Federazione con provider di identità SAML/WS-Fed
Si applica a: Tenant delle risorse Tenant esterni (altre informazioni)
Nota
La federazione diretta in Microsoft Entra per ID esterno viene ora definita federazione del provider di identità (IdP) SAML/WS-Fed.
Questo articolo spiega come configurare la federazione con qualsiasi organizzazione il cui provider di identità (IdP) supporti il protocollo SAML 2.0 o WS-Fed. Quando si configura la federazione con un provider di identità di un partner, i nuovi utenti guest di tale dominio possono usare il proprio account aziendale gestito dal provider di identità per accedere al tenant di Microsoft Entra e iniziare a collaborare. Non è necessario che l'utente guest crei un account Microsoft Entra separato.
Importante
- È ora possibile configurare la federazione del provider di identità SAML/WS-Fed con i domini verificati da Microsoft Entra ID. Il dominio verificato deve trovarsi in un tenant separato rispetto a quello da cui si sta configurando la federazione. Dopo la configurazione, è possibile assicurarsi che gli utenti accedano con il provider di identità federato anziché Microsoft Entra ID configurando l'ordine di riscatto dell'invito nelle impostazioni di accesso tra tenant per la collaborazione B2B in ingresso.
- Le nuove federazioni del provider di identità SAML/WS-Fed non supportano più un elenco di provider di identità consentiti. Durante la configurazione di una nuova federazione esterna, fare riferimento al Passaggio 1: Determinare se il partner deve aggiornare i record di testo DNS.
- Nella richiesta SAML inviata da Microsoft Entra ID per le federazioni esterne, l'URL dell'autorità di certificazione è un endpoint nel tenant. Per qualsiasi nuova federazione, è consigliabile che tutti i partner impostino i destinatari del provider di identità basato su SAML o WS-Fed su un endpoint nel tenant. Fare riferimento alle sezioni relative alle attestazioni e agli attributi SAML 2.0 e WS-Fed richiesti. Qualsiasi federazione esistente configurata con l'endpoint globale continuerà a funzionare, ma le nuove federazioni smetteranno di funzionare se il provider di identità esterno prevede un URL dell’autorità di certificazione globale nella richiesta SAML.
- È stata rimossa la limitazione del singolo dominio. È ora possibile associare più domini a una singola configurazione della federazione.
- È stata rimossa la limitazione che richiedeva la corrispondenza tra il dominio dell'URL di autenticazione e il dominio di destinazione o la provenienza da un provider di identità consentito. Per informazioni dettagliate, vedere Passaggio 1: Determinare se il partner deve aggiornare i record di testo DNS.
Quando un utente guest viene autenticato con la federazione SAML/WS-Fed IdP?
Dopo aver configurato la federazione con il provider di identità SAML/WS-Fed di un'organizzazione:
Se il dominio con cui si esegue la federazione non è un dominio verificato da Microsoft Entra ID, tutti i nuovi utenti guest invitati verranno autenticati usando tale provider di identità SAML/WS-Fed.
Se il dominio è verificato da Microsoft Entra ID, è necessario configurare anche le impostazioni dell’ordine di riscatto (anteprima) nelle impostazioni di accesso tra tenant per la collaborazione B2B in ingresso per classificare il riscatto in ordine di priorità con il provider di identità federato. Tutti i nuovi utenti guest invitati verranno quindi autenticati usando tale provider di identità SAML/WS-Fed.
È importante notare che la configurazione della federazione diretta non modifica il metodo di autenticazione per gli utenti guest che hanno già riscattato un invito da parte dell'utente. Di seguito vengono forniti alcuni esempi:
- Gli utenti guest hanno già riscattato gli inviti dall'utente e successivamente è stata configurata la federazione con l'IDP SAML/WS-Fed dell'organizzazione. Questi utenti guest continuano a usare lo stesso metodo di autenticazione usato prima di configurare la federazione.
