Przykład: Konfigurowanie federacji SAML/WS-Fed IdP z usługami AD FS na potrzeby współpracy B2B
Dotyczy:
Dzierżawcy siły roboczej — dzierżawcy zewnętrzni 
(dowiedz się więcej)
Uwaga
Federacja bezpośrednia w Tożsamość zewnętrzna Microsoft Entra jest teraz nazywana federacją dostawcy tożsamości SAML/WS-Fed (IdP).
W tym artykule opisano sposób konfigurowania federacji dostawcy tożsamości SAML/WS-Fed przy użyciu usług Active Directory Federation Services (AD FS) jako dostawcy tożsamości SAML 2.0 lub WS-Fed. Aby obsługiwać federację, należy skonfigurować pewne atrybuty i oświadczenia w dostawcy tożsamości. Aby zilustrować sposób konfigurowania dostawcy tożsamości dla federacji, jako przykład używamy usług Active Directory Federation Services (AD FS). Pokazujemy, jak skonfigurować usługi AD FS zarówno jako dostawcę tożsamości SAML, jak i jako dostawcę tożsamości WS-Fed.
Uwaga
W tym artykule opisano sposób konfigurowania usług AD FS zarówno dla samL, jak i WS-Fed na potrzeby ilustracji. W przypadku integracji federacyjnych, w których dostawcy tożsamości jest usług AD FS, zalecamy użycie WS-Fed jako protokołu.
Konfigurowanie usług AD FS dla federacji SAML 2.0
Microsoft Entra B2B można skonfigurować do federacji z dostawcami tożsamości, które używają protokołu SAML z określonymi wymaganiami wymienionymi poniżej. Aby zilustrować kroki konfiguracji PROTOKOŁU SAML, w tej sekcji przedstawiono sposób konfigurowania usług AD FS dla protokołu SAML 2.0.
Aby skonfigurować federację, następujące atrybuty muszą zostać odebrane w odpowiedzi SAML 2.0 od dostawcy tożsamości. Te atrybuty można skonfigurować, łącząc się z plikiem XML usługi tokenu zabezpieczającego online lub wprowadzając je ręcznie. Krok 12 w artykule Tworzenie testowego wystąpienia usług AD FS opisuje sposób znajdowania punktów końcowych usług AD FS lub sposobu generowania adresu URL metadanych, na przykład https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.
| Atrybut | Wartość |
|---|---|
| AssertionConsumerService | https://login.microsoftonline.com/login.srf |
| Odbiorcy | urn:federation:MicrosoftOnline |
| Wystawca | Identyfikator URI wystawcy dostawcy tożsamości partnera, na przykład http://www.example.com/exk10l6w90DHM0yi... |
W tokenie SAML 2.0 wystawionym przez dostawcę tożsamości należy skonfigurować następujące oświadczenia:
| Atrybut | Wartość |
|---|---|
| NameID Format | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
| emailaddress | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
W następnej sekcji pokazano, jak skonfigurować wymagane atrybuty i oświadczenia przy użyciu usług AD FS jako przykład dostawcy tożsamości SAML 2.0.
Zanim rozpoczniesz
Przed rozpoczęciem tej procedury należy już skonfigurować i działać serwer usług AD FS.
Dodawanie opisu oświadczenia
Na serwerze usług AD FS wybierz pozycję Narzędzia zarządzania>usługami AD FS.
W okienku nawigacji wybierz pozycję Opisy oświadczeń usługi>.
W obszarze Akcje wybierz pozycję Dodaj opis oświadczenia.
W oknie Dodawanie opisu oświadczenia określ następujące wartości:
- Nazwa wyświetlana: trwały identyfikator
- Identyfikator oświadczenia:
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent - Zaznacz pole wyboru w polu Opublikuj ten opis oświadczenia w metadanych federacji jako typ oświadczenia, który może zaakceptować ta usługa federacyjna.
- Zaznacz pole wyboru w polu Publish this claim description in federation metadata as a claim type that this federation service can send (Opublikuj ten opis oświadczenia w metadanych federacji jako typ oświadczenia, który może wysłać ta usługa federacyjna).
Wybierz OK
Dodawanie zaufania jednostki uzależnionej
Na serwerze usług AD FS przejdź do pozycji Narzędzia zarządzanie> usługami AD FS.
W okienku nawigacji wybierz pozycję Zaufania jednostki uzależnionej.
W obszarze Akcje wybierz pozycję Dodaj zaufanie jednostki uzależnionej.
W kreatorze Dodawanie zaufania jednostki uzależnionej wybierz pozycję Oświadczenia rozpoznane, a następnie wybierz pozycję Uruchom.
