Dodaj federację z dostawcami tożsamości SAML/WS-Fed
Dotyczy: 
Dzierżawcy siły roboczej dzierżawcy zewnętrzni (dowiedz się więcej)
Dzierżawa Microsoft Entra może być bezpośrednio sfederowana z organizacjami zewnętrznymi, które korzystają z dostawcy tożsamości obsługującego protokół SAML lub WS-Fed. Użytkownicy z organizacji zewnętrznej mogą następnie używać własnych kont zarządzanych przez IdP do logowania się do aplikacji lub zasobów podczas realizacji zaproszenia lub rejestracji samoobsługowej bez potrzeby tworzenia nowych poświadczeń Microsoft Entra. Użytkownik jest przekierowywany do swojego dostawcy tożsamości podczas rejestrowania się lub logowania do aplikacji, a następnie wraca do firmy Microsoft Entra po pomyślnym zalogowaniu.
Uwaga
Federacja SAML/WS-Fed jest obecnie w wersji testowej dla dzierżaw zewnętrznych i jest ogólnie dostępna dla dzierżaw pracowniczych.
Wymagania wstępne
- Zapoznaj się z zagadnieniami dotyczącymi konfiguracji dostawców tożsamości SAML/WS-Fed.
- Najemca pracowniczy lub najemca zewnętrzny .
Jak skonfigurować federację SAML/WS-Fed dostawcy tożsamości (IdP)
Krok 1. Określenie, czy partner musi zaktualizować swoje rekordy tekstowe DNS
Wykonaj poniższe kroki, aby określić, czy partner musi zaktualizować swoje rekordy DNS, aby włączyć federację z Tobą.
Sprawdź adres URL uwierzytelniania pasywnego dostawcy tożsamości partnera, aby sprawdzić, czy domena jest zgodna z domeną docelową lub hostem w domenie docelowej. Innymi słowy podczas konfigurowania federacji dla
fabrikam.comprogramu :- Jeśli pasywny punkt końcowy uwierzytelniania to
https://fabrikam.comlubhttps://sts.fabrikam.com/adfs(host w tej samej domenie), nie są wymagane żadne zmiany DNS. - Jeśli pasywny punkt końcowy uwierzytelniania to
https://fabrikamconglomerate.com/adfslubhttps://fabrikam.co.uk/adfs, domena nie jest zgodna z domeną fabrikam.com, dlatego partner musi dodać rekord tekstowy adresu URL uwierzytelniania do konfiguracji DNS.
- Jeśli pasywny punkt końcowy uwierzytelniania to
Jeśli zmiany DNS są wymagane w oparciu o poprzedni krok, poproś partnera o dodanie rekordu TXT do rekordów DNS domeny, jak w poniższym przykładzie:
fabrikam.com. IN TXT DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs
Krok 2: Skonfiguruj dostawcę tożsamości (IdP) dla organizacji partnerskiej
Następnie twoja organizacja partnerska musi skonfigurować dostawcę tożsamości przy użyciu wymaganych oświadczeń i relacyjnych zaufania stron. Aby federacja działała prawidłowo, Microsoft Entra External ID wymaga, aby zewnętrzny IdP wysyłał określone atrybuty i oświadczenia, które muszą być skonfigurowane u zewnętrznego IdPa.
Uwaga
Aby zilustrować, jak skonfigurować dostawcę tożsamości SAML/WS-Fed dla federacji, używamy jako przykładu usługi Active Directory Federation Services (AD FS). Zobacz artykuł Configure SAML/WS-Fed IdP federation with AD FS (Konfigurowanie federacji SAML/WS-Fed IdP z usługami AD FS), który zawiera przykłady konfiguracji AD FS jako dostawcy usług tożsamości SAML 2.0 lub WS-Fed w ramach przygotowań do federacji.
Aby skonfigurować dostawcę tożsamości SAML 2.0
Microsoft Entra External ID wymaga, aby odpowiedź SAML 2.0 od zewnętrznego dostawcy tożsamości (IdP) zawierała określone atrybuty i oświadczenia. Niezbędne atrybuty i oświadczenia można skonfigurować u zewnętrznego dostawcy tożsamości w następujący sposób:
- Łączenie z plikiem XML usługi tokena bezpieczeństwa online lub
- Ręczne wprowadzanie wartości
Zapoznaj się z poniższymi tabelami, aby uzyskać wymagane wartości.
Uwaga
Upewnij się, że wartość jest zgodna z chmurą, dla której konfigurujesz federację zewnętrzną.
