Federação com provedores de identidade SAML/WS-Fed
Aplica-se a: 
Locatários da força de trabalho Locatários externos (saiba mais)
O locatário do Microsoft Entra pode ser federado diretamente com organizações externas que usam um IdP (provedor de identidade) SAML ou WS-Fed. Os usuários da organização externa podem usar sua conta gerenciada por IdP para entrar em seu locatário, sem precisar criar novas credenciais do Microsoft Entra. Para usuários recém-convidados, a federação SAML/WS-Fed IdP tem precedência como o método de entrada principal. O usuário é redirecionado para o IdP ao se cadastrar ou fazer login no seu aplicativo e depois retornado ao Microsoft Entra assim que fizer login com êxito.
Você pode associar vários domínios a uma única configuração de federação. O domínio do parceiro pode ser verificado ou não verificado pelo Microsoft Entra.
Configurar a federação de IdP do SAML/WS-Fed exige a configuração tanto na instância quanto no IdP da organização externa. Em alguns casos, o parceiro precisa atualizar seus registros de texto DNS. Eles também precisam atualizar os respectivos IdPs com as declarações necessárias e as relações de confiança de terceira parte confiável.
Observação
Esse recurso está atualmente em versão prévia para locatários externos e geralmente está disponível para locatários da força de trabalho.
Quando um usuário é autenticado com a federação de IdP do SAML/WS-Fed?
Depois de configurar a federação, a experiência de entrada para o usuário externo depende das configurações de entrada e se o domínio do parceiro é verificado pelo Microsoft Entra.
Federação com domínios verificados e não verificados
Você pode configurar a federação SAML/WS-Fed IdP com:
- domínios não verificados: esses domínios não são verificados em DNS na ID do Microsoft Entra. Para domínios não verificados, os usuários da organização externa são autenticados por meio do IdP federado SAML/WS-Fed.
- Domínios verificados do Microsoft Entra ID: esses domínios foram verificados no Microsoft Entra ID, incluindo domínios em que o locatário passou por uma tomada de controle de administrador. Para os domínios verificados, o Microsoft Entra ID é o provedor de identidade primário usado durante o resgate de convite. Para a colaboração B2B em um locatário da força de trabalho, você pode alterar a ordem de resgate para tornar o IdP federado o método primário.
Observação
Atualmente, as configurações de solicitações de resgate não têm suporte em clientes externos ou entre diferentes ambientes de nuvem.
Federação com locatários não gerenciados (verificados por email)
Você pode configurar a federação de IdP do SAML/WS-Fed com domínios que não são verificados por DNS no Microsoft Entra ID, incluindo “locatários” não gerenciados (verificados por email ou “virais”) do Microsoft Entra. Esses locatários são criados quando um usuário resgata um convite B2B ou executa uma inscrição por autoatendimento para o Microsoft Entra ID usando um domínio que não existe atualmente.
Como a federação afeta os usuários externos atuais
Configurar a federação não altera o método de autenticação para usuários que já resgataram um convite. Por exemplo:
- Os usuários que resgataram convites antes da instalação da federação continuam usando seu método de autenticação original. Por exemplo, os usuários que resgataram convites com autenticação de senha única antes de configurar a federação continuam usando senhas pontuais.
- Os usuários que resgataram convites com o IdP federado continuam usando esse método, mesmo que sua organização posteriormente se mova para o Microsoft Entra.
- Os usuários que estão usando o IdP do SAML/WS-Fed serão impedidos de entrar se a federação for excluída.
Você não precisa enviar novos convites para os usuários existentes porque eles continuam usando o método de entrada atual. Mas para a colaboração B2B em um locatário da força de trabalho, você pode redefinir o status de resgate de um usuário. Na próxima vez que o usuário acessar seu aplicativo, ele repetirá as etapas de resgate e mudará para a federação. Atualmente, não há suporte para as configurações de ordem de resgate em locatários externos ou entre nuvens.
Pontos de extremidade de entrada em locatários da força de trabalho
Quando a federação é configurada no locatário da força de trabalho, os usuários da organização federada podem entrar nos seus aplicativos multilocatário ou internos da Microsoft usando um ponto de extremidade comum (em outras palavras, uma URL de aplicativo geral que não inclua o contexto do locatário). Durante o processo de entrada, o usuário escolhe Opções de entrada e seleciona Entrar em uma organização. Eles digitam o nome da sua organização e continuam entrando usando suas próprias credenciais.