- Si configura la federazione con l'IDP SAML/WS-Fed di un'organizzazione e si invitano gli utenti guest, quindi l'organizzazione partner si sposta in seguito in Microsoft Entra ID. Gli utenti guest che hanno già riscattato gli inviti continuano a usare il provider di identità SAML/WS-Fed federato, purché esistano i criteri di federazione nel tenant.
- Si elimina la federazione con l'IDP SAML/WS-Fed di un'organizzazione. Tutti gli utenti guest che usano l'IDP SAML/WS-Fed non sono in grado di accedere.
In uno di questi scenari, è possibile aggiornare il metodo di autenticazione di un utente guest reimpostando lo stato di riscatto.
La federazione SAML/WS-Fed IdP è associata a spazi dei nomi di dominio, ad esempio contoso.com e fabrikam.com. Quando si stabilisce una federazione con AD FS o un provider di identità di terze parti, le organizzazioni associano uno o più spazi dei nomi di dominio a tali provider di identità.
Esperienza utente finale
Con la federazione SAML/WS-Fed IdP, gli utenti guest accedono al tenant di Microsoft Entra usando il proprio account aziendale. Quando accedono alle risorse condivise e viene richiesto di eseguire l'accesso, gli utenti della federazione diretta vengono reindirizzati al proprio provider di identità. Al termine dell'accesso, gli utenti vengono restituiti all'ID Microsoft Entra per accedere alle risorse. Se la sessione di Microsoft Entra scade o diventa non valida e l'accesso SSO federato è abilitato, l'utente usa l'accesso SSO. Se la sessione dell'utente federato è valida, all'utente non viene richiesto di eseguire di nuovo l'accesso. In caso contrario, l'utente viene reindirizzato al provider di identità per l'accesso.
Endpoint di accesso
Gli utenti guest con federazione del provider di identità SAML/WS-Fed possono ora accedere alle app multi-tenant o proprietarie di Microsoft usando un endpoint comune (in altre parole, un URL generale dell'app che non include il contesto del tenant). Durante il processo di accesso, l'utente guest sceglie le opzioni di accesso, quindi seleziona Accedi a un'organizzazione. L'utente digita quindi il nome dell'organizzazione e continua l'accesso con le credenziali.
Gli utenti guest con federazione del provider di identità SAML/WS-Fed possono usare anche gli endpoint dell'applicazione che includono le informazioni sul tenant, ad esempio:
https://myapps.microsoft.com/?tenantid=<your tenant ID>
https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
https://portal.azure.com/<your tenant ID>
È anche possibile fornire agli utenti guest un collegamento diretto a un'applicazione o a una risorsa includendo le informazioni sul tenant, ad esempio https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>
.
Domande frequenti
È possibile configurare la federazione del provider di identità SAML/WS-Fed con domini verificati da Microsoft Entra ID?
Sì, è ora possibile configurare la federazione del provider di identità SAML/WS-Fed con altri domini verificati da Microsoft Entra ID. Sono inclusi i domini verificati in cui il tenant è stato acquisito dall'amministratore. Se il dominio con cui si esegue la federazione è un dominio verificato da Microsoft Entra ID, è necessario configurare anche le impostazioni dell’ordine di riscatto (anteprima) nelle impostazioni di accesso tra tenant per la collaborazione B2B in ingresso per assicurarsi che, quando gli utenti invitati eseguono l'accesso, riscattino gli inviti usando il provider di identità federato anziché Microsoft Entra ID.
Attualmente, i cloud non supportano le impostazioni dell'ordine di riscatto. Se il dominio con cui si esegue la federazione è un dominio verificato daMicrosoft Entra ID in un cloud Microsoft diverso, il riscatto di Microsoft Entra ha sempre la precedenza.
È possibile configurare la federazione del provider di identità SAML/WS-Fed con un dominio in cui è presente un tenant non gestito (verificato tramite posta elettronica)?