W sekcji Wybieranie źródła danych zaznacz pole wyboru Importuj dane dotyczące jednostki uzależnionej opublikowanej w trybie online lub w sieci lokalnej. Wprowadź ten adres URL metadanych federacji:
https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. Wybierz Dalej.Pozostaw inne ustawienia w opcjach domyślnych. Przejdź do pozycji Dalej, a na koniec wybierz pozycję Zamknij , aby zamknąć kreatora.
W obszarze Zarządzanie usługami AD FS w obszarze Zaufania jednostki uzależnionej kliknij prawym przyciskiem myszy właśnie utworzone zaufanie jednostki uzależnionej i wybierz pozycję Właściwości.
Na karcie Monitorowanie usuń zaznaczenie pola Monitorowanie jednostki uzależnionej.
Na karcie Identyfikatory wprowadź w
https://login.microsoftonline.com/<tenant ID>/polu tekstowym Identyfikator jednostki uzależnionej przy użyciu identyfikatora dzierżawy dzierżawy firmy Microsoft entra partnera usług. Wybierz Dodaj.Uwaga
Pamiętaj, aby po identyfikatorze dzierżawy uwzględnić ukośnik (/), na przykład:
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.Wybierz przycisk OK.
Tworzenie reguł oświadczeń
Kliknij prawym przyciskiem myszy utworzoną relację zaufania jednostki uzależnionej, a następnie wybierz polecenie Edytuj zasady wystawiania oświadczeń.
W kreatorze Edytowanie reguł oświadczeń wybierz pozycję Dodaj regułę.
W szablonie reguły oświadczenia wybierz pozycję Wyślij atrybuty LDAP jako oświadczenia.
W obszarze Konfigurowanie reguły oświadczeń określ następujące wartości:
- Nazwa reguły oświadczenia: reguła oświadczenia e-mail
- Magazyn atrybutów: Active Directory
- Atrybut LDAP: adresy e-mail
- Typ oświadczenia wychodzącego: adres e-mail
Wybierz Zakończ.
Wybierz Dodaj regułę.
W szablonie reguły oświadczenia wybierz pozycję Przekształć oświadczenie przychodzące, a następnie wybierz przycisk Dalej.
W obszarze Konfigurowanie reguły oświadczeń określ następujące wartości:
- Nazwa reguły oświadczenia: Reguła przekształcania wiadomości e-mail
- Typ oświadczenia przychodzącego: Adres e-mail
- Typ oświadczenia wychodzącego: identyfikator nazwy
- Format identyfikatora nazwy wychodzącej: trwały identyfikator
- Wybierz opcję Przekaż wszystkie wartości oświadczenia.
Wybierz Zakończ.
W okienku Edytowanie reguł oświadczeń są wyświetlane nowe reguły. Wybierz Zastosuj.
Wybierz pozycję OK. Serwer usług AD FS jest teraz skonfigurowany do federacji przy użyciu protokołu SAML 2.0.
Konfigurowanie usług AD FS dla federacji WS-Fed
Microsoft Entra B2B można skonfigurować do federacji z dostawcami tożsamości, które używają protokołu WS-Fed z określonymi wymaganiami wymienionymi poniżej. Obecnie dwaj dostawcy usług WS-Fed zostały przetestowane pod kątem zgodności z Tożsamość zewnętrzna Microsoft Entra obejmują usługi AD FS i Shibboleth. W tym miejscu używamy usług Active Directory Federation Services (AD FS) jako przykład dostawcy tożsamości WS-Fed. Aby uzyskać więcej informacji na temat ustanawiania zaufania jednostki uzależnionej między dostawcą zgodnym z usługą WS-Fed za pomocą Tożsamość zewnętrzna Microsoft Entra, pobierz dokumenty zgodności dostawcy tożsamości firmy Microsoft Entra.
Aby skonfigurować federację, następujące atrybuty muszą zostać odebrane w komunikacie WS-Fed od dostawcy tożsamości. Te atrybuty można skonfigurować, łącząc się z plikiem XML usługi tokenu zabezpieczającego online lub wprowadzając je ręcznie. Krok 12 w artykule Tworzenie testowego wystąpienia usług AD FS opisuje sposób znajdowania punktów końcowych usług AD FS lub sposobu generowania adresu URL metadanych, na przykład https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.
| Atrybut | Wartość |
|---|---|
| PassiveRequestorEndpoint | https://login.microsoftonline.com/login.srf |
| Odbiorcy | urn:federation:MicrosoftOnline |
| Wystawca | Identyfikator URI wystawcy dostawcy tożsamości partnera, na przykład http://www.example.com/exk10l6w90DHM0yi... |
Wymagane oświadczenia dla tokenu WS-Fed wystawionego przez dostawcę tożsamości:
| Atrybut | Wartość |
|---|---|
| Niezmienny IDENTYFIKATOR | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
| emailaddress | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
W następnej sekcji pokazano, jak skonfigurować wymagane atrybuty i oświadczenia przy użyciu usług AD FS jako przykład dostawcy tożsamości WS-Fed.