Os usuários da federação de IdP do SAML/WS-Fed também podem usar pontos de extremidade de aplicativos que incluam suas informações de locatário, por exemplo:
https://myapps.microsoft.com/?tenantid=<your tenant ID>https://myapps.microsoft.com/<your verified domain>.onmicrosoft.comhttps://portal.azure.com/<your tenant ID>
Você também pode fornecer aos usuários um link direto para um aplicativo ou recurso, incluindo suas informações de locatário, por exemplo, https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>.
Considerações para configurar a federação
A configuração da federação envolve ajustar tanto o tenant do Microsoft Entra quanto o IdP da organização externa.
Requisitos de IdP do parceiro
A depender do IdP do parceiro, ele pode precisar atualizar seus registros DNS para habilitar a federação com você. Confira Etapa 1: Determinar se o parceiro precisa atualizar os registros de texto de DNS.
A URL do emissor na solicitação SAML enviada pelo Microsoft Entra ID para federações externas agora é um ponto de extremidade com locatários, enquanto anteriormente era um ponto de extremidade global. As federações existentes com o ponto de extremidade global continuam funcionando. Mas, para novas federações, defina o público-alvo do IdP do SAML ou do WS-Fed externo como um ponto de extremidade com locatários. Consulte a seção SAML 2.0 e a seção WS-Fed para obter os atributos e declarações necessários.
Expiração do certificado de assinatura
Se você especificar a URL de metadados nas configurações do IdP, o Microsoft Entra ID renovará automaticamente o certificado de assinatura quando ele expirar. No entanto, se o certificado for rotacionado por qualquer motivo antes do prazo de expiração, ou se você não fornecer uma URL de metadados, o Microsoft Entra ID não poderá renová-lo. Nesse caso, você precisa atualizar o certificado de assinatura manualmente.
Expiração da sessão
Se a sessão do Microsoft Entra expirar ou se tornar inválida e o IdP federado tiver o SSO habilitado, o usuário terá SSO. Se a sessão do usuário federado for válida, ele não será solicitado a entrar novamente. Caso contrário, o usuário é redirecionado para seu IdP para entrar.
Outras considerações
Veja a seguir outras considerações ao federar com um provedor de identidade SAML/WS-Fed.
A federação não resolve problemas de entrada causados por uma locação parcialmente sincronizada, em que as identidades de usuário local de um parceiro não são totalmente sincronizadas com o Microsoft Entra na nuvem. Esses usuários não podem entrar com um convite B2B; portanto, precisam usar o recurso de senha única por email . O recurso de federação de IdP do SAML/WS-Fed é para parceiros com suas próprias contas organizacionais gerenciadas por IdP, mas sem presença do Microsoft Entra.
A federação não substitui a necessidade de contas de convidado B2B no seu diretório. Com a colaboração B2B, uma conta convidado é criada para o usuário no diretório do locatário da força de trabalho, independentemente do método de autenticação ou de federação usado. Esse objeto de usuário permite conceder acesso a aplicativos, atribuir funções e definir a associação em grupos de segurança.
Atualmente, o recurso de federação SAML/WS-Fed do Microsoft Entra não dá suporte ao envio de um token de autenticação assinado para o provedor de identidade SAML.
Configurar a federação de IdP do SAML/WS-Fed
Etapa 1: determinar se o parceiro precisa atualizar seus registros de texto de DNS
Use as etapas a seguir para determinar se o parceiro precisa atualizar seus registros DNS para habilitar a federação com você.
Verifique a URL de autenticação passiva do IdP do parceiro para conferir se o domínio corresponde ao domínio de destino ou a um host dentro do domínio de destino. Em outras palavras, ao configurar a federação para
fabrikam.com:- Se a ponto de extremidade de autenticação passiva for
https://fabrikam.comouhttps://sts.fabrikam.com/adfs(um host no mesmo domínio), nenhuma alteração de DNS será necessária. - Se o ponto de extremidade de autenticação passiva for
https://fabrikamconglomerate.com/adfsouhttps://fabrikam.co.uk/adfs, o domínio não corresponde ao domínio fabrikam.com, portanto, o parceiro precisa adicionar um registro de texto para a URL de autenticação à sua configuração DNS.
- Se a ponto de extremidade de autenticação passiva for
Se forem necessárias alterações de DNS com base na etapa anterior, peça ao parceiro para adicionar um registro TXT aos registros DNS do domínio do parceiro, como no exemplo a seguir:
fabrikam.com. IN TXT DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs
Etapa 2: configurar o provedor de identidade da organização parceira
Em seguida, a organização parceira precisa configurar o respectivo provedor de identidade com as declarações e relações de confiança da terceira parte confiável necessárias.
