Federación con proveedores de identidades SAML o WS-Fed
Se aplica a:
inquilinos de personal inquilinos externos (más información)
El inquilino de Microsoft Entra se puede federar directamente con organizaciones externas que usan un proveedor de identidades (IdP) de SAML o WS-Fed. Los usuarios de la organización externa pueden usar su cuenta administrada por IdP para iniciar sesión en el inquilino, sin tener que crear nuevas credenciales de Microsoft Entra. Para los usuarios recién invitados, la federación de IdP SAML/WS-Fed tiene prioridad como método principal de inicio de sesión. El usuario se redirige a su IdP al registrarse o iniciar sesión en la aplicación y, a continuación, se devuelve a Microsoft Entra una vez que inicie sesión correctamente.
Puede asociar varios dominios a una única configuración de federación. El dominio del asociado puede estar verificado o no verificado en Microsoft Entra.
La configuración de la federación de IdP de SAML /WS-Fed requiere ajustes tanto en su cliente como en el IdP de la organización externa. En algunos casos, el asociado debe actualizar sus registros de texto DNS. También deben actualizar su IdP con las reclamaciones necesarias y las confianzas de la parte dependiente.
Nota:
Esta característica se encuentra actualmente en versión preliminar para inquilinos externos y está disponible con carácter general para los inquilinos de recursos de trabajo.
¿Cuándo se autentica un usuario con federación de IdP SAML/WS-Fed?
Después de configurar la federación, la experiencia de inicio de sesión para el usuario externo depende de la configuración de inicio de sesión y de si el dominio del asociado es Microsoft Entra comprobado.
Federación con dominios comprobados y no comprobados
Puede configurar la federación SAML/WS-Fed de IdP con:
- dominios no comprobados: estos dominios no están comprobados por DNS en el identificador de Entra de Microsoft. En el caso de los dominios no comprobados, los usuarios de la organización externa se autentican mediante el SAML federado/WS-Fed IdP.
- Dominios verificados de Microsoft Entra ID: estos dominios han sido verificados dentro de Microsoft Entra ID, incluidos los dominios donde el inquilino del servicio se ha sometido a una toma de control administrativo. En el caso de los dominios comprobados, Microsoft Entra ID es el proveedor de identidades principal que se usa durante el canje de invitación. Para la colaboración B2B en un inquilino del personal, puede cambiar el orden de canje para que el IdP federado sea el método principal.
Nota:
Actualmente, la configuración de órdenes de canje no se admite en clientes externos ni a través de diferentes nubes.
Federación con arrendatarios no administrados (verificados por correo electrónico)
Puede configurar la federación con un proveedor de identidades SAML o WS-Fed con dominios que no verificados por DNS en Microsoft Entra ID, incluidos los inquilinos no administrados (verificados por correo electrónico o "virales") de Microsoft Entra. Estos inquilinos se crean cuando un usuario canjea una invitación B2B o lleva a cabo un registro de autoservicio en Microsoft Entra ID usando un dominio que no existe actualmente.
Cómo afecta la federación a los usuarios externos actuales
La configuración de la federación no cambia el método de autenticación para los usuarios que ya han canjeado una invitación. Por ejemplo:
- Los usuarios que canjean invitaciones antes de la configuración de federación continúan usando su método de autenticación original. Por ejemplo, los usuarios que canjean invitaciones con autenticación de código de acceso de un solo uso antes de configurar la federación siguen usando códigos de acceso de un solo uso.
- Los usuarios que canjean invitaciones con el IdP federado siguen usando ese método, aunque su organización se mueva más adelante a Microsoft Entra.
- Si se elimina la federación, se impide que los usuarios que usen SAML/WS-Fed IdP inicien sesión.
