Exemplo: Configurar a federação de IdP SAML/WS-Fed com o AD FS para colaboração B2B
Aplica-se a: Locatários da força de trabalho Locatários externos (saiba mais)
Observação
A Federação direta na ID externa do Microsoft Entra agora é conhecida como Federação do IdP (provedor de identidade) do SAML/WS-Fed.
Este artigo descreve como configurar a federação do IdP do SAML/WS-Fed por meio dos Serviços de Federação do Active Directory (AD FS) como um IdP do SAML 2.0 ou do WS-Fed. Para dar suporte à federação, certos atributos e declarações devem ser configurados no IdP. Para ilustrar como configurar um IdP para federação, usamos os Serviços de Federação do Active Directory (AD FS) como exemplo. Mostramos como configurar o AD FS como um IdP SAML e como um IdP do WS-Fed.
Observação
Este artigo descreve como configurar os Serviços de Federação do Active Directory (AD FS) dos SAML e WS-Fed para fins de ilustração. Para integrações de federação em que o IdP está nos AD FS, recomendamos usar o WS-Fed como o protocolo.
Configurar os AD FS para a federação do SAML 2.0
O Microsoft Entra B2B pode ser configurado para federar com IdPs que usam o protocolo SAML com os requisitos específicos listados abaixo. Para ilustrar as etapas de configuração do SAML, esta seção mostra como configurar os Serviços de Federação do Active Directory (AD FS) do SAML 2,0.
Para configurar a federação, os atributos a seguir precisam ser recebidos na resposta SAML 2.0 do IdP. Esses atributos podem ser configurados vinculando ao arquivo XML do serviço de token de segurança online ou inserindo-os manualmente. A etapa 12 emCriar uma instância de teste dos Serviços de Federação do Active Directory (AD FS)descreve como localizar os pontos de extremidade dos Serviços de Federação do Active Directory (AD FS) ou como gerar a URL de metadados, por exemplo https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml
.
Atributo | Valor |
---|---|
AssertionConsumerService | https://login.microsoftonline.com/login.srf |
Público | urn:federation:MicrosoftOnline |
Emissor | O URI do emissor do IdP do parceiro, por exemplo, http://www.example.com/exk10l6w90DHM0yi... |
As seguintes declarações precisam ser configuradas no token SAML 2.0 emitido pelo IdP:
Atributo | Valor |
---|---|
Formato NameID | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
emailaddress | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
A próxima seção ilustra como configurar os atributos e declarações necessários por meio dos AD FS como um exemplo de um IdP do SAML 2.0.
Antes de começar
Um servidor dos Serviços de Federação do Active Directory (AD FS) já deve estar configurado e funcionando antes de você iniciar este procedimento.
Adicionar uma descrição da declaração
No servidor dos Serviços de Federação do Active Directory (AD FS),selecioneFerramentas>gerenciamento dos Serviços de Federação do Active Directory (AD FS) .
No painel de navegação,selecioneDescrições>da declaraçãode serviço.
EmAções,selecioneAdicionar Descrição da Declaração.
Na janelaAdicionar uma Descrição da Declaração, especifique os seguintes valores:
- Nome de Exibição:Identificador do disco persistente
- Identificador da Declaração
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
- Selecione a caixa de seleção paraPublicar esta descrição de declaração nos metadados da Federação como um tipo de declaração deste serviço da Federação pode aceitar.
- Selecione a caixa de seleção paraPublicar esta descrição de declaração nos metadados da Federação como um tipo de declaração deste serviço da Federação pode enviar.
Selecione OK.
Adicionar o objeto de confiança de terceira parte confiável
No servidor dos Serviços de Federação do Active Directory (AD FS),vá paraFerramentas>Gerenciamento dos Serviços de Federação do Active Directory (AD FS).
No painel de navegação, selecione Confianças da Terceira parte confiável.
EmAções,selecioneAdicionar Confiança da Terceira parte confiável.
No assistente Adicionar confiança de terceira parte confiável, selecione reconhecimento de declarações e, em seguida, selecione Iniciar.
Na seção Selecionar Fonte de Dados, marque a caixa de seleção Importar dados sobre a terceira parte confiável publicados online ou em uma rede local. Indique este URL de metadados da Federação:
https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml
. Selecione Avançar.Deixe as outras configurações em suas opções padrão. Continue a selecionar Avançare, finalmente, selecione Fechar para fechar o assistente.
No Gerenciamento dos Serviços de Federação do Active Directory (AD FS), em Relações de Confiança de Terceira Parte Confiável, clique com o botão direito do mouse na relação de confiança de terceira parte confiável que você acabou de criar e selecione Propriedades.
Na guia Monitoramento, desmarque a caixa Monitorar terceira parte confiável.
Na guia Identificadores, insira
https://login.microsoftonline.com/<tenant ID>/
na caixa de texto do Identificador de terceira parte confiável usando a ID do locatário do Microsoft Entra