Observação
Para ilustrar como configurar um IdP SAML/WS-Fed para federação, usamos os Serviços de Federação do Active Directory (AD FS) como exemplo. Confira o artigo Configurar a federação do IdP do SAML/WS-Fed com o AD FS, que fornece exemplos de como configurar o AD FS como um provedor de identidade SAML 2.0 ou WS-Fed em preparação para a federação.
Configuração do SAML 2.0
O Microsoft Entra B2B pode ser configurado para federar com IdPs que usam o protocolo SAML com os requisitos específicos listados nesta seção. Para obter mais informações sobre como configurar uma relação de confiança entre seu IdP SAML e o Microsoft Entra ID, consulte Usar um IdP (provedor de identidade) SAML 2.0 para SSO.
Observação
Você pode configurar a federação do IdP SAML/WS-Fed com outros domínios verificados do Microsoft Entra ID. Saiba mais
Atributos e declarações SAML 2.0 necessários
As tabelas a seguir mostram os requisitos para declarações e atributos específicos que devem ser configurados no provedor de identidade de terceiros. Para configurar a federação, os atributos a seguir precisam ser recebidos na resposta SAML 2.0 do IdP. Esses atributos podem ser configurados vinculando ao arquivo XML do serviço de token de segurança online ou inserindo-os manualmente.
Observação
Certifique-se de que o valor corresponda à nuvem para a qual você está configurando a federação externa.
Tabela 1. Atributos necessários para a resposta SAML 2.0 do IdP.
| Atributo | Valor |
|---|---|
| AssertionConsumerService | https://login.microsoftonline.com/login.srf |
| Público | https://login.microsoftonline.com/<tenant ID>/ (Recomendável) Substitua <tenant ID> pela ID de locatário do locatário do Microsoft Entra com o qual você está configurando a federação.Na solicitação SAML enviada pelo Microsoft Entra ID para federações externas, a URL do Emissor é um ponto de extremidade locatário (por exemplo, https://login.microsoftonline.com/<tenant ID>/). Para novas federações, recomendamos que todos os nossos parceiros definam a audiência do IdP baseado em SAML ou WS-Fed como um ponto de extremidade locatário. As federações existentes configuradas com o ponto de extremidade global (por exemplo, urn:federation:MicrosoftOnline) continuarão funcionando, mas as novas federações deixarão de funcionar se o IdP externo estiver esperando uma URL do emissor global na solicitação SAML enviada pelo Microsoft Entra ID. |
| Emissor | O URI do emissor do IdP do parceiro, por exemplo, http://www.example.com/exk10l6w90DHM0yi... |
Tabela 2. Declarações necessárias para o token SAML 2.0 emitido pelo IdP.
| Nome do atributo | Valor |
|---|---|
| Formato NameID | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
emailaddress |
Configuração de WS-Fed
O Microsoft Entra B2B pode ser configurado para federar com IdPs que usam o protocolo WS-Fed. Esta seção discute os requisitos. Atualmente, os dois provedores de WS-Fed que foram testados para compatibilidade com o Microsoft Entra ID são AD FS e Shibboleth. Para obter mais informações sobre como estabelecer um objeto de confiança de terceira parte confiável entre o Microsoft Entra ID e um provedor em conformidade com o WS-Fed, confira o "Documento de integração do STS usando protocolos WS", disponível nos Documentos de compatibilidade do provedor de identidade do Microsoft Entra.
Observação
Você pode configurar a federação do IdP SAML/WS-Fed com outros domínios verificados do Microsoft Entra ID. Saiba mais
Atributos e declarações WS-Fed necessários
As tabelas a seguir mostram os requisitos para declarações e atributos específicos que devem ser configurados no provedor de identidade WS-FED de terceiros. Para configurar a federação, os atributos a seguir precisam ser recebidos na mensagem WS-Fed do IdP. Esses atributos podem ser configurados vinculando ao arquivo XML do serviço de token de segurança online ou inserindo-os manualmente.
Observação
Certifique-se de que o valor corresponda à nuvem para a qual você está configurando a federação externa.
Tabela 3. Atributos necessários na mensagem WS-Fed do IdP.
| Atributo | Valor |
|---|---|
| PassiveRequestorEndpoint | https://login.microsoftonline.com/login.srf |
| Público | https://login.microsoftonline.com/<tenant ID>/ (Recomendável) Substitua <tenant ID> pela ID de locatário do locatário do Microsoft Entra com o qual você está configurando a federação.Na solicitação SAML enviada pelo Microsoft Entra ID para federações externas, a URL do Emissor é um ponto de extremidade locatário (por exemplo, https://login.microsoftonline.com/<tenant ID>/). Para novas federações, recomendamos que todos os nossos parceiros definam a audiência do IdP baseado em SAML ou WS-Fed como um ponto de extremidade locatário. As federações existentes configuradas com o ponto de extremidade global (por exemplo, urn:federation:MicrosoftOnline) continuarão funcionando, mas as novas federações deixarão de funcionar se o IdP externo estiver esperando uma URL do emissor global na solicitação SAML enviada pelo Microsoft Entra ID. |
| Emissor | O URI do emissor do IdP do parceiro, por exemplo, http://www.example.com/exk10l6w90DHM0yi... |
Tabela 4. Declarações necessárias para o token WS-Fed emitido pelo IdP.
| Atributo | Valor |
|---|---|
| ImmutableID | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
| emailaddress | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Etapa 3: Configurar a federação SAML/WS-Fed IdP no Microsoft Entra External ID
Em seguida, configure a federação com o IdP configurado na etapa 1 na ID externa do Microsoft Entra. Use o centro de administração do Microsoft Entra ou a API do Microsoft Graph. Pode levar de 5 a 10 minutos para a política de federação entrar em vigor. Durante esse tempo, não tente resgatar um convite para o domínio da federação. Os atributos a seguir são obrigatórios:
- URI do emissor do IdP do parceiro
- Ponto de extremidade de autenticação passiva do parceiro IdP (apenas https é compatível)
- Certificado
Para configurar a federação no centro de administração do Microsoft Entra
Faça login no centro de administração do Microsoft Entra como, pelo menos, Administrador de Provedor de Identidade Externo.
Se você tiver acesso a vários locatários, use o ícone Configurações
no menu superior e alterne para o seu locatário no menu Diretórios.Navegue até Identidade>Identidades Externas>Todos os provedores de identidade.
Selecione a guia Personalizado e selecione Adicionar novo>SAML/WS-Fed.
Na página Novo IdP de SAML/WS-Fed, insira o seguinte:
- Nome de exibição – insira um nome para identificar o IdP do parceiro.
- Protocolo do provedor de identidade – selecione SAML ou WS-Fed.
- Nome de domínio do IdP da federação – insira o nome de domínio de destino do IdP do parceiro para federação. Durante essa configuração inicial, insira apenas um nome de domínio. Você pode adicionar mais domínios posteriormente.
Selecione um método para preencher os metadados. Se você tiver um arquivo que contenha os metadados, poderá preencher automaticamente os campos selecionando Arquivo de metadados de análise e procurar pelo arquivo. Ou você pode selecionar Inserir os metadados manualmente e inserir as seguintes informações:
- O URI do Emissor do IdP SAML do parceiro ou a ID da Entidade do IdP WS-Fed do parceiro.
- O Ponto de extremidade de autenticação passiva do IdP SAML do parceiro ou o Ponto de extremidade do solicitante passivo do IdP WS-Fed do parceiro.
- Certificado – A ID do certificado de autenticação.
- URL de metadados – o local dos metadados do IdP para a renovação automática do certificado de assinatura.
Observação
A URL de metadados é opcional. No entanto, é altamente recomendável. Se você fornecer a URL de metadados, o Microsoft Entra ID poderá renovar automaticamente o certificado de autenticação quando ele expirar. Se o certificado for renovado por qualquer motivo antes do prazo de expiração ou se você não fornecer uma URL de metadados, o Microsoft Entra ID não poderá renová-lo. Nesse caso, você precisa atualizar o certificado de assinatura manualmente.
Clique em Salvar. O provedor de identidade é adicionado à lista de Provedores de identidade de SAML/WS-Fed.
(Opcional) Para adicionar mais nomes de domínio ao provedor de identidade federada, faça o seguinte:
Selecione o link na coluna Domínios.
Ao lado de Nome de domínio do IdP de federação, digite o nome do domínio e clique em Adicionar. Repita a etapa para cada domínio que você deseja adicionar. Quando tiver terminado, selecione Concluído.
Para configurar a federação usando a API do Microsoft Graph
Você pode usar o tipo de recurso samlOrWsFedExternalDomainFederation da API do Microsoft Graph para configurar a federação com um provedor de identidade que dá suporte ao protocolo SAML ou WS-Fed.
Configurar a ordem de resgate (colaboração B2B em locatários da força de trabalho)
Se você estiver configurando a federação no seu locatário da força de trabalho para a colaboração B2B com um domínio verificado, verifique se o IdP federado é usado primeiro durante o resgate de convite. Defina as configurações de Ordem de resgate nas configurações de acesso entre locatários para a colaboração B2B de entrada. Mova os provedores de identidade SAML/WS-Fed para a parte superior da lista de Provedores de identidade primários para priorizar o resgate com o IdP federado. Para a colaboração B2B com um domínio verificado, torne o IdP federado o provedor de identidade primário para o resgate de convite. em relação a outros provedores de identidade durante o resgate de convite.
Você pode testar sua configuração de federação convidando um novo usuário convidado B2B. Para ver mais detalhes, confira Adicionar usuários de colaboração do Microsoft Entra B2B no centro de administração do Microsoft Entra.
Observação
As configurações do centro de administração do Microsoft Entra para o recurso de resgate configurável estão sendo distribuídas para os clientes no momento. Até que as configurações estejam disponíveis no centro de administração, você poderá configurar a ordem de resgate de convite usando a API REST do Microsoft Graph (versão beta). Consulte Exemplo 2: Atualizar a configuração de resgate de convite padrão na documentação de referência do Microsoft Graph.
Como atualizar os detalhes do certificado ou da configuração?
Na página Todos os provedores de identidade, você pode visualizar a lista de provedores de identidade SAML/WS-Fed configurados e suas datas de validade do certificado. Nessa lista, você pode renovar certificados e modificar outros detalhes de configuração.
Faça login no centro de administração do Microsoft Entra como, pelo menos, Administrador de Provedor de Identidade Externo.
Navegue até Identidade>Identidades Externas>Todos os provedores de identidade.
Selecione a guia Personalizado.
Role até um provedor de identidade na lista ou use a caixa de pesquisa.
Como atualizar os detalhes do certificado ou modificar os detalhes da configuração:
- Na coluna Configuração do provedor de identidade, selecione o link Editar.
- Na página de configuração, modifique qualquer um dos seguintes detalhes:
- Nome de exibição – nome de exibição da organização do parceiro.
- Protocolo do provedor de identidade – selecione SAML ou WS-Fed.
- Ponto de extremidade de autenticação passiva – o ponto de extremidade passivo do solicitante do IdP do parceiro.
- Certificado – A ID do certificado de autenticação. Para renová-la, insira uma nova ID de certificado.
- URL de metadados – a URL que contém os metadados do parceiro, usada para a renovação automática do certificado de autenticação.
- Clique em Salvar.
Para editar os domínios associados ao parceiro, selecione o link na coluna Domínios. No painel de detalhes do domínio, faça o seguinte:
- Para adicionar um domínio, digite o nome dele ao lado de Nome de domínio do IdP federado e clique em Adicionar. Repita a etapa para cada domínio que você deseja adicionar.
- Para excluir um domínio, selecione o ícone de exclusão ao lado dele.
- Quando tiver terminado, selecione Concluído.
Como fazer para remover uma federação?
É possível remover a configuração de federação. Se você fizer isso, os usuários convidados da federação que já resgataram seus convites não poderão mais entrar. Mas você pode dar a eles acesso aos seus recursos novamente redefinindo seu status de resgate. Para remover uma configuração de um IdP no centro de administração do Microsoft Entra:
Faça login no centro de administração do Microsoft Entra como, pelo menos, Administrador de Provedor de Identidade Externo.
Navegue até Identidade>Identidades Externas>Todos os provedores de identidade.
Selecione a guia Personalizado e role até o provedor de identidade na lista ou use a caixa de pesquisa.
Selecione o link na coluna Domínios para exibir os detalhes do domínio do IdP.
Exclua todos os domínios, exceto um, na lista de Nome de domínio.
Selecione Excluir configuração e, em seguida, Concluído.
Clique em OK para confirmar a exclusão.
Você também pode remover a federação usando o tipo de recurso samlOrWsFedExternalDomainFederation da API do Microsoft Graph.
Próximas etapas
Saiba mais sobre a experiência de resgate de convite quando usuários externos entram com vários provedores de identidade.