "@odata.type": "#microsoft.graph.internalDomainFederation",
  "id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
   "displayName": "Contoso",
   "issuerUri": "http://contoso.com/adfs/services/trust",
   "metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
   "signingCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
   "passiveSignInUri": "https://sts.contoso.com/adfs/ls",
   "preferredAuthenticationProtocol": "wsFed",
   "activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
   "signOutUri": "https://sts.contoso.com/adfs/ls",
   "promptLoginBehavior": "nativeSupport",
   "isSignedAuthenticationRequestRequired": true,
   "nextSigningCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
   "signingCertificateUpdateStatus": {
        "certificateUpdateResult": "Success",
        "lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
    },
   "federatedIdpMfaBehavior": "rejectMfaByFederatedIdp",
   "passwordResetUri": "https://sts.contoso.com/adfs/passwordReset"
}