Sì, è possibile configurare la federazione del provider di identità SAML/WS-Fed con domini non verificati tramite DNS in Microsoft Entra ID, inclusi i tenant di Microsoft Entra non gestiti (verificati tramite posta elettronica o "virali"). Tali tenant vengono creati quando un utente riscatta un invito B2B o esegue l'iscrizione self-service per Microsoft Entra ID usando un dominio che non esiste attualmente.
È possibile configurare la federazione con più domini dallo stesso tenant?
Sì, ora è supportata la federazione del provider di identità SAML/WS-Fed con più domini dallo stesso tenant.
È necessario rinnovare il certificato di firma alla scadenza?
Se si specifica l'URL dei metadati nelle impostazioni del provider di identità, Microsoft Entra ID rinnova automaticamente il certificato di firma alla scadenza. Tuttavia, se il certificato viene ruotato per qualsiasi motivo prima della data di scadenza o se non si specifica un URL dei metadati, Microsoft Entra ID non riuscirà a rinnovarlo. In questo caso, sarà necessario aggiornare manualmente il certificato di firma.
Se sono abilitate sia la federazione del provider di identità SAML/WS-Fed che l'autenticazione con passcode monouso, quale metodo avrà la precedenza?
Quando viene stabilita la federazione del provider di identità SAML/WS-Fed con un'organizzazione del partner, ha la precedenza sull'autenticazione con passcode monouso tramite posta elettronica per i nuovi utenti guest di tale organizzazione. Se un utente guest ha riscattato un invito usando l'autenticazione con passcode monouso prima della configurazione della federazione del provider di identità SAML/WS-Fed, continuerà a usare l'autenticazione con passcode monouso.
La federazione del provider di identità SAML/WS-Fed consente di risolvere i problemi di accesso causati da una tenancy parzialmente sincronizzata?
No, in questo scenario è consigliabile usare la funzionalità di passcode monouso tramite posta elettronica. Una "tenancy parzialmente sincronizzata" indica un tenant di Microsoft Entra di un partner in cui le identità utente locali non sono completamente sincronizzate nel cloud. Un utente guest la cui identità non esiste ancora nel cloud che tenta di riscattare l'invito B2B non riuscirà a eseguire l'accesso. La funzionalità passcode monouso consente a questo utente guest di eseguire l'accesso. La funzionalità di federazione del provider di identità SAML/WS-Fed permette di risolvere i problemi relativi a scenari in cui l'utente guest dispone di un account aziendale gestito dal provider di identità personale, ma l'organizzazione non ha alcuna presenza in Microsoft Entra.
Dopo la configurazione della federazione del provider di identità SAML/WS-Fed con un'organizzazione, è necessario usare un singolo invito per invitare e riscattare ogni utente guest?
Quando si invitano nuovi utenti guest, è comunque necessario inviare inviti o fornire collegamenti diretti in modo che gli utenti guest possano completare la procedura di riscatto. Per gli utenti guest esistenti, non è necessario inviare necessariamente nuovi inviti. Gli utenti guest esistenti continueranno a usare il metodo di autenticazione usato prima della configurazione della federazione. Se si vuole che questi utenti guest inizino a usare la federazione per l'autenticazione, è possibile reimpostare lo stato di riscatto. Al successivo accesso all'app o uso del collegamento nell'invito, ripeteranno il processo di riscatto e inizieranno a usare la federazione come metodo di autenticazione.
È possibile inviare una richiesta firmata al provider di identità SAML?
Attualmente, la funzionalità di federazione SAML/WS-Fed di Microsoft Entra non supporta l'invio di un token di autenticazione firmato al provider di identità SAML.
Quali autorizzazioni sono necessarie per configurare un provider di identità SAML/Ws-Fed?
È necessario essere almeno un amministratore del provider di identità esterno per configurare un provider di identità SAML/Ws-Fed.