Zanim rozpoczniesz
Przed rozpoczęciem tej procedury należy już skonfigurować i działać serwer usług AD FS.
Dodawanie zaufania jednostki uzależnionej
Na serwerze usług AD FS przejdź do pozycji Narzędzia>zarządzania usługami AD FS.
W okienku nawigacji wybierz pozycję Relacje> zaufania zaufania jednostki uzależnionej zaufania.
W obszarze Akcje wybierz pozycję Dodaj zaufanie jednostki uzależnionej.
W kreatorze Dodawanie zaufania jednostki uzależnionej wybierz pozycję Oświadczenia rozpoznane, a następnie wybierz pozycję Uruchom.
W sekcji Wybieranie źródła danych wybierz pozycję Wprowadź dane dotyczące jednostki uzależnionej ręcznie, a następnie wybierz pozycję Dalej.
Na stronie Określanie nazwy wyświetlanej wpisz nazwę w polu Nazwa wyświetlana. Opcjonalnie możesz wprowadzić opis tego zaufania jednostki uzależnionej w sekcji Uwagi . Wybierz Dalej.
Opcjonalnie na stronie Konfigurowanie certyfikatu, jeśli masz certyfikat szyfrowania tokenu, wybierz pozycję Przeglądaj, aby zlokalizować plik certyfikatu. Wybierz Dalej.
Na stronie Konfigurowanie adresu URL zaznacz pole wyboru Włącz obsługę protokołu pasywnego WS-Federation. W obszarze Adres URL pasywnego protokołu WS-Federation jednostki uzależnionej wprowadź następujący adres URL:
https://login.microsoftonline.com/login.srfWybierz Dalej.
Na stronie Konfigurowanie identyfikatorów wprowadź następujące adresy URL i wybierz pozycję Dodaj. W drugim adresie URL wprowadź identyfikator dzierżawy dzierżawy firmy Microsoft Entra partnera usług.
urn:federation:MicrosoftOnlinehttps://login.microsoftonline.com/<tenant ID>/
Uwaga
Pamiętaj, aby po identyfikatorze dzierżawy uwzględnić ukośnik (/), na przykład:
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.Wybierz Dalej.
Na stronie Wybieranie zasad kontroli dostępu wybierz zasady, a następnie wybierz pozycję Dalej.
Na stronie Gotowe do dodania zaufania przejrzyj ustawienia, a następnie wybierz przycisk Dalej, aby zapisać informacje o zaufaniu jednostki uzależnionej.
Na stronie Zakończenie wybierz pozycję Zamknij. wybierz pozycję Zaufanie jednostki uzależnionej i wybierz pozycję Edytuj zasady wystawiania oświadczeń.
Tworzenie reguł oświadczeń
Wybierz właśnie utworzoną relację zaufania jednostki uzależnionej, a następnie wybierz pozycję Edytuj zasady wystawiania oświadczeń.
Wybierz Dodaj regułę.
Wybierz pozycję Wyślij atrybuty LDAP jako oświadczenia, a następnie wybierz pozycję Dalej.
W obszarze Konfigurowanie reguły oświadczeń określ następujące wartości:
- Nazwa reguły oświadczenia: reguła oświadczenia e-mail
- Magazyn atrybutów: Active Directory
- Atrybut LDAP: adresy e-mail
- Typ oświadczenia wychodzącego: adres e-mail
Wybierz Zakończ.
W tym samym kreatorze Edytowanie reguł oświadczeń wybierz pozycję Dodaj regułę.
Wybierz pozycję Wyślij oświadczenia przy użyciu reguły niestandardowej, a następnie wybierz pozycję Dalej.
W obszarze Konfigurowanie reguły oświadczeń określ następujące wartości:
- Nazwa reguły oświadczenia: Problem z niezmiennym identyfikatorem
- Reguła niestandardowa:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), query = "samAccountName={0};objectGUID;{1}", param = regexreplace(c.Value, "(?<domain>[^\\]+)\\(?<user>.+)", "${user}"), param = c.Value);
Wybierz Zakończ.
Wybierz przycisk OK. Serwer usług AD FS jest teraz skonfigurowany do federacji przy użyciu WS-Fed.
Następne kroki
Następnie skonfiguruj federację dostawcy tożsamości SAML/WS-Fed w Tożsamość zewnętrzna Microsoft Entra w witrynie Azure Portal lub przy użyciu interfejsu API programu Microsoft Graph.