Federacja z dostawcami tożsamości SAML/WS-Fed
Dotyczy:Dzierżawcy siły roboczej — dzierżawcy zewnętrzni (dowiedz się więcej)
Dzierżawa Microsoft Entra może być bezpośrednio sfederowana z organizacjami zewnętrznymi, które korzystają z dostawcy tożsamości obsługującego protokół SAML lub WS-Fed. Użytkownicy z organizacji zewnętrznej mogą następnie logować się do Twojej dzierżawy przy użyciu konta zarządzanego przez dostawcę tożsamości, bez konieczności tworzenia nowych poświadczeń usługi Microsoft Entra. W przypadku nowo zaproszonych użytkowników federacja SAML/WS-Fed IdP ma pierwszeństwo jako podstawowa metoda logowania. Użytkownik jest przekierowywany do swojego dostawcy tożsamości podczas rejestrowania się lub logowania do aplikacji, a następnie wraca do firmy Microsoft Entra po pomyślnym zalogowaniu.
Można skojarzyć wiele domen z jedną konfiguracją federacyjną. Domena partnera może być zweryfikowana lub niezweryfikowana przez firmę Microsoft.
Skonfigurowanie federacji IdP SAML/WS-Fed wymaga konfiguracji zarówno na koncie dzierżawcy, jak i w IdP organizacji zewnętrznej. W niektórych przypadkach partner musi zaktualizować swoje rekordy tekstowe DNS. Muszą również zaktualizować swojego dostawcę tożsamości, korzystając z wymaganych oświadczeń i zaufania stron polegających.
Uwaga
Ta funkcja jest obecnie dostępna w wersji przedpremierowej dla dzierżawców zewnętrznych i jest ogólnie dostępna dla dzierżawców związanych z pracownikami.
Kiedy użytkownik jest uwierzytelniany za pomocą federacji SAML/WS-Fed IdP?
Po skonfigurowaniu federacji środowisko logowania użytkownika zewnętrznego zależy od ustawień logowania i tego, czy domena partnera jest zweryfikowana przez firmę Microsoft Entra.
Federacja z zweryfikowanymi i niezweryfikowanymi domenami
Można skonfigurować federację SAML/WS-Fed IdP z:
- domen niezweryfikowanych: te domeny nie są weryfikowane przez system DNS w identyfikatorze Entra firmy Microsoft. W przypadku domen niezweryfikowanych użytkownicy z organizacji zewnętrznej są uwierzytelniani przy użyciu federacyjnego dostawcy usług tożsamości (IdP) SAML/WS-Fed.
- Zweryfikowane domeny Microsoft Entra ID: Te domeny zostały zweryfikowane w ramach Microsoft Entra ID, w tym domeny, w których dzierżawa przeszła przejęcie przez administratora . W przypadku zweryfikowanych domen identyfikator Entra firmy Microsoft jest podstawowym dostawcą tożsamości używanym podczas realizacji zaproszenia. W przypadku współpracy B2B w środowisku klienta można zmienić kolejność realizacji, aby federacyjny IdP stał się główną metodą.
Uwaga
Obecnie ustawienia zamówień wykupu nie są obsługiwane w dzierżawach zewnętrznych ani w chmurach.
Federacja z niezarządzanymi najemcami (zweryfikowanymi e-mailem)
Możesz skonfigurować federację SAML/WS-Fed IdP z domenami, które nie są zweryfikowane w usłudze Microsoft Entra ID, w tym niezarządzane (zweryfikowane pocztą e-mail lub "wirusowe") dzierżawy firmy Microsoft Entra. Takie dzierżawy są tworzone, gdy użytkownik realizuje zaproszenie B2B lub wykonuje rejestrację samoobsługową w usłudze Microsoft Entra ID przy użyciu domeny, która obecnie nie istnieje.