La federazione elimina la necessità di creare un account guest nella directory personale per l'utente di Collaborazione B2B?
No. Viene creato un account guest per un utente di Collaborazione B2B nella directory indipendentemente dal metodo di autenticazione o federazione usato. Questo oggetto utente consente di concedere l'accesso alle applicazioni, assegnare ruoli e definire l'appartenenza ai gruppi di sicurezza.
Passaggio 1: Determinare se il partner deve aggiornare i record di testo DNS
A seconda del provider di identità del partner, è possibile che il partner debba aggiornare i record DNS per abilitare la federazione con l'utente. Usare la procedura seguente per determinare se sono necessari aggiornamenti DNS.
Nota
Le nuove federazioni del provider di identità SAML/WS-Fed non supportano più un elenco di provider di identità consentiti.
Controllare l'URL di autenticazione passiva del provider di identità del partner per verificare se il dominio corrisponde al dominio di destinazione o a un host all'interno del dominio di destinazione. In altre parole, quando si configura la federazione per
fabrikam.com
:- Se l'endpoint di autenticazione passiva è
https://fabrikam.com
ohttps://sts.fabrikam.com/adfs
(un host nello stesso dominio), non sono necessarie modifiche DNS. - Se l'endpoint di autenticazione passiva è
https://fabrikamconglomerate.com/adfs
ohttps://fabrikam.com.uk/adfs
, il dominio non corrisponde al dominio fabrikam.com, quindi il partner deve aggiungere un record di testo per l'URL di autenticazione alla configurazione DNS.
- Se l'endpoint di autenticazione passiva è
Se sono necessarie modifiche DNS in base al passaggio precedente, chiedere al partner di aggiungere un record TXT ai record DNS del dominio, come nell'esempio seguente:
fabrikam.com. IN TXT DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs
Passaggio 2: Configurare il provider di identità dell'organizzazione del partner
In primo luogo, l'organizzazione del partner deve configurare il provider di identità con le attestazioni e i trust della relying party necessari.
Nota
Per spiegare come configurare un provider di identità SAML/WS-Fed per la federazione, è stato usato Active Directory Federation Services (AD FS) a titolo di esempio. Vedere l'articolo Configurare la federazione del provider di identità SAML/WS-Fed con AD FS, che fornisce esempi su come configurare AD FS come provider di identità SAML 2.0 o WS-Fed in preparazione per la federazione.
Configurazione di SAML 2.0
È possibile configurare Microsoft Entra B2B per la federazione con i provider di identità che usano il protocollo SAML con alcuni requisiti specifici indicati nella sezione seguente. Per altre informazioni sulla configurazione di un trust tra il provider di identità SAML e Microsoft Entra ID, vedere Usare un provider di identità (IdP) SAML 2.0 per l'accesso SSO.
Nota
È ora possibile configurare la federazione del provider di identità SAML/WS-Fed con altri domini verificati da Microsoft Entra ID. Per informazioni dettagliate, vedere la sezione Domande frequenti.
Attestazioni e attributi SAML 2.0 necessari
Le tabelle seguenti illustrano i requisiti per attributi e attestazioni specifici che devono essere configurati nel provider di identità di terze parti. Per configurare la federazione, è necessario che gli attributi seguenti vengano ricevuti nella risposta SAML 2.0 del provider di identità. Questi attributi possono essere configurati tramite il collegamento al file XML del servizio token di sicurezza online o mediante immissione manuale.
Nota
Assicurarsi che il valore corrisponda al cloud per cui si sta configurando la federazione esterna.