Tabela 1. Atrybuty wymagane w odpowiedzi SAML 2.0 od dostawcy tożsamości.
| Atrybut | Wartość dla najemcy siły roboczej | Wartość dla zewnętrznego najemcy |
|---|---|---|
| AssertionConsumerService | https://login.microsoftonline.com/login.srf |
https://<tenantID>.ciamlogin.com/login.srf |
| Odbiorcy |
https://login.microsoftonline.com/<tenant ID>/ (Zalecane) Zastąp <tenant ID> identyfikatorem dzierżawy firmy Microsoft Entra, z którą konfigurujesz federację.W żądaniu SAML wysłanym przez Microsoft Entra ID dla federacji zewnętrznych adres URL wystawcy jest dzierżawionym punktem końcowym (na przykład https://login.microsoftonline.com/<tenant ID>/). W przypadku wszystkich nowych federacji zalecamy, aby wszyscy nasi partnerzy ustawili odbiorców dostawcy tożsamości opartego na protokole SAML lub WS-Fed na punkt końcowy dzierżawcy. Wszystkie istniejące federacje skonfigurowane z globalnym punktem końcowym (na przykład urn:federation:MicrosoftOnline) nadal działają, ale nowe federacje przestaną działać, jeśli zewnętrzny dostawca tożsamości oczekuje globalnego adresu URL wystawcy w żądaniu SAML wysyłanym przez Microsoft Entra ID. |
https://login.microsoftonline.com/<tenant ID>/Zastąp <tenant ID> identyfikatorem dzierżawcy Microsoft Entra, z którym konfigurujesz federację. |
| Wystawca | Adres URI partnera IdP, na przykład http://www.example.com/exk10l6w90DHM0yi... |
Identyfikator URI wystawcy IdP partnera, na przykład http://www.example.com/exk10l6w90DHM0yi... |
Tabela 2. Wymagane oświadczenia dla tokenu SAML 2.0 wystawionego przez dostawcę tożsamości.
| Nazwa atrybutu | Wartość |
|---|---|
| Format identyfikatora | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
adres e-mail |
Aby skonfigurować dostawcę tożsamości WS-Fed
Microsoft Entra External ID wymaga komunikatu WS-Fed od zewnętrznego IdP, aby uwzględniał określone atrybuty i oświadczenia. Niezbędne atrybuty i oświadczenia można skonfigurować w zewnętrznym dostawcy tożsamości przez:
- Łączenie do pliku XML usługi tokenów zabezpieczeń online lub
- Ręczne wprowadzanie wartości
Uwaga
Obecnie dwaj dostawcy WS-Fed, którzy zostali przetestowani pod kątem zgodności z Microsoft Entra ID, to AD FS i Shibboleth.
Wymagane atrybuty i oświadczenia WS-Fed
W poniższych tabelach przedstawiono wymagania dotyczące określonych atrybutów i oświadczeń, które należy skonfigurować u zewnętrznego dostawcy tożsamości WS-Fed. Aby skonfigurować federację, następujące atrybuty muszą zostać odebrane w komunikacie WS-Fed od usługodawcy tożsamości (IdP). Te atrybuty można skonfigurować, łącząc się z plikiem XML usługi tokenu zabezpieczającego online lub wprowadzając je ręcznie.
Zapoznaj się z poniższymi tabelami, aby uzyskać wymagane wartości.
Uwaga
Upewnij się, że wartość jest zgodna z chmurą, dla której konfigurujesz federację zewnętrzną.
Tabela 3. Wymagane atrybuty w komunikacie WS-Fed od dostawcy tożsamości (IdP).
| Atrybut | Wartość dla najemcy związanego z pracownikami | Wartość dla zewnętrznego najemcy |
|---|---|---|
| PasywnyPunktKońcowyŻądającego | https://login.microsoftonline.com/login.srf |
https://<tenantID>.ciamlogin.com/login.srf |
| Odbiorcy |
https://login.microsoftonline.com/<tenant ID>/ (Zalecane) Zastąp <tenant ID> identyfikatorem dzierżawy usługi Microsoft Entra, z którą konfigurujesz federację.W żądaniu SAML wysłanym przez Microsoft Entra ID dla federacji zewnętrznych adres URL nadawcy jest punktem końcowym dzierżawionym (na przykład https://login.microsoftonline.com/<tenant ID>/). W przypadku wszystkich nowych federacji zalecamy, aby wszyscy nasi partnerzy ustawili odbiorców IdP opartego na SAML lub WS-Fed na punkt końcowy specyficzny dla najemcy. Wszystkie istniejące federacje skonfigurowane z globalnym punktem końcowym (na przykład urn:federation:MicrosoftOnline) nadal działają, ale nowe federacje przestaną działać, jeśli zewnętrzny dostawca tożsamości oczekuje globalnego adresu URL wystawcy w żądaniu SAML wysyłanym przez Microsoft Entra ID. |
https://login.microsoftonline.com/<tenant ID>/ Zastąp <tenant ID> identyfikatorem dzierżawcy Microsoft Entra, dla której konfigurujesz federację. |
| Wystawca | URI identyfikatora wystawcy IdP partnera, na przykład http://www.example.com/exk10l6w90DHM0yi... |
Identyfikator URI wydawcy IdP partnera, na przykład http://www.example.com/exk10l6w90DHM0yi... |
Tabela 4. Wymagane oświadczenia dla tokenu WS-Fed wystawionego przez IdP.