Wpływ federacji na bieżących użytkowników zewnętrznych
Konfigurowanie federacji nie zmienia metody uwierzytelniania dla użytkowników, którzy już zrealizowali zaproszenie. Na przykład:
- Użytkownicy, którzy zrealizowali zaproszenia przed konfiguracją federacji, nadal korzystają z oryginalnej metody uwierzytelniania. Na przykład użytkownicy, którzy zrealizowali zaproszenia z jednorazowym uwierzytelnianiem za pomocą kodu dostępu przed skonfigurowaniem federacji, będą nadal używać jednorazowych kodów dostępu.
- Użytkownicy, którzy zrealizowali zaproszenia przy użyciu federacyjnego dostawcy tożsamości, nadal korzystają z tej metody, nawet jeśli ich organizacja później przeniesie się do firmy Microsoft Entra.
- Użytkownicy, którzy obecnie korzystają z protokołu SAML/WS-Fed IdP, nie mogą logować się, jeśli federacja zostanie usunięta.
Nie musisz wysyłać nowych zaproszeń do istniejących użytkowników, ponieważ nadal korzystają z bieżącej metody logowania. Jednak kiedy współpracujesz B2B w tenant obsługujący pracowników, możesz zresetować status realizacji użytkownika. Następnym razem, gdy użytkownik uzyskuje dostęp do Twojej aplikacji, powtarzają kroki realizacji i przełączają się na federację. Obecnie ustawienia zamówień wykupu nie są obsługiwane w dzierżawach zewnętrznych ani między chmurami.
Punkty końcowe logowania w dzierżawach siły roboczej
Gdy federacja jest skonfigurowana w dzierżawie pracowników, użytkownicy z organizacji federacyjnej mogą logować się do aplikacji wielodostępnych lub aplikacji firmy Microsoft, korzystając z wspólnego punktu końcowego (innymi słowy, ogólny adres URL aplikacji, który nie zawiera kontekstu dzierżawy). Podczas procesu logowania użytkownik wybiera opcje logowania , a następnie wybiera pozycję Zaloguj się do organizacji. Wpiszą nazwę organizacji i kontynuują logowanie przy użyciu własnych poświadczeń.
Użytkownicy federacyjni dostawcy tożsamości SAML/WS-Fed mogą również używać punktów końcowych aplikacji zawierających informacje o dzierżawie, na przykład:
https://myapps.microsoft.com/?tenantid=<your tenant ID>
https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
https://portal.azure.com/<your tenant ID>
Możesz również nadać użytkownikom bezpośredni link do aplikacji lub zasobu, dołączając informacje o tenantcie, na przykład https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>
.
Zagadnienia dotyczące konfigurowania federacji
Konfigurowanie federacji obejmuje skonfigurowanie zarówno tenanta Microsoft Entra, jak i tożsamości zewnętrznego dostawcy organizacji.
Wymagania partnera dotyczące dostawcy tożsamości
W zależności od dostawcy tożsamości partnera może być konieczne zaktualizowanie rekordów DNS w celu włączenia federacji z Tobą. Zobacz Krok 1: Określanie, czy partner musi zaktualizować swoje rekordy tekstowe DNS.
Adres URL wystawcy w żądaniu SAML wysyłanym przez Microsoft Entra ID dla federacji zewnętrznych jest teraz punktem końcowym specyficznym dla dzierżawcy, podczas gdy wcześniej był to globalny punkt końcowy. Istniejące federacje z globalnym punktem końcowym nadal działają. Jednak w przypadku nowych federacji ustaw odbiorcę zewnętrznego protokołu SAML lub dostawcę tożsamości WS-Fed na punkt końcowy najemcy. Zobacz sekcję SAML 2.0 oraz sekcję WS-Fed wymagane atrybuty i oświadczenia.
Wygaśnięcie certyfikatu podpisywania
Jeśli określisz adres URL metadanych w ustawieniach dostawcy tożsamości, identyfikator Entra firmy Microsoft automatycznie odnawia certyfikat podpisywania po wygaśnięciu. Jeśli jednak certyfikat jest obracany z jakiegokolwiek powodu przed upływem czasu wygaśnięcia lub jeśli nie podasz adresu URL metadanych, identyfikator Entra firmy Microsoft nie może go odnowić. W takim przypadku należy ręcznie zaktualizować certyfikat podpisywania.