Attributi necessari per la risposta SAML 2.0 dal provider di identità:
Attributo | valore |
---|---|
AssertionConsumerService | https://login.microsoftonline.com/login.srf |
Destinatari | https://login.microsoftonline.com/<tenant ID>/ (Scelta consigliata) Sostituire <tenant ID> con l'ID tenant del tenant di Microsoft Entra con cui si sta configurando la federazione.Nella richiesta SAML inviata da Microsoft Entra ID per le federazioni esterne, l'URL dell'autorità di certificazione è un endpoint tenant (ad esempio, https://login.microsoftonline.com/<tenant ID>/ ). Per qualsiasi nuova federazione, è consigliabile che tutti i partner impostino i destinatari del provider di identità basato su SAML o WS-Fed su un endpoint nel tenant. Qualsiasi federazione esistente configurata con l'endpoint globale (ad esempio, urn:federation:MicrosoftOnline ) continuerà a funzionare, ma le nuove federazioni smetteranno di funzionare se il provider di identità esterno prevede un URL dell'autorità di certificazione globale nella richiesta SAML inviata da Microsoft Entra ID. |
Autorità di certificazione | URI dell'autorità di certificazione del provider di identità del partner, ad esempio http://www.example.com/exk10l6w90DHM0yi... |
Attestazioni necessarie per il token SAML 2.0 rilasciato dal provider di identità:
Nome attributo | valore |
---|---|
Formato NameID | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
emailaddress |
Configurazione WS-Fed
Microsoft Entra B2B può essere configurato per la federazione con i provider di identità che usano il protocollo WS-Fed. In questa sezione vengono illustrati i requisiti. Attualmente, i due provider WS-Fed che sono stati testati per la compatibilità con Microsoft Entra ID includono Active Directory Federation Services e Shibboleth. Per altre informazioni sulla definizione di un trust della relying party tra un provider conforme a WS-Fed e Microsoft Entra ID, vedere la documentazione relativa all'integrazione del servizio token di sicurezza tramite i protocolli WS disponibile nella documentazione sulla compatibilità dei provider di identità per Microsoft Entra.
Nota
È ora possibile configurare la federazione del provider di identità SAML/WS-Fed con altri domini verificati da Microsoft Entra ID. Per informazioni dettagliate, vedere la sezione Domande frequenti.
Attestazioni e attributi WS-Fed necessari
Le tabelle seguenti illustrano i requisiti per attributi e attestazioni specifici che devono essere configurati nel provider di identità WS-Fed di terze parti. Per configurare la federazione, è necessario che gli attributi seguenti vengano ricevuti nel messaggio WS-Fed del provider di identità. Questi attributi possono essere configurati tramite il collegamento al file XML del servizio token di sicurezza online o mediante immissione manuale.
Nota
Assicurarsi che il valore corrisponda al cloud per cui si sta configurando la federazione esterna.
Attributi necessari nel messaggio WS-Fed dal provider di identità:
Attributo | valore |
---|---|
PassiveRequestorEndpoint | https://login.microsoftonline.com/login.srf |
Destinatari | https://login.microsoftonline.com/<tenant ID>/ (Scelta consigliata) Sostituire <tenant ID> con l'ID tenant del tenant di Microsoft Entra con cui si sta configurando la federazione.Nella richiesta SAML inviata da Microsoft Entra ID per le federazioni esterne, l'URL dell'autorità di certificazione è un endpoint tenant (ad esempio, https://login.microsoftonline.com/<tenant ID>/ ). Per qualsiasi nuova federazione, è consigliabile che tutti i partner impostino i destinatari del provider di identità basato su SAML o WS-Fed su un endpoint nel tenant. Qualsiasi federazione esistente configurata con l'endpoint globale (ad esempio, urn:federation:MicrosoftOnline ) continuerà a funzionare, ma le nuove federazioni smetteranno di funzionare se il provider di identità esterno prevede un URL dell'autorità di certificazione globale nella richiesta SAML inviata da Microsoft Entra ID. |
Autorità di certificazione | URI dell'autorità di certificazione del provider di identità del partner, ad esempio http://www.example.com/exk10l6w90DHM0yi... |
Attestazioni necessarie per il token WS-Fed rilasciato dal provider di identità:
Attributo | valore |
---|---|
ImmutableID | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
emailaddress | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Passaggio 3: Configurare la federazione del provider di identità SAML/WS-Fed in Microsoft Entra ID
Successivamente, configurare la federazione con il provider di identità configurato nel passaggio 1 in Microsoft Entra ID. È possibile usare l'Interfaccia di amministrazione di Microsoft Entra o l'API di Microsoft Graph. Potrebbero essere necessari da 5 a 10 minuti prima che i criteri di federazione abbiano effetto. Durante questo intervallo di tempo, non tentare di riscattare un invito per il dominio di federazione. Gli attributi seguenti sono obbligatori:
- URI dell'autorità di certificazione del provider di identità del partner
- Endpoint di autenticazione passiva del provider di identità partner (è supportato solo HTTPS)
- Certificate
Per configurare la federazione nell'Interfaccia di amministrazione di Microsoft Entra
Suggerimento
La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore di un provider di identità esterno.