No es necesario enviar nuevas invitaciones a los usuarios existentes porque siguen usando su método de inicio de sesión actual. Pero para la colaboración B2B en un inquilino de recursos, puede restablecer el estado de canje de un usuario. La próxima vez que el usuario acceda a la aplicación, repite los pasos de canje y cambia a la federación. Actualmente, la configuración de órdenes de canje no se admite en clientes externos ni a través de diferentes nubes.
Puntos de conexión de inicio de sesión en inquilinos de recursos de trabajo
Cuando la federación se configura en tu entorno de trabajo, los usuarios de la organización federada pueden iniciar sesión en tus aplicaciones multiinquilino o aplicaciones propias de Microsoft mediante un punto de conexión común (es decir, una dirección URL general de la aplicación que no incluya el contexto de tu entorno de trabajo). Durante el proceso de inicio de sesión, el usuario elige opciones de inicio de sesióny, a continuación, selecciona Iniciar sesión en una organización. Escriben el nombre de la organización y continúan iniciando sesión con sus propias credenciales.
Los usuarios de la federación con un proveedor de identidades SAML o WS-Fed también pueden usar puntos de conexión de la aplicación que incluyan la información del inquilino; por ejemplo:
https://myapps.microsoft.com/?tenantid=<your tenant ID>https://myapps.microsoft.com/<your verified domain>.onmicrosoft.comhttps://portal.azure.com/<your tenant ID>
También puede proporcionar a los usuarios un vínculo directo a una aplicación o recurso mediante la inclusión de la información del inquilino, por ejemplo, https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>.
Consideraciones para configurar la federación
La configuración de la federación implica configurar el inquilino de Microsoft Entra y el IdP de la organización externa.
Requisitos de IdP de asociados
Según el proveedor de identidades del asociado, es posible que este tenga que actualizar sus registros DNS para habilitarle la federación. Consulte Paso 1: Determinación de si el asociado necesita actualizar sus registros de texto DNS.
La URL del emisor en la solicitud SAML enviada por Microsoft Entra ID para las federaciones externas ahora es un punto de conexión con arrendamiento, mientras que anteriormente era un punto de conexión global. Las federaciones existentes con el punto de conexión global siguen funcionando. Pero para las nuevas federaciones, establezca la audiencia del IDP externo de SAML o WS-Fed en un punto de conexión inquilino. Consulte la sección SAML 2.0 y la sección WS-Fed para ver los atributos y reclamaciones necesarios.
Expiración del certificado de firma
Si especifica la dirección URL de metadatos en la configuración del proveedor de identidades, Microsoft Entra ID renueva automáticamente el certificado de firma cuando expira. Sin embargo, si el certificado rota por cualquier razón antes de expirar o si no proporciona una dirección URL de metadatos, Microsoft Entra ID no puede renovarlo. En este caso, deberá actualizar manualmente el certificado de firma.
Expiración de la sesión
Si la sesión de Microsoft Entra expira o deja de ser válida y el IdP federado tiene habilitado el inicio de sesión único, el usuario experimenta el inicio de sesión único. Si la sesión del usuario federado es válida, no se le pedirá que vuelva a iniciar sesión. De lo contrario, el usuario se redirige a su IdP para el inicio de sesión.
Otras consideraciones
A continuación se indican otras consideraciones al federar con un proveedor de identidades SAML/WS-Fed.
La federación no resuelve los problemas de inicio de sesión causados por un inquilino parcialmente sincronizado, donde las identidades de usuario locales de un asociado no se sincronizan completamente con Microsoft Entra en la nube. Estos usuarios no pueden iniciar sesión con una invitación B2B, por lo que deben usar en su lugar la función de código de acceso de un solo uso por correo electrónico . La característica de federación de IDP de SAML/WS-Fed es para asociados con sus propias cuentas organizativas administradas por IdP, pero no hay presencia de Microsoft Entra.
La federación no reemplaza la necesidad de cuentas de invitado B2B en el directorio. Con la colaboración B2B, se crea una cuenta de invitado para el usuario en el directorio de inquilinos del personal, independientemente de la autenticación o el método de federación usado. Este objeto de usuario permite conceder acceso a las aplicaciones, asignar roles y definir la pertenencia a grupos de seguridad.
Actualmente, la federación con SAML o WS-Fed para Microsoft Entra no admite el envío de un token de autenticación firmado al proveedor de identidades SAML.
Configuración de la federación de IdP de SAML/WS-Fed
Paso 1: Determinación de si el asociado necesita actualizar sus registros de texto DNS
Siga estos pasos para determinar si el asociado necesita actualizar sus registros DNS para habilitar la federación con usted.
Compruebe la dirección URL de autenticación pasiva del IdP del asociado para ver si el dominio coincide con el dominio de destino o un host dentro del dominio de destino. Es decir, al configurar la federación para
fabrikam.com:- Si el punto de conexión de autenticación pasiva es
https://fabrikam.comohttps://sts.fabrikam.com/adfs(un host del mismo dominio), no se necesita ningún cambio de DNS. - Si el punto de conexión de autenticación pasiva es
https://fabrikamconglomerate.com/adfsohttps://fabrikam.co.uk/adfs, el dominio no coincide con el dominio fabrikam.com, por lo que el asociado tiene que agregar un registro de texto para la dirección URL de autenticación a su configuración DNS.
- Si el punto de conexión de autenticación pasiva es
Si se necesitan cambios de DNS en función del paso anterior, pida al asociado que agregue un registro TXT a los registros DNS de su dominio, como en el ejemplo siguiente:
fabrikam.com. IN TXT DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs
Paso 2: Configuración del proveedor de identidades de la organización asociada
A continuación, la organización asociada debe configurar su proveedor de identidades con las notificaciones necesarias y las confianzas de los usuarios de confianza.
Nota:
Para ilustrar cómo configurar un IDP de SAML oWS-Fed para la federación, usamos los Servicios de federación de Active Directory (AD FS) como ejemplo. Consulte el artículo Configuración de la federación con un proveedor de identidades SAML o WS-Fed con AD FS, que ofrece ejemplos de cómo configurar AD FS como un proveedor de identidades de SAML 2.0 o WS-Fed en preparación para la federación.
Configuración de SAML 2.0
Microsoft Entra B2B se puede configurar para la federación con proveedores de identidades que usan el protocolo SAML con los requisitos específicos que se indican en esta sección. Para obtener más información sobre cómo configurar una confianza entre su proveedor de identidades SAML y Microsoft Entra ID, consulte Uso de un proveedor de identidades (IdP) de SAML 2.0 para el inicio de sesión único.
Nota:
Ahora puede configurar la federación de IdP de SAML/WS-Fed con otros dominios comprobados de Microsoft Entra ID. Más información
Atributos y notificaciones de SAML 2.0 necesarios
En las tablas siguientes se muestran los requisitos de los atributos y las notificaciones específicos que se deben configurar en el proveedor de identidades de terceros. Para configurar la federación, se deben recibir los siguientes atributos en la respuesta de SAML 2.0 del proveedor de identidades. Estos atributos se pueden configurar mediante la vinculación con el archivo XML del servicio de token de seguridad en línea o la introducción manual.
Nota:
Asegúrese de que el valor coincide con la nube para la que está configurando la federación externa.
Tabla 1. Atributos necesarios para la respuesta SAML 2.0 del IdP.
| Atributo | Value |
|---|---|
| AssertionConsumerService | https://login.microsoftonline.com/login.srf |
| Público | https://login.microsoftonline.com/<tenant ID>/ (Recomendado) Reemplace <tenant ID> por el identificador del inquilino de Microsoft Entra con el que va a configurar la federación.En la solicitud SAML enviada por Microsoft Entra ID para las federaciones externas, la dirección URL del emisor es un punto de conexión con inquilinos (por ejemplo, https://login.microsoftonline.com/<tenant ID>/). En el caso de las nuevas federaciones, se recomienda que todos nuestros asociados establezcan la audiencia de IdP basado en SAML o WS-Fed en un punto de conexión con inquilinos. Cualquier federación existente configurada con el punto de conexión global (por ejemplo, urn:federation:MicrosoftOnline) sigue funcionando, pero las nuevas federaciones dejan de funcionar si el IdP externo espera una URL del emisor global en la solicitud SAML enviada por Microsoft Entra ID. |
| Emisor | El URI del emisor del IdP del asociado, por ejemplo http://www.example.com/exk10l6w90DHM0yi.... |
Tabla 2. Declaraciones necesarias para el token SAML 2.0 emitido por el IdP.
| Nombre del atributo | Value |
|---|---|
| Formato de NameID | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
emailaddress |
Configuración de WS-Fed
Microsoft Entra B2B se puede configurar para que funcione con proveedores de identidades que usan el protocolo WS-Fed. En esta sección se describen los requisitos. Actualmente, los dos proveedores de WS-Fed que se han probado para la compatibilidad con el id. de Microsoft Entra son AD FS y Shibboleth. Para obtener más información sobre cómo establecer la relación de confianza para un usuario autenticado entre un proveedor compatible con WS-Fed y Microsoft Entra ID, consulte el documento "STS Integration Paper using WS Protocols" (Documento de integración con STS mediante protocolos WS), que está disponible en la documentación sobre compatibilidad de Microsoft Entra con proveedores de identidades.
Nota:
Ahora puede configurar la federación de IdP de SAML/WS-Fed con otros dominios comprobados de Microsoft Entra ID. Más información
Atributos y notificaciones de WS-Fed necesarios
En las tablas siguientes se muestran los requisitos de los atributos y las notificaciones específicos que se deben configurar en el proveedor de identidades de terceros que usa WS-Fed. Para configurar la federación, se deben recibir los siguientes atributos en el mensaje de WS-Fed del proveedor de identidades. Estos atributos se pueden configurar mediante la vinculación con el archivo XML del servicio de token de seguridad en línea o la introducción manual.
Nota:
Asegúrese de que el valor coincide con la nube para la que está configurando la federación externa.
Tabla 3. Atributos necesarios en el mensaje WS-Fed del IdP.
| Atributo | Value |
|---|---|
| PassiveRequestorEndpoint | https://login.microsoftonline.com/login.srf |
| Público | https://login.microsoftonline.com/<tenant ID>/ (Recomendado) Reemplace <tenant ID> por el identificador del inquilino de Microsoft Entra con el que va a configurar la federación.En la solicitud SAML enviada por Microsoft Entra ID para las federaciones externas, la dirección URL del emisor es un punto de conexión con inquilinos (por ejemplo, https://login.microsoftonline.com/<tenant ID>/). En el caso de las nuevas federaciones, se recomienda que todos nuestros asociados establezcan la audiencia de IdP basado en SAML o WS-Fed en un punto de conexión con inquilinos. Las federaciones existentes configuradas con el extremo global (por ejemplo, urn:federation:MicrosoftOnline) continúan operando, pero las nuevas federaciones dejan de operar si el IdP externo espera una dirección URL del emisor global en la solicitud SAML enviada por Microsoft Entra ID. |
| Emisor | El URI del emisor del IdP del asociado, por ejemplo http://www.example.com/exk10l6w90DHM0yi.... |
Tabla 4. Las notificaciones necesarias para el token de WS-Fed emitido por el proveedor de identidades.
| Atributo | Value |
|---|---|
| ImmutableID | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
| emailaddress | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Paso 3: Configurar la federación de IdP SAML/WS-Fed en Microsoft Entra External ID
A continuación, configure la federación con el IdP configurado en el paso 1 en Microsoft Entra External ID. You puede utilizar el centro de administración de Microsoft Entra o la API Microsoft Graph. Pueden pasar de 5 a 10 minutos antes de que la directiva de la federación entre en vigor. Durante este tiempo, no intente canjear una invitación por el dominio de la federación. Los atributos siguientes son necesarios:
- URI del emisor del IdP del asociado
- Punto de conexión de la autenticación pasiva del proveedor de identidades del asociado (solo se admite https)
- Certificate
Para configurar la federación en el centro de administración de Microsoft Entra
Inicie sesión en el centro de administración de Microsoft Entra como Administrador del proveedor de identidades externo como mínimo.
Si tiene acceso a varios arrendatarios, use el icono
de Configuración en el menú superior y cambie al inquilino desde el menú de Directorios.Vaya a Identidad>External Identities>Todos los proveedores de identidades.
Seleccione la pestaña Personalizado y, a continuación, seleccione Agregar>SAML/WS-Fed.
En la página Nuevo IdP de SAML/WS-Fed, escriba lo siguiente:
- Nombre para mostrar: escriba un nombre para ayudarle a identificar el IdP del asociado.
- Protocolo del proveedor de identidades: seleccione SAML o WS-Fed.
- Nombre de dominio del IdP de federación: escriba el nombre de dominio de destino del IdP del asociado para la federación. Durante esta configuración inicial, escriba solo un nombre de dominio. Puede agregar más dominios más tarde.
Seleccione un método para rellenar los metadatos. Si tiene un archivo que contiene los metadatos, puede rellenar automáticamente los campos seleccionando Analizar el archivo de metadatos y navegando hasta el archivo. O bien, puede seleccionar Introducir metadatos manualmente y escribir la siguiente información:
- El Identificador URI del emisor del IdP de SAML del asociado o el Id. de entidad del IdP de WS-Fed del asociado.
- El Punto de conexión de autenticación pasiva del IdP de SAML del asociado o el Punto de conexión del solicitante pasivo del IdP de WS-Fed del asociado.
- Certificado: identificador de certificado de firma.
- Dirección URL de metadatos: la ubicación de los metadatos del IdP para la renovación automática del certificado de firma.
Nota:
La dirección URL de metadatos es opcional. Sin embargo, se recomienda encarecidamente. Si proporciona la dirección URL de metadatos, Microsoft Entra ID puede renovar automáticamente el certificado de firma cuando expire. Si el certificado rota por cualquier razón antes de expirar o si no proporciona una dirección URL de metadatos, Microsoft Entra ID no puede renovarlo. En este caso, deberá actualizar manualmente el certificado de firma.
Seleccione Guardar. El proveedor de identidades se agrega a la lista de proveedores de identidades de SAML/WS-Fed.
(Opcional) Para agregar más nombres de dominio a este proveedor de identidades de federación:
Seleccione el vínculo en la columna Dominios.
Junto a Nombre de dominio del IdP de federación, escriba el nombre de dominio y, a continuación, seleccione Agregar. Repita para cada dominio que quiera agregar. Cuando haya finalizado, seleccione Listo.
Para configurar la federación mediante Microsoft Graph API
Puede usar el tipo de recurso samlOrWsFedExternalDomainFederation de Microsoft Graph API para configurar la federación con un proveedor de identidades que admita el protocolo SAML o WS-Fed.
Configuración del orden de canje (colaboración B2B en inquilinos de recursos de trabajo)
Si va a configurar la federación en el inquilino del personal para la colaboración B2B con un dominio comprobado, asegúrese de que el IdP federado se usa primero durante el canje de invitación. Configure el orden de canje en la configuración de acceso entre inquilinos para la colaboración B2B entrante. Mueva proveedores de identidades SAML/WS-Fed a la parte superior de la lista de proveedores de identidades principales de para priorizar el canje con el IdP federado. Para la colaboración B2B con un dominio comprobado, haga del IdP federado el proveedor de identidades principal para la aceptación de invitaciones. sobre otros proveedores de identidad durante el canje de invitación.
Puede probar la configuración de federación invitando a un nuevo usuario invitado B2B. Para obtener más información, consulte Agregar usuarios de colaboración B2B de Microsoft Entra en el Centro de administración de Microsoft Entra.
Nota:
Los valores del centro de administración de Microsoft Entra para la característica de canje configurable se está implementando actualmente para los clientes. Hasta que la configuración esté disponible en el Centro de administración, puede configurar el pedido de canje de invitación mediante la API rest de Microsoft Graph (versión beta). Consulte ejemplo 2: Actualizar la configuración de canje de invitación predeterminada en la documentación de referencia de Microsoft Graph.
¿Cómo actualizo los detalles del certificado o la configuración?
En la página Todos los proveedores de identidades, puede ver la lista de proveedores de identidades de SAML/WS-Fed configurados y sus fechas de expiración del certificado. En esta lista, puede renovar certificados y modificar otros detalles de la configuración.
Inicie sesión en el centro de administración de Microsoft Entra como Administrador del proveedor de identidades externo como mínimo.
Vaya a Identidad>External Identities>Todos los proveedores de identidades.
Seleccione la pestaña Personalizado.
Desplácese hasta un proveedor de identidades en la lista o use el cuadro de búsqueda.
Para actualizar el certificado o modificar detalles de la configuración:
- En la columna Configuración del proveedor de identidades, seleccione el vínculo Editar.
- En la página de configuración, modifique cualquiera de los detalles siguientes:
- Nombre para mostrar: nombre para mostrar de la organización del asociado.
- Protocolo del proveedor de identidades: seleccione SAML o WS-Fed.
- Punto de conexión de autenticación pasiva: el punto de conexión del solicitante pasivo del IdP del asociado.
- Certificado: el identificador del certificado de firma. Para renovarlo, escriba un nuevo identificador de certificado.
- Dirección URL de metadatos: la dirección URL que contiene los metadatos del asociado, que se usa para la renovación automática del certificado de firma.
- Seleccione Guardar.
Para editar los dominios vinculados al asociado, seleccione el vínculo de la columna Dominios. En el panel de detalles del dominio:
- Para agregar un dominio, escriba el nombre de dominio junto a Nombre de dominio del IdP de federación y, a continuación, seleccione Agregar. Repita para cada dominio que quiera agregar.
- Para eliminar un dominio, seleccione el icono para eliminar situado junto al dominio.
- Cuando haya finalizado, seleccione Listo.
Nota:
Para quitar la federación con un asociado, elimine primero todos los dominios excepto uno y, a continuación, siga los pasos de la sección siguiente.
¿Cómo se elimina la federación?
Puede eliminar la configuración de la federación. Si lo hace, los usuarios invitados de federación que ya canjearon sus invitaciones no podrán iniciar sesión. Sin embargo, puede concederles acceso de nuevo a sus recursos al restablecer el estado de canje. Para quitar una configuración de un IdP en el Centro de administración de Microsoft Entra:
Inicie sesión en el centro de administración de Microsoft Entra como Administrador del proveedor de identidades externo como mínimo.
Vaya a Identidad>External Identities>Todos los proveedores de identidades.
Seleccione la pestaña Personalizado y desplácese hasta el proveedor de identidades de la lista o use el cuadro de búsqueda.
Seleccione el vínculo de la columna Dominios para ver los detalles del dominio del IdP.
Elimine todos los dominios menos uno de la lista Nombre de dominio.
Seleccione Eliminar configuración y, a continuación, seleccione Listo.
Seleccione Aceptar para confirmar la eliminación.
También puede eliminar la federación mediante el tipo de recurso samlOrWsFedExternalDomainFederation de Microsoft Graph API.
Pasos siguientes
Obtenga más información sobre la experiencia de canje de invitación cuando los usuarios externos inician sesión con varios proveedores de identidades.