| Atrybut | Wartość |
|---|---|
| Niezmienny IDENTYFIKATOR | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
| adres e-mail | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Krok 3: Konfiguracja federacji SAML/WS-Fed IdP w Microsoft Entra External ID
Następnie skonfiguruj federację z IdP skonfigurowanym w kroku 1 w Microsoft Entra External ID. Możesz użyć centrum administracyjnego firmy Microsoft Entra lub interfejsu API programu Microsoft Graph. Zanim zasady federacji zostaną zastosowane, może upłynąć 5–10 minut. W tym czasie nie próbuj ukończyć rejestracji samoobsługowej ani zrealizować zaproszenia do domeny federacyjnej. Wymagane są następujące atrybuty:
- Identyfikator URI wystawcy dostawcy tożsamości partnera
- Pasjiwny punkt końcowy weryfikacji tożsamości partnera IdP (obsługiwany tylko protokół HTTPS)
- Certyfikat
Aby dodać dostawcę tożsamości do dzierżawy w centrum administracyjnym firmy Microsoft Entra
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator zewnętrznego dostawcy tożsamości.
Jeśli masz dostęp do wielu dzierżaw, użyj ikony ustawień
w górnym menu, a następnie przejdź do swojej dzierżawy z menu katalogi.Przejdź do Tożsamość>Zewnętrzne tożsamości>Wszyscy dostawcy tożsamości.
Wybierz kartę Niestandardowe, a następnie wybierz Dodaj nowy>SAML/WS-Fed.
Na stronie Nowy dostawca tożsamości SAML/WS-Fed wprowadź następujące informacje:
- Nazwa wyświetlana — wprowadź nazwę, która pomoże zidentyfikować IdP partnera.
- Protokół dostawcy tożsamości - wybierz SAML lub WS-Fed.
- Nazwa domeny federacyjnego dostawcy tożsamości — wprowadź docelową nazwę domeny dostawcy tożsamości partnera dla federacji. Podczas tej początkowej konfiguracji wprowadź tylko jedną nazwę domeny. Później możesz dodać więcej domen.
Wybierz metodę wypełniania metadanych. Jeśli masz plik zawierający metadane, możesz automatycznie wypełnić pola, wybierając pozycję Przeanalizuj plik metadanych i przeglądając plik. Możesz też wybrać Ręczne wprowadzenie metadanych i wprowadzić następujące informacje:
- Identyfikator URI wystawcy dostawcy tożsamości SAML partnera lub identyfikator jednostki dostawcy tożsamości WS-Fed partnera.
- Paswyny punkt końcowy uwierzytelniania IdP SAML partnera lub pasywny punkt końcowy żądającego IdP WS-Fed partnera.
- Certyfikat — identyfikator certyfikatu podpisywania.
- Adres URL metadanych — lokalizacja metadanych IdP na potrzeby automatycznego odnawiania certyfikatu podpisywania.
Uwaga
Adres URL metadanych jest opcjonalny. Jednak zdecydowanie zalecamy to. Jeśli podasz adres URL metadanych, Microsoft Entra ID może automatycznie odnowić certyfikat podpisywania po jego wygaśnięciu. Jeśli certyfikat jest obracany z jakiegokolwiek powodu przed upływem czasu wygaśnięcia lub jeśli nie podasz adresu URL metadanych, identyfikator Entra firmy Microsoft nie może go odnowić. W takim przypadku należy ręcznie zaktualizować certyfikat podpisywania.
Wybierz pozycję Zapisz. Dostawca tożsamości jest dodawany do listy dostawców tożsamości SAML/WS-Fed.
(Opcjonalnie) Aby dodać więcej nazw domen do tego federacyjnego dostawcy tożsamości:
Wybierz link w kolumnie Domeny .
Obok pola Nazwa domeny federacyjnego dostawcy tożsamości wpisz domenę, a następnie wybierz Dodaj. Powtórz dla każdej domeny, którą chcesz dodać. Po zakończeniu wybierz pozycję Gotowe.
Aby skonfigurować federację przy użyciu interfejsu API programu Microsoft Graph
Aby skonfigurować federację z dostawcą tożsamości obsługującym protokół SAML lub WS-Fed, możesz użyć interfejsu API Microsoft Graph samlOrWsFedExternalDomainFederation.