Passare a Identità>Identità esterne>Tutti i provider di identità.
Selezionare la scheda Personalizzata e quindi selezionare Aggiungi nuovo>SAML/WS-Fed.
Nella pagina Nuovo provider di identità SAML/WS-Fed immettere quanto segue:
- Nome visualizzato: immettere un nome per identificare il provider di identità del partner.
- Protocollo del provider di identità: selezionare SAML o WS-Fed.
- Nome di dominio del provider di identità di federazione : immettere il nome di dominio di destinazione del provider di identità del partner per la federazione. Durante questa configurazione iniziale immettere un solo nome di dominio. È possibile aggiungere altri domini in un secondo momento.
Selezionare un metodo per il popolamento dei metadati. Se si dispone di un file che contiene i metadati, è possibile popolare automaticamente i campi selezionando Analizza file di metadati e ricercando il file. In alternativa, è possibile selezionare Immetti metadati manualmente e immettere le informazioni seguenti:
- L’URI dell’autorità di certificazione del provider di identità SAML del partner o l’ID entità del provider di identità WS-Fed del partner.
- L’endpoint di autenticazione passivo del provider di identità SAML del partner o l’endpoint del richiedente passivo del provider di identità WS-Fed del partner.
- Certificato: ID del certificato di firma.
- URL dei metadati: percorso dei metadati del provider di identità per il rinnovo automatico del certificato di firma.
Nota
L'URL dei metadati è facoltativo, ma è consigliabile specificarlo. Se si specifica l'URL dei metadati, Microsoft Entra ID può rinnovare automaticamente il certificato di firma alla scadenza. Se il certificato viene ruotato per qualsiasi motivo prima della data di scadenza o se non si specifica un URL dei metadati, Microsoft Entra ID non riuscirà a rinnovarlo. In questo caso, sarà necessario aggiornare manualmente il certificato di firma.
Seleziona Salva. Il provider di identità viene aggiunto all'elenco Provider di identità SAML/WS-Fed.
(Facoltativo) Per aggiungere altri nomi di dominio a questo provider di identità di federazione:
Per configurare la federazione tramite l'API di Microsoft Graph
È possibile usare il tipo di risorsa samlOrWsFedExternalDomainFederation dell’API di Microsoft Graph per configurare la federazione con un provider di identità che supporti il protocollo SAML o WS-Fed.
Passaggio 4: Configurare l'ordine di riscatto per i domini verificati da Microsoft Entra ID
Se il dominio è verificato da Microsoft Entra ID, configurare le impostazioni dell’ordine di riscatto nelle impostazioni di accesso tra tenant per la collaborazione B2B in ingresso. Spostare i provider di identità SAML/WS-Fed all'inizio dell'elenco Provider di identità primari per assegnare priorità al riscatto con il provider di identità di federazione.
Nota
Attualmente, le impostazioni dell'Interfaccia di amministrazione di Microsoft Entra per la funzionalità di riscatto configurabile verranno rese disponibili ai clienti in sequenza. Fino a quando le impostazioni non saranno disponibili nell'Interfaccia di amministrazione, è possibile configurare l'ordine di riscatto dell'invito usando l'API REST di Microsoft Graph (versione beta). Vedere Esempio 2: Aggiornare la configurazione del riscatto dell'invito predefinito nella documentazione di riferimento di Microsoft Graph.
Passaggio 5: Testare la federazione del provider di identità SAML/WS-Fed in Microsoft Entra ID
A questo punto, testare la configurazione della federazione invitando un nuovo utente guest B2B. Per informazioni dettagliate, vedere Aggiungere utenti di Collaborazione B2B di Microsoft Entra nell’Interfaccia di amministrazione di Microsoft Entra.
Come si aggiornano i dettagli del certificato o della configurazione?
Nella pagina Tutti i provider di identità è possibile visualizzare l'elenco dei provider di identità SAML/WS-Fed configurati e le relative date di scadenza dei certificati. Da questo elenco è possibile rinnovare i certificati e modificare altri dettagli della configurazione.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore di un provider di identità esterno.
Passare a Identità>Identità esterne>Tutti i provider di identità.
Selezionare la scheda Personalizzato.
Scorrere fino a un provider di identità nell'elenco o usare la casella di ricerca.
Per aggiornare il certificato o modificare i dettagli della configurazione:
- Nella colonna Configurazione corrispondente al provider di identità selezionare il collegamento Modifica.
- Nella pagina di configurazione modificare uno dei dettagli seguenti:
- Nome visualizzato: nome visualizzato dell'organizzazione del partner.
- Protocollo del provider di identità: selezionare SAML o WS-Fed.
- Endpoint di autenticazione passiva: endpoint del richiedente passivo del provider di identità del partner.
- Certificato: ID del certificato di firma. Per rinnovarlo, immettere un nuovo ID certificato.
- URL dei metadati: URL contenente i metadati del partner, usato per il rinnovo automatico del certificato di firma.
- Seleziona Salva.
Per modificare i domini associati al partner, selezionare il collegamento nella colonna Domini. Nel riquadro dei dettagli del dominio:
- Per aggiungere un dominio, digitare il nome di dominio accanto a Nome di dominio del provider di identità di federazione e quindi selezionare Aggiungi. Ripetere questa procedura per ogni dominio che si desidera aggiungere.
- Per eliminare un dominio, selezionare l'icona di eliminazione accanto al dominio.
- Al termine selezionare Fine.
Nota
Per rimuovere la federazione con il partner, eliminare tutti i domini meno uno e seguire la procedura descritta nella sezione successiva.
Come si rimuove la federazione?
È possibile rimuovere la configurazione della federazione. In tal caso, gli utenti guest della federazione che hanno già riscattato gli inviti non potranno più accedere. Tuttavia, è possibile concedere loro di nuovo l'accesso alle risorse reimpostando lo stato di riscatto. Per rimuovere una configurazione di un provider di identità nell'Interfaccia di amministrazione di Microsoft Entra:
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore di un provider di identità esterno.
Passare a Identità>Identità esterne>Tutti i provider di identità.
Selezionare la scheda Personalizzata e quindi scorrere fino al provider di identità nell'elenco o usare la casella di ricerca.
Selezionare il collegamento nella colonna Domini per visualizzare i dettagli del dominio del provider di identità.
Eliminare tutti i domini meno un nell'elenco Nome di dominio.
Selezionare Elimina configurazione e quindi Operazione completata.
Scegliere OK per confermare l'eliminazione.
È anche possibile rimuovere la federazione usando il tipo di risorsa samlOrWsFedExternalDomainFederation dell'API di Microsoft Graph.
Passaggi successivi
Altre informazioni sull'esperienza di riscatto dell'invito quando gli utenti esterni accedono con diversi provider di identità.