Wygaśnięcie sesji
Jeśli sesja Microsoft Entra wygaśnie lub stanie się nieprawidłowa, a federacyjny dostawca tożsamości ma włączone logowanie jednokrotne, użytkownik doświadcza logowania jednokrotnego. Jeśli sesja użytkownika federacyjnego jest prawidłowa, użytkownik nie jest monitowany o ponowne zalogowanie. W przeciwnym razie użytkownik zostanie przekierowany do swojego dostawcy tożsamości na potrzeby logowania.
Inne zagadnienia
Poniżej przedstawiono inne zagadnienia związane z federacją z dostawcą tożsamości SAML/WS-Fed.
Federacja nie rozwiązuje problemów z logowaniem spowodowanych częściowo zsynchronizowaną dzierżawą, gdzie tożsamości użytkowników lokalnych u partnera nie mają pełnej synchronizacji z Microsoft Entra w chmurze. Ci użytkownicy nie mogą zalogować się przy użyciu zaproszenia B2B, więc zamiast tego muszą używać funkcji jednorazowego kodu dostępu z e-maila . Funkcja federacji dostawcy tożsamości SAML/WS-Fed jest przeznaczona dla partnerów z własnymi kontami organizacyjnymi zarządzanymi przez dostawcę tożsamości, ale bez uczestnictwa w usługach Microsoft Entra.
Federacja nie zastępuje potrzeby kont gości B2B w Twoim katalogu. Dzięki współpracy B2B konto gościa jest tworzone dla użytkownika w katalogu dzierżawy pracowników niezależnie od używanej metody uwierzytelniania lub federacji. Ten obiekt użytkownika umożliwia udzielanie dostępu do aplikacji, przypisywanie ról i definiowanie członkostwa w grupach zabezpieczeń.
Obecnie funkcja federacyjna Microsoft Entra SAML/WS-Fed nie obsługuje wysyłania podpisanego tokenu uwierzytelniania do dostawcy tożsamości SAML.
Konfigurowanie federacji SAML/WS-Fed IdP
Krok 1. Określenie, czy partner musi zaktualizować swoje rekordy tekstowe DNS
Wykonaj poniższe kroki, aby określić, czy partner musi zaktualizować swoje rekordy DNS, aby włączyć federację z Tobą.
Sprawdź adres URL uwierzytelniania pasywnego dostawcy tożsamości partnera, aby sprawdzić, czy domena jest zgodna z domeną docelową lub hostem w domenie docelowej. Innymi słowy podczas konfigurowania federacji dla
fabrikam.com
programu :- Jeśli pasywny punkt końcowy uwierzytelniania to
https://fabrikam.com
lubhttps://sts.fabrikam.com/adfs
(host w tej samej domenie), nie są wymagane żadne zmiany DNS. - Jeśli pasywny punkt końcowy uwierzytelniania to
https://fabrikamconglomerate.com/adfs
lubhttps://fabrikam.co.uk/adfs
, domena nie jest zgodna z domeną fabrikam.com, dlatego partner musi dodać rekord tekstowy adresu URL uwierzytelniania do konfiguracji DNS.
- Jeśli pasywny punkt końcowy uwierzytelniania to
Jeśli zmiany DNS są wymagane w oparciu o poprzedni krok, poproś partnera o dodanie rekordu TXT do rekordów DNS domeny, jak w poniższym przykładzie:
fabrikam.com. IN TXT DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs
Krok 2. Konfigurowanie dostawcy tożsamości organizacji partnerskiej
Następnie organizacja partnerów musi skonfigurować dostawcę tożsamości przy użyciu wymaganych oświadczeń i zaufania jednostki uzależnionej.
Uwaga
Aby zilustrować, jak skonfigurować dostawcę tożsamości SAML/WS-Fed dla federacji, używamy jako przykładu usługi Active Directory Federation Services (AD FS). Zobacz artykuł Configure SAML/WS-Fed IdP federation with AD FS (Konfigurowanie federacji SAML/WS-Fed idP z usługami AD FS), który zawiera przykłady konfigurowania usług AD FS jako dostawcy tożsamości SAML 2.0 lub WS-Fed w ramach przygotowań do federacji.
Konfiguracja protokołu SAML 2.0
Microsoft Entra B2B można skonfigurować do federacji z dostawcami tożsamości, które używają protokołu SAML z określonymi wymaganiami wymienionymi w tej sekcji. Aby uzyskać więcej informacji na temat konfigurowania zaufania między dostawcą tożsamości SAML i identyfikatorem firmy Microsoft Entra, zobacz Używanie dostawcy tożsamości SAML 2.0 dla logowania jednokrotnego.
Uwaga
Teraz można skonfigurować federację dostawcy tożsamości SAML/WS-Fed z innymi domenami zweryfikowanymi przez identyfikator entra firmy Microsoft. Dowiedz się więcej
Wymagane atrybuty i oświadczenia SAML 2.0
W poniższych tabelach przedstawiono wymagania dotyczące określonych atrybutów i oświadczeń, które należy skonfigurować w dostawcy tożsamości innej firmy. Aby skonfigurować federację, następujące atrybuty muszą zostać odebrane w odpowiedzi SAML 2.0 od dostawcy tożsamości. Te atrybuty można skonfigurować, łącząc się z plikiem XML usługi tokenu zabezpieczającego online lub wprowadzając je ręcznie.
Uwaga
Upewnij się, że wartość jest zgodna z chmurą, dla której konfigurujesz federację zewnętrzną.
Tabela 1. Atrybuty wymagane w odpowiedzi SAML 2.0 od dostawcy tożsamości.
Atrybut | Wartość |
---|---|
AssertionConsumerService | https://login.microsoftonline.com/login.srf |
Odbiorcy |
https://login.microsoftonline.com/<tenant ID>/ (Zalecane) Zastąp <tenant ID> element identyfikatorem dzierżawy dzierżawy firmy Microsoft Entra, z którą konfigurujesz federację.W żądaniu SAML wysłanym przez firmę Microsoft Entra ID dla federacji zewnętrznych adres URL wystawcy jest punktem końcowym dzierżawy (na przykład https://login.microsoftonline.com/<tenant ID>/ ). W przypadku wszystkich nowych federacji zalecamy, aby wszyscy nasi partnerzy ustawili odbiorców dostawcy tożsamości opartego na protokole SAML lub WS-Fed na punkt końcowy dzierżawcy. Wszystkie istniejące federacje skonfigurowane z globalnym punktem końcowym (na przykład urn:federation:MicrosoftOnline ) nadal działają, ale nowe federacje przestaną działać, jeśli zewnętrzny dostawca tożsamości oczekuje globalnego adresu URL wystawcy w żądaniu SAML wysyłanym przez Microsoft Entra ID. |
Wystawca | Identyfikator URI wystawcy dostawcy tożsamości partnera, na przykład http://www.example.com/exk10l6w90DHM0yi... |
Tabela 2. Wymagane oświadczenia dla tokenu SAML 2.0 wystawionego przez dostawcę tożsamości.
Nazwa atrybutu | Wartość |
---|---|
NameID Format | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
emailaddress |
Konfiguracja usług WS-Fed
Microsoft Entra B2B można skonfigurować do federacji z dostawcami tożsamości korzystającymi z protokołu WS-Fed. W tej sekcji omówiono wymagania. Obecnie dwaj dostawcy WS-Fed, którzy zostali przetestowani pod kątem zgodności z Microsoft Entra ID, to AD FS i Shibboleth. Aby uzyskać więcej informacji na temat ustanawiania zaufania jednostki uzależnionej między dostawcą zgodnym z usługą WS-Fed przy użyciu identyfikatora Entra firmy Microsoft, zobacz dokument "STS Integration Paper using WS Protocols" dostępny w dokumentacji zgodności dostawcy tożsamości firmy Microsoft.
Uwaga
Teraz można skonfigurować federację dostawcy tożsamości SAML/WS-Fed z innymi domenami zweryfikowanymi przez identyfikator entra firmy Microsoft. Dowiedz się więcej
Wymagane atrybuty i oświadczenia WS-Fed
W poniższych tabelach przedstawiono wymagania dotyczące określonych atrybutów i oświadczeń, które należy skonfigurować w dostawcy tożsamości innej firmy WS-Fed. Aby skonfigurować federację, następujące atrybuty muszą zostać odebrane w komunikacie WS-Fed od dostawcy tożsamości. Te atrybuty można skonfigurować, łącząc się z plikiem XML usługi tokenu zabezpieczającego online lub wprowadzając je ręcznie.
Uwaga
Upewnij się, że wartość jest zgodna z chmurą, dla której konfigurujesz federację zewnętrzną.
Tabela 3. Wymagane atrybuty w komunikacie WS-Fed od dostawcy tożsamości (IdP).
Atrybut | Wartość |
---|---|
PassiveRequestorEndpoint | https://login.microsoftonline.com/login.srf |
Odbiorcy |
https://login.microsoftonline.com/<tenant ID>/ (Zalecane) Zastąp <tenant ID> element identyfikatorem dzierżawy dzierżawy firmy Microsoft Entra, z którą konfigurujesz federację.W żądaniu SAML wysłanym przez firmę Microsoft Entra ID dla federacji zewnętrznych adres URL wystawcy jest punktem końcowym dzierżawy (na przykład https://login.microsoftonline.com/<tenant ID>/ ). W przypadku wszystkich nowych federacji zalecamy, aby wszyscy nasi partnerzy ustawili odbiorców dostawcy tożsamości opartego na protokole SAML lub WS-Fed na punkt końcowy dzierżawcy. Wszystkie istniejące federacje skonfigurowane z globalnym punktem końcowym (na przykład urn:federation:MicrosoftOnline ) nadal działają, ale nowe federacje przestaną działać, jeśli zewnętrzny dostawca tożsamości oczekuje globalnego adresu URL wystawcy w żądaniu SAML wysłanym przez Microsoft Entra ID. |
Wystawca | Identyfikator URI wystawcy dostawcy tożsamości partnera, na przykład http://www.example.com/exk10l6w90DHM0yi... |
Tabela 4. Wymagane oświadczenia dla tokenu WS-Fed wystawionego przez dostawcę tożsamości.
Atrybut | Wartość |
---|---|
Niezmienny IDENTYFIKATOR | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
emailaddress | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Krok 3: Konfiguracja federacji SAML/WS-Fed IdP w Microsoft Entra External ID
Następnie skonfiguruj federację z IdP skonfigurowanym w kroku 1 w Microsoft Entra External ID. Możesz użyć centrum administracyjnego firmy Microsoft Entra lub interfejsu API programu Microsoft Graph. Zanim zasady federacji zostaną zastosowane, może upłynąć 5–10 minut. W tym czasie nie próbuj zrealizować zaproszenia do domeny federacyjnej. Wymagane są następujące atrybuty:
- Identyfikator URI wystawcy dostawcy tożsamości partnera
- Pasywny punkt końcowy uwierzytelniania dostawcy tożsamości partnera (obsługiwany jest tylko protokół HTTPS)
- Certyfikat
Aby skonfigurować federację w centrum administracyjnym firmy Microsoft Entra
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator zewnętrznego dostawcy tożsamości.
Jeśli masz dostęp do wielu dzierżaw, użyj ikony ustawień w górnym menu, a następnie przejdź do swojej dzierżawy z menu katalogi.
Przejdź do sekcji tożsamości).
Wybierz kartę Niestandardowe, a następnie wybierz pozycję >.
Na stronie Nowy dostawca tożsamości SAML/WS-Fed wprowadź następujące informacje:
- Nazwa wyświetlana — wprowadź nazwę, która ułatwia zidentyfikowanie dostawcy tożsamości partnera.
- Protokół dostawcy tożsamości — wybierz pozycję SAML lub WS-Fed.
- Nazwa domeny federacyjnego dostawcy tożsamości — wprowadź docelową nazwę domeny dostawcy tożsamości partnera dla federacji. Podczas tej początkowej konfiguracji wprowadź tylko jedną nazwę domeny. Później możesz dodać więcej domen.
Wybierz metodę wypełniania metadanych. Jeśli masz plik zawierający metadane, możesz automatycznie wypełnić pola, wybierając pozycję Przeanalizuj plik metadanych i przeglądając plik. Możesz też ręcznie wybrać pozycję Metadane wejściowe i wprowadzić następujące informacje:
- Identyfikator URI wystawcy dostawcy tożsamości SAML partnera lub identyfikator jednostki dostawcy tożsamości WS-Fed partnera.
- Pasywny punkt końcowy uwierzytelniania dostawcy tożsamości SAML partnera lub pasywny punkt końcowy dostawcy tożsamości dostawcy tożsamości WS-Fed partnera.
- Certyfikat — identyfikator certyfikatu podpisywania.
- Adres URL metadanych — lokalizacja metadanych dostawcy tożsamości na potrzeby automatycznego odnawiania certyfikatu podpisywania.
Uwaga
Adres URL metadanych jest opcjonalny. Jednak zdecydowanie zalecamy to. Jeśli podasz adres URL metadanych, identyfikator entra firmy Microsoft może automatycznie odnowić certyfikat podpisywania po wygaśnięciu. Jeśli certyfikat jest obracany z jakiegokolwiek powodu przed upływem czasu wygaśnięcia lub jeśli nie podasz adresu URL metadanych, identyfikator Entra firmy Microsoft nie może go odnowić. W takim przypadku należy ręcznie zaktualizować certyfikat podpisywania.
Wybierz pozycję Zapisz. Dostawca tożsamości jest dodawany do listy dostawców tożsamości SAML/WS-Fed.
(Opcjonalnie) Aby dodać więcej nazw domen do tego federacyjnego dostawcy tożsamości:
Aby skonfigurować federację przy użyciu interfejsu API programu Microsoft Graph
Aby skonfigurować federację z dostawcą tożsamości obsługującym protokół SAMLL lub WS-Fed, możesz użyć interfejsu API programu Microsoft Graph samlOrWsFedExternalDomainFederation .
Konfigurowanie zamówienia wykupu (współpraca B2B w dzierżawach zasobów ludzkich)
Jeśli konfigurujesz federację w dzierżawie pracowników na potrzeby współpracy B2B ze zweryfikowaną domeną, upewnij się, że federacyjny dostawca tożsamości jest używany jako pierwszy podczas realizacji zaproszenia. Skonfiguruj ustawienia zamówienia realizacji w ustawieniach dostępu między dzierżawami na potrzeby współpracy B2B dla ruchu przychodzącego. Przenieś dostawców tożsamości SAML/WS-Fed na początku listy Podstawowych dostawców tożsamości, aby ustalić priorytety realizacji za pomocą federacyjnego dostawcy tożsamości. W przypadku współpracy B2B ze zweryfikowaną domeną ustaw IdP federacyjnego jako podstawowego dostawcę tożsamości na potrzeby akceptacji zaproszenia. nad innymi dostawcami tożsamości podczas akceptacji zaproszenia.
Konfigurację federacji można przetestować, zapraszając nowego użytkownika-gościa B2B. Aby uzyskać szczegółowe informacje, zobacz Dodawanie użytkowników współpracy firmy Microsoft Entra B2B w centrum administracyjnym firmy Microsoft Entra.
Uwaga
Ustawienia centrum administracyjnego firmy Microsoft Entra dla konfigurowalnej funkcji realizacji są obecnie wdrażane dla klientów. Dopóki ustawienia nie będą dostępne w centrum administracyjnym, możesz skonfigurować zamówienie realizacji zaproszeń przy użyciu interfejsu API REST programu Microsoft Graph (wersja beta). Zobacz Przykład 2: Aktualizowanie domyślnej konfiguracji realizacji zaproszeń w dokumentacji referencyjnej programu Microsoft Graph.
Jak mogę zaktualizować szczegóły certyfikatu lub konfiguracji?
Na stronie Wszyscy dostawcy tożsamości można wyświetlić listę dostawców tożsamości SAML/WS-Fed skonfigurowanych i dat wygaśnięcia certyfikatu. Z tej listy można odnowić certyfikaty i zmodyfikować inne szczegóły konfiguracji.
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator zewnętrznego dostawcy tożsamości.
Przejdź do sekcji tożsamości).
Wybierz kartę Niestandardowe .
Przewiń do dostawcy tożsamości na liście lub użyj pola wyszukiwania.
Aby zaktualizować certyfikat lub zmodyfikować szczegóły konfiguracji:
- W kolumnie Konfiguracja dostawcy tożsamości wybierz link Edytuj .
- Na stronie konfiguracji zmodyfikuj dowolny z następujących szczegółów:
- Nazwa wyświetlana — nazwa wyświetlana organizacji partnera.
- Protokół dostawcy tożsamości — wybierz pozycję SAML lub WS-Fed.
- Punkt końcowy uwierzytelniania pasywnego — pasywny punkt końcowy dostawcy tożsamości partnera.
- Certyfikat — identyfikator certyfikatu podpisywania. Aby go odnowić, wprowadź nowy identyfikator certyfikatu.
- Adres URL metadanych — adres URL zawierający metadane partnera używane do automatycznego odnawiania certyfikatu podpisywania.
- Wybierz pozycję Zapisz.
Aby edytować domeny skojarzone z partnerem, wybierz link w kolumnie Domeny . W okienku szczegółów domeny:
- Aby dodać domenę, wpisz nazwę domeny obok nazwy domeny federacyjnego dostawcy tożsamości, a następnie wybierz pozycję Dodaj. Powtórz dla każdej domeny, którą chcesz dodać.
- Aby usunąć domenę, wybierz ikonę usuwania obok domeny.
- Po zakończeniu wybierz pozycję Gotowe.
Jak mogę usunąć federację?
Możesz usunąć konfigurację federacji. Jeśli to zrobisz, użytkownicy-goście federacyjni, którzy już zrealizowali swoje zaproszenia, nie mogą już się zalogować. Możesz jednak ponownie przyznać im dostęp do zasobów, resetując ich stan realizacji. Aby usunąć konfigurację dostawcy tożsamości w centrum administracyjnym firmy Microsoft Entra:
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator zewnętrznego dostawcy tożsamości.
Przejdź do sekcji tożsamości).
Wybierz kartę Niestandardowe , a następnie przewiń do dostawcy tożsamości na liście lub użyj pola wyszukiwania.
Wybierz link w kolumnie Domeny , aby wyświetlić szczegóły domeny dostawcy tożsamości.
Usuń wszystkie domeny z jedną z domen na liście Nazwa domeny.
Wybierz pozycję Usuń konfigurację, a następnie wybierz pozycję Gotowe.
Wybierz przycisk OK , aby potwierdzić usunięcie.
Federację można również usunąć przy użyciu interfejsu API programu Microsoft Graph samlOrWsFedExternalDomainFederation typu zasobu.
Następne kroki
Dowiedz się więcej o środowisku realizacji zaproszeń, gdy użytkownicy zewnętrzni loguje się przy użyciu różnych dostawców tożsamości.