Krok 4. Konfiguracja zamówienia realizacji zniżki (współpraca B2B w środowisku użytkowników)
Jeśli konfigurujesz federację w dzierżawie pracowników na potrzeby współpracy B2B ze zweryfikowaną domeną, upewnij się, że federacyjny dostawca tożsamości jest używany jako pierwszy podczas realizacji zaproszenia. Skonfiguruj ustawienia realizacji zamówienia w ustawieniach dostępu między dzierżawami dla wejściowego ruchu w ramach współpracy B2B. Przenieś dostawców tożsamości SAML/WS-Fed na początek listy Podstawowych dostawców tożsamości, aby priorytetyzować wymianę z federacyjnym dostawcą tożsamości.
Konfigurację federacji można przetestować, zapraszając nowego użytkownika-gościa B2B. Aby uzyskać szczegółowe informacje, zobacz Dodawanie użytkowników współpracy firmy Microsoft Entra B2B w centrum administracyjnym firmy Microsoft Entra.
Uwaga
Zamówienie realizacji zaproszeń można skonfigurować przy użyciu interfejsu API REST programu Microsoft Graph (wersja beta). Zobacz Przykład 2: Aktualizowanie domyślnej konfiguracji realizacji zaproszeń w dokumentacji referencyjnej programu Microsoft Graph.
Jak zaktualizować szczegóły certyfikatu lub konfiguracji
Na stronie Wszyscy dostawcy tożsamości można wyświetlić listę dostawców tożsamości SAML/WS-Fed skonfigurowanych i dat wygaśnięcia certyfikatu. Z tej listy można odnowić certyfikaty i zmodyfikować inne szczegóły konfiguracji.
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator zewnętrznego dostawcy tożsamości.
Przejdź do Tożsamość>Zewnętrzni użytkownicy>Wszyscy dostawcy tożsamości.
Wybierz kartę Niestandardowe .
Przewiń do dostawcy tożsamości na liście lub użyj pola wyszukiwania.
Aby zaktualizować certyfikat lub zmodyfikować szczegóły konfiguracji:
- W kolumnie Konfiguracja dostawcy tożsamości wybierz link Edytuj .
- Na stronie konfiguracji zmodyfikuj dowolny z następujących szczegółów:
- Nazwa wyświetlana — nazwa wyświetlana dla organizacji partnera.
- Protokół dostawcy tożsamości — wybierz opcję SAML lub WS-Fed.
- Punkt końcowy uwierzytelniania pasywnego — pasywny punkt końcowy dostawcy tożsamości partnera.
- Certyfikat — identyfikator certyfikatu podpisywania. Aby go odnowić, wprowadź nowy identyfikator certyfikatu.
- Adres URL metadanych zawiera metadane partnera, które są używane do automatycznego odnawiania certyfikatu podpisu.
- Wybierz pozycję Zapisz.
Aby edytować domeny skojarzone z partnerem, wybierz link w kolumnie Domeny . W okienku szczegółów domeny:
- Aby dodać domenę, wpisz nazwę domeny obok nazwy domeny federacyjnego dostawcy tożsamości, a następnie wybierz pozycję Dodaj. Powtórz dla każdej domeny, którą chcesz dodać.
- Aby usunąć domenę, wybierz ikonę usuwania obok domeny.
- Po zakończeniu wybierz pozycję Gotowe.
Jak usunąć federację
Możesz usunąć konfigurację federacji. Jeśli to zrobisz, użytkownicy-goście federacyjni, którzy już zrealizowali swoje zaproszenia, nie mogą już się zalogować. Możesz jednak ponownie przyznać im dostęp do zasobów, resetując status ich realizacji. Aby usunąć konfigurację IdP w centrum administracyjnym Microsoft Entra:
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator zewnętrznego dostawcy tożsamości.
Przejdź do Tożsamość>Tożsamości zewnętrzne>Wszyscy dostawcy tożsamości.
Wybierz kartę Niestandardowe, a następnie przewiń listę, aby znaleźć dostawcę tożsamości lub użyj pola wyszukiwania.
Wybierz link w kolumnie Domeny, aby wyświetlić szczegóły domeny IdP.
Usuń wszystkie domeny oprócz jednej z listy nazw domen Nazwa domeny.
Wybierz pozycję Usuń konfigurację, a następnie wybierz pozycję Gotowe.
Wybierz przycisk OK , aby potwierdzić usunięcie.
Federację można również usunąć, korzystając z interfejsu Microsoft Graph API samlOrWsFedExternalDomainFederation typu zasobu.
Następne kroki
- Najemcy zewnętrzni:Dodaj dostawcę usług tożsamości SAML/WS-Fed do przepływu użytkownika.
- Najemcy kadrowi: Dowiedz się więcej o doświadczeniu realizacji zaproszenia, gdy użytkownicy zewnętrzni logują się przy użyciu różnych dostawców tożsamości.