Fédération avec des fournisseurs d’identité SAML/WS-Fed
S’applique à :
Locataires de main-d’œuvre Locataires externes (en savoir plus)
Votre instance Microsoft Entra peut être directement fédérée avec des organisations externes qui utilisent un fournisseur d'identité SAML ou WS-Fed. Les utilisateurs de l’organisation externe peuvent ensuite utiliser leur compte géré par le fournisseur d’identité pour se connecter à votre locataire, sans avoir à créer de nouvelles informations d’identification Microsoft Entra. Pour les utilisateurs nouvellement invités, la fédération SAML/WS-Fed IdP est prioritaire en tant que méthode de connexion principale. L’utilisateur est redirigé vers son fournisseur d’identité lors de l’inscription ou de la connexion à votre application, puis est redirigé vers Microsoft Entra une fois connecté.
Vous pouvez associer plusieurs domaines à une configuration de fédération unique. Le domaine du partenaire peut être vérifié ou non vérifié par Microsoft Entra.
La configuration de SAML/WS-Fed fédération IdP nécessite la configuration à la fois dans votre tenant et dans le fournisseur d’identité de l’organisation externe. Dans certains cas, le partenaire doit mettre à jour ses enregistrements texte DNS. Ils doivent également mettre à jour leur fournisseur d’identité avec les revendications requises et les approbations de partie de confiance.
Remarque
Cette fonctionnalité est actuellement en préversion pour les locataires externes et est généralement disponible pour les locataires du personnel.
Quand un utilisateur est-il authentifié avec la fédération IdP de SAML/WS-Fed ?
Après avoir configuré la fédération, l’expérience de connexion pour l’utilisateur externe dépend des paramètres de connexion et de la vérification du domaine du partenaire par Microsoft Entra.
Fédération avec des domaines vérifiés et non vérifiés
Vous pouvez configurer la fédération SAML/WS-Fed IdP avec :
- domaines non vérifiés: ces domaines ne sont pas vérifiés par DNS dans l’ID Microsoft Entra. Pour les domaines non vérifiés, les utilisateurs de l'organisation externe sont authentifiés à l'aide de l'IdP SAML/WS-Fed fédéré.
- Domaines vérifiés dans Microsoft Entra ID: ces domaines ont été vérifiés dans Microsoft Entra ID, y compris les domaines où le client a subi une prise de contrôle par un administrateur . Pour les domaines vérifiés, Microsoft Entra ID est le fournisseur d’identité principal utilisé lors de l’échange d’invitation. Pour la collaboration B2B dans un tenant de l'entreprise, vous pouvez modifier l'ordre de rachat pour que le fournisseur d’identité fédéré soit la méthode principale.
Remarque
Actuellement, les paramètres d'ordre d’échange ne sont pas pris en charge dans les locataires externes ou entre les clouds.
Fédération avec des locataires dont le contrôle n'est pas assuré (avec vérification par e-mail)
Vous pouvez configurer la fédération SAML/WS-Fed avec des domaines qui ne sont pas vérifiés par le DNS dans Microsoft Entra ID, y compris les environnements Microsoft Entra non gérés (vérifiés par e-mail ou « viraux »). Ces locataires sont créés quand un utilisateur accepte une invitation B2B ou effectue une inscription en libre-service pour Microsoft Entra ID à l’aide d’un domaine qui n’existe pas actuellement.
Impact de la fédération sur les utilisateurs externes actuels
La configuration de la fédération ne modifie pas la méthode d’authentification pour les utilisateurs qui ont déjà échangé une invitation. Exemple :
- Les utilisateurs qui ont échangé des invitations avant la configuration de la fédération continuent à utiliser leur méthode d’authentification d’origine. Par exemple, les utilisateurs qui ont échangé des invitations avec l’authentification par code secret à usage unique avant de configurer la fédération continuent à utiliser des codes secrets à usage unique.
- Les utilisateurs qui ont échangé des invitations avec le fournisseur d’identité fédéré continuent à utiliser cette méthode, même si leur organisation passe ultérieurement à Microsoft Entra.
- Les utilisateurs utilisant actuellement le fournisseur d’identité SAML/WS-Fed ne peuvent pas se connecter si la fédération est supprimée.
Vous n’avez pas besoin d’envoyer de nouvelles invitations à des utilisateurs existants, car ils continuent à utiliser leur méthode de connexion actuelle. Mais pour la collaboration B2B dans un locataire organisationnel, vous pouvez réinitialiser l’état de rachat d’un utilisateur. La prochaine fois que l'utilisateur accède à votre application, il répète les étapes de validation et passe à l'utilisation de la fédération. Actuellement, les paramètres d'ordre de rachat ne sont pas pris en charge dans les locataires externes ou entre les différents cloud.
Points de terminaison de connexion dans les locataires d'entreprise
Lorsque la fédération est configurée dans votre client professionnel, les utilisateurs de l'organisation fédérée peuvent se connecter à vos applications multilocataires ou Microsoft à l'aide d'un point de terminaison commun (en d'autres termes, une URL d'application générale qui n'inclut pas votre contexte de client). Pendant le processus de connexion, l’utilisateur choisit options de connexion, puis sélectionne se connecter à une organisation. Ils tapent le nom de votre organisation et continuent à se connecter avec leurs propres informations d’identification.
Les utilisateurs de fédération SAML/WS-Fed IdP peuvent également utiliser des points de terminaison d’application qui incluent vos informations de locataire, par exemple :
https://myapps.microsoft.com/?tenantid=<your tenant ID>https://myapps.microsoft.com/<your verified domain>.onmicrosoft.comhttps://portal.azure.com/<your tenant ID>
Vous pouvez également donner aux utilisateurs un lien direct vers une application ou une ressource en incluant vos informations de locataire, par exemple https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>.
Considérations relatives à la configuration de la fédération
La configuration de la fédération implique la configuration de votre client Microsoft Entra et du fournisseur d’identité de l’organisation externe.
Exigences pour le fournisseur d'identité partenaire
En fonction de son fournisseur d’identité, le partenaire devra peut-être mettre à jour ses enregistrements DNS pour activer la fédération avec vous. Consultez étape 1 : déterminez si le partenaire doit mettre à jour ses enregistrements texte DNS.
L’URL de l’émetteur dans la requête SAML envoyée par Microsoft Entra ID pour les fédérations externes est désormais un point de terminaison de locataire, alors qu’auparavant il s’agissait d’un point de terminaison global. Les fédérations existantes avec le point de terminaison global continuent de fonctionner. Toutefois, pour les nouvelles fédérations, définissez l’audience du fournisseur d’identité SAML externe ou WS-Fed sur un point de terminaison à locataire unique. Consultez la section SAML 2.0 et la section WS-Fed pour les attributs et revendications requis.
Expiration du certificat de signature
Si vous spécifiez l’URL de métadonnées dans les paramètres du fournisseur d’identité, Microsoft Entra ID renouvelle automatiquement le certificat de signature à son expiration. Toutefois, si le certificat pivote avant le délai d’expiration pour une raison quelconque ou si vous ne fournissez pas d’URL de métadonnées, Microsoft Entra ID ne peut pas le renouveler. Dans ce cas, vous devez mettre à jour le certificat de signature manuellement.
Expiration de session
Si la session Microsoft Entra expire ou devient non valide, et que l’IdP fédéré a activé l’authentification unique (SSO), l'utilisateur bénéficie de l'authentification unique. Si la session de l’utilisateur fédéré est valide, l’utilisateur n’est pas invité à se reconnecter. Sinon, l’utilisateur est redirigé vers son fournisseur d’identité pour se connecter.
Autres considérations
Voici d’autres considérations à prendre en compte lors de la fédération avec un fournisseur d’identité SAML/WS-Fed.
La fédération ne résout pas les problèmes de connexion provoqués par une location partiellement synchronisée, où les identités utilisateur locales d’un partenaire ne sont pas entièrement synchronisées avec Microsoft Entra dans le cloud. Ces utilisateurs ne peuvent pas se connecter avec une invitation B2B. Ils doivent donc utiliser la fonctionnalité de code secret à usage unique par e-mail à la place. La fonctionnalité de fédération SAML/WS-Fed IdP est destinée aux partenaires disposant de leurs propres comptes organisationnels gérés par leur propre fournisseur d'identité, mais n'ayant pas de compte Microsoft Entra.
La fédération ne supprime pas la nécessité d'avoir des comptes invités B2B dans votre annuaire. Avec B2B Collaboration, un compte invité est créé pour l’utilisateur dans votre annuaire de locataire de personnel, quelle que soit la méthode d’authentification ou de fédération utilisée. Cet objet utilisateur vous permet d’accorder l’accès aux applications, d’attribuer des rôles et de définir l’appartenance aux groupes de sécurité.
Actuellement, la fonctionnalité de fédération Microsoft Entra SAML/WS-Fed ne prend pas en charge l’envoi d’un jeton d’authentification signé au fournisseur d’identité SAML.
Configurer la fédération SAML/WS-Fed IdP
Étape 1 : Déterminer si le partenaire doit mettre à jour ses enregistrements texte DNS
Utilisez les étapes suivantes pour déterminer si le partenaire doit mettre à jour ses enregistrements DNS pour activer la fédération avec vous.
Vérifiez l’URL d’authentification passive du fournisseur d’identité du partenaire pour déterminer si le domaine correspond au domaine cible ou à un hôte du domaine cible. En d’autres termes, lors de la configuration de la fédération pour
fabrikam.com:- Si le point de terminaison d’authentification passive est
https://fabrikam.comouhttps://sts.fabrikam.com/adfs(un hôte du même domaine), aucune modification des enregistrements DNS n’est nécessaire. - Si le point de terminaison d’authentification passive est
https://fabrikamconglomerate.com/adfsouhttps://fabrikam.co.uk/adfs, le domaine ne correspond pas au domaine fabrikam.com. Le partenaire doit donc ajouter un enregistrement texte pour l’URL d’authentification à sa configuration DNS.
- Si le point de terminaison d’authentification passive est
Si des modifications des enregistrements DNS sont nécessaires en fonction de l'étape précédente, demandez au partenaire d'ajouter un enregistrement TXT aux enregistrements DNS de son domaine, comme dans l'exemple suivant :
fabrikam.com. IN TXT DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs
Étape 2 : Configurer le fournisseur d’identité de l’organisation partenaire
Votre organisation partenaire doit ensuite configurer son fournisseur d’identité avec les revendications requises et les approbations de partie de confiance.
Remarque
Pour illustrer comment configurer un fournisseur d'identités SAML/WS-Fed pour la fédération, nous prenons pour exemple Active Directory Federation Services (AD FS). Consultez l’article Configurer la fédération de fournisseur d’identité SAML/WS-Fed avec AD FS, qui donne des exemples montrant comment configurer AD FS en tant que fournisseur d’identité SAML 2.0 ou WS-Fed en vue de la fédération.
Configuration SAML 2.0
Vous pouvez configurer Microsoft Entra B2B pour la fédération avec des fournisseurs d’identité qui utilisent le protocole SAML en respectant certaines exigences spécifiques indiquées dans cette section. Si vous souhaitez en savoir plus sur la configuration d’une confiance entre votre fournisseur d’identité SAML et Microsoft Entra ID, veuillez consulter la rubrique Utiliser un fournisseur d’identité SAML 2.0 pour l’authentification unique.
Remarque
Vous pouvez maintenant configurer la fédération de fournisseur d’identité SAML/WS-Fed avec d’autres domaines vérifiés Microsoft Entra ID. En savoir plus
Attributs SAML 2.0 et revendications requises
Les tableaux suivants présentent la configuration requise pour les attributs spécifiques et les revendications qui doivent être configurés au niveau du fournisseur d’identité tiers. Pour configurer la fédération, les attributs suivants doivent être reçus dans la réponse SAML 2.0 à partir du fournisseur d’identité. Ces attributs peuvent être configurés en liant le fichier XML du service d’émission de jeton de sécurité en ligne ou en les entrant manuellement.
Remarque
Vérifiez que la valeur correspond au cloud pour lequel vous configurez la fédération externe.
Tableau 1. Attributs requis pour la réponse SAML 2.0 du IdP.
| Attribut | Valeur |
|---|---|
| AssertionConsumerService | https://login.microsoftonline.com/login.srf |
| Public visé | https://login.microsoftonline.com/<tenant ID>/ (Recommandé) Remplacez <tenant ID> par l’identifiant du locataire Microsoft Entra avec lequel vous configurez la fédération.Dans la requête SAML envoyée par Microsoft Entra ID pour les fédérations externes, l’URL de l’émetteur est un point de terminaison client (par exemple, https://login.microsoftonline.com/<tenant ID>/). Pour les nouvelles fédérations, nous recommandons que tous nos partenaires définissent le public du fournisseur d’identité SAML ou WS-Fed sur un point de terminaison de locataire. Toutes les fédérations existantes configurées avec le point de terminaison global (par exemple, urn:federation:MicrosoftOnline) continuent de fonctionner, mais les nouvelles fédérations arrêtent de fonctionner si votre fournisseur d’identité externe attend une URL d’émetteur globale dans la requête SAML envoyée par l’ID Microsoft Entra. |
| Émetteur | URI de l’émetteur du fournisseur d’identité du partenaire (par exemple, http://www.example.com/exk10l6w90DHM0yi...) |
Tableau 2. Revendications requises pour le jeton SAML 2.0 émis par le fournisseur d’identité.
| Nom de l'attribut | Valeur |
|---|---|
| Format NameID | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
emailaddress |
Configuration WS-Fed
Vous pouvez configurer Microsoft Entra B2B pour la fédération avec des fournisseurs d’identité qui utilisent le protocole WS-Fed. Cette section traite des exigences. Actuellement, les deux fournisseurs WS-Fed qui ont été testés pour la compatibilité avec l’ID Microsoft Entra sont AD FS et Shibboleth. Pour plus d’informations sur l’établissement d’une partie de confiance entre un fournisseur compatible WS-Fed avec Microsoft Entra ID, consultez le document « Intégration STS à l’aide des protocoles WS » disponible dans Compatibilité des fournisseurs d’identité Microsoft Entra.
Remarque
Vous pouvez maintenant configurer la fédération de fournisseur d’identité SAML/WS-Fed avec d’autres domaines vérifiés Microsoft Entra ID. En savoir plus
Attributs WS-Fed et revendications requises
Les tableaux suivants présentent la configuration requise pour les attributs spécifiques et les revendications qui doivent être configurés au niveau du fournisseur d’identité SAML/WS-Fed tiers. Pour configurer la fédération, les attributs suivants doivent être reçus dans le message WS-Fed à partir du fournisseur d’identité. Ces attributs peuvent être configurés en liant le fichier XML du service d’émission de jeton de sécurité en ligne ou en les entrant manuellement.
Remarque
Vérifiez que la valeur correspond au cloud pour lequel vous configurez la fédération externe.
Tableau 3. Attributs requis dans le message WS-Fed du fournisseur d’identité.
| Attribut | Valeur |
|---|---|
| PassiveRequestorEndpoint | https://login.microsoftonline.com/login.srf |
| Public visé | https://login.microsoftonline.com/<tenant ID>/ (Recommandé) Remplacez <tenant ID> par l’identifiant du locataire Microsoft Entra avec lequel vous configurez la fédération.Dans la requête SAML envoyée par Microsoft Entra ID pour les fédérations externes, l’URL de l’émetteur est un point de terminaison client (par exemple, https://login.microsoftonline.com/<tenant ID>/). Pour les nouvelles fédérations, nous recommandons que tous nos partenaires définissent le public du fournisseur d’identité SAML ou WS-Fed sur un point de terminaison de locataire. Toutes les fédérations existantes configurées avec le point de terminaison global (par exemple, urn:federation:MicrosoftOnline) continuent de fonctionner, mais les nouvelles fédérations arrêtent de fonctionner si votre fournisseur d’identité externe attend une URL d’émetteur globale dans la requête SAML envoyée par l’ID Microsoft Entra. |
| Émetteur | URI de l’émetteur du fournisseur d’identité du partenaire (par exemple, http://www.example.com/exk10l6w90DHM0yi...) |
Table 4. Revendications requises pour le jeton WS-Fed émis par le fournisseur d’identité.
| Attribut | Valeur |
|---|---|
| ImmutableID | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
| emailaddress | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Étape 3 : Configurer la fédération SAML/WS-Fed IdP dans Microsoft Entra External ID
Ensuite, configurez la fédération avec le fournisseur d’identité configuré à l’étape 1 dans Microsoft Entra External ID. Vous pouvez utiliser le centre d'administration Microsoft Entra ou l'API Microsoft Graph. La stratégie de la fédération prend effet au bout de 5 à 10 minutes. Pendant ce temps, n’essayez pas d’utiliser une invitation pour le domaine de la fédération. Les attributs suivants sont requis :
- URI de l’émetteur du fournisseur d’identité du partenaire
- Point de terminaison de l’authentification passive du fournisseur d’identité du partenaire (https uniquement est pris en charge)
- Certificat
Pour configurer la fédération dans le centre d'administration Microsoft Entra
Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’Administrateur de fournisseur d’identité externe.
Si vous avez accès à plusieurs comptes, utilisez l'icône Paramètres
dans le menu supérieur et commutez vers votre compte à partir du menu Répertoires.Accédez à Identité>External Identities>Tous les fournisseurs d’identité.
Sélectionnez l’onglet Personnalisé, puis sélectionnez Ajouter un nouveau>SAML/WS-Fed.
Sur la page Nouveau fournisseur d’identité SAML/WS-Fed, entrez les éléments suivants :
- Nom complet : entrez un nom pour vous aider à identifier le fournisseur d’identité du partenaire.
- Protocole du fournisseur d’identité : sélectionnez SAML ou WS-Fed.
- Nom de domaine du fournisseur d’identité de fédération : entrez le nom de domaine cible du fournisseur d’identité de votre partenaire pour la fédération. Pendant cette configuration initiale, entrez un seul nom de domaine. Vous pouvez ajouter d’autres domaines plus tard.
Sélectionnez une méthode pour renseigner les métadonnées. Si vous avez un fichier qui contient les métadonnées, vous pouvez remplir automatiquement les champs en sélectionnant fichier de métadonnées d’analyse et en accédant au fichier. Vous pouvez également sélectionner Entrer manuellement les métadonnées et entrer les informations suivantes :
- L’URI d’émetteur du fournisseur d’identité SAML du partenaire ou ID d’entité du fournisseur d’identité WS-Fed du partenaire.
- Le point de terminaison d’authentification passif du fournisseur d’identité SAML du partenaire ou point de terminaison du demandeur passif du fournisseur d’identité WS-Fed du partenaire.
- Certificat : ID du certificat de signature.
- URL de métadonnées : emplacement des métadonnées du fournisseur d’identité pour le renouvellement automatique du certificat de signature.
Remarque
L’URL des métadonnées est facultative. Toutefois, nous vous recommandons vivement de le faire. Si vous fournissez l’URL des métadonnées, Microsoft Entra ID peut renouveler automatiquement le certificat de signature lorsqu’il arrive à expiration. Si le certificat est pivoté pour une raison quelconque avant le délai d’expiration ou si vous ne fournissez pas d’URL de métadonnées, l’ID Microsoft Entra ne peut pas le renouveler. Dans ce cas, vous devez mettre à jour le certificat de signature manuellement.
Sélectionnez Enregistrer. Le fournisseur d’identité est ajouté à la liste des fournisseurs d’identité SAML/WS-Fed.
(Facultatif) Pour ajouter d’autres noms de domaine à ce fournisseur d’identité fédérateur :
Sélectionnez le lien dans la colonne Domaines.
En regard de Nom de domaine du fournisseur d’identité fédérateur, tapez le nom de domaine, puis sélectionnez Ajouter. Répétez cette opération pour chaque domaine que vous souhaitez ajouter. Quand vous avez terminé, cliquez sur Terminé.
Pour configurer la fédération à l’aide de l’API Microsoft Graph
Vous pouvez utiliser le type de ressource samlOrWsFedExternalDomainFederation de l’API Microsoft Graph pour configurer la fédération avec un fournisseur d’identité qui prend en charge le protocole SAML ou WS-Fed.
Configurer l’ordre de rachat (collaboration B2B dans les locataires d'entreprise)
Si vous configurez la fédération dans votre locataire de main-d’œuvre pour B2B Collaboration avec un domaine vérifié, vérifiez que le fournisseur d’identité fédéré est utilisé en premier lors de l’échange d’invitation. Configurer les paramètres de l'ordre de rachat dans vos paramètres d'accès entre locataires pour la collaboration B2B entrante. Déplacez les fournisseurs d’identité SAML/WS-Fed en haut de la liste Fournisseurs d’identité principaux pour classer par ordre de priorité l’acceptation avec le fournisseur d’identité fédéré. Pour la collaboration B2B avec un domaine vérifié, faites du fournisseur d'identité fédéré le fournisseur d’identité principal pour le rachat d'invitations. sur d'autres fournisseurs d'identité lors de la rédemption de l'invitation.
Vous pouvez tester votre configuration de fédération en invitant un nouvel utilisateur invité B2B. Pour plus d’informations, consultez Ajoutez des utilisateurs de collaboration B2B Microsoft Entra dans le Centre d’administration Microsoft Entra.
Remarque
Les paramètres du centre d’administration Microsoft Entra pour la fonctionnalité d’échange configurable sont actuellement en cours de déploiement pour les clients. Tant que les paramètres ne sont pas disponibles dans le centre d’administration, vous pouvez configurer l’ordre d’échange d’invitation à l’aide de l’API REST Microsoft Graph (version bêta). Consultez Exemple 2 : Mettre à jour la configuration de l’acceptation d’invitation par défaut dans la documentation de référence de Microsoft Graph.
Comment faire pour mettre à jour les détails du certificat ou de la configuration ?
Dans la page Tous les fournisseurs d’identité, vous pouvez afficher la liste des fournisseurs d’identité SAML/WS-Fed configurés et leurs dates d’expiration de certificat. Dans cette liste, vous pouvez renouveler des certificats et modifier d’autres détails de configuration.
Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’Administrateur de fournisseur d’identité externe.
Accédez à Identité>External Identities>Tous les fournisseurs d’identité.
Cliquez sur l’onglet Personnalisée.
Faites défiler la liste jusqu'à un fournisseur d'identité ou utilisez la zone de recherche.
Pour mettre à jour le certificat ou les détails de la configuration :
- Dans la colonne Configuration du fournisseur d’identité, sélectionnez le lien Modifier.
- Sur la page de configuration, modifiez l’un des détails suivants :
- Nom complet : nom complet de l’organisation du partenaire.
- Protocole du fournisseur d’identité : sélectionnez SAML ou WS-Fed.
- Point de terminaison d’authentification passive : point de terminaison de demandeur passif du fournisseur d’identité du partenaire.
- Certificat : ID du certificat de signature. Pour le renouveler, entrez un nouvel ID de certificat.
- URL de métadonnées : URL contenant les métadonnées du partenaire, utilisée pour le renouvellement automatique du certificat de signature.
- Sélectionnez Enregistrer.
Pour modifier les domaines associés au partenaire, sélectionnez le lien dans la colonne Domaines. Dans le volet des détails du domaine :
- Pour ajouter un domaine, tapez le nom de domaine en regard de Nom de domaine du fournisseur d’identité fédérateur, puis sélectionnez Ajouter. Répétez cette opération pour chaque domaine que vous souhaitez ajouter.
- Pour supprimer un domaine, sélectionnez l’icône supprimer en regard du domaine.
- Quand vous avez terminé, cliquez sur Terminé.
Remarque
Pour supprimer la fédération avec un partenaire, commencez par supprimer tous les domaines à l’exception d’un, puis suivez les étapes décrites dans la section suivante.
Comment supprimer une fédération ?
Vous pouvez supprimer la configuration de votre fédération. Si vous le faites, les utilisateurs invités de fédération qui ont déjà échangé leurs invitations ne peuvent plus se connecter. Toutefois, vous pouvez autoriser de nouveau l’accès à vos ressources en réinitialisant l’état d’acceptation. Pour supprimer une configuration pour un IdP dans le centre d'administration Microsoft Entra :
Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’Administrateur de fournisseur d’identité externe.
Accédez à Identité>External Identities>Tous les fournisseurs d’identité.
Sélectionnez l’onglet Personnalisé, puis faites défiler la liste jusqu’au fournisseur d’identité ou utilisez la zone de recherche.
Sélectionnez le lien dans la colonne Domaines pour afficher les détails du domaine du fournisseur d’identité.
Supprimez tous les domaines, sauf un, dans la liste Nom de domaine.
Sélectionnez Supprimer la configuration, puis Terminé.
Sélectionnez OK pour confirmer la suppression.
Vous pouvez également supprimer la fédération à l’aide du type de ressource samlOrWsFedExternalDomainFederation de l’API Microsoft Graph.
Étapes suivantes
Découvrez-en plus sur l’expérience d’acceptation d’invitation lorsque des utilisateurs externes se connectent avec différents fournisseurs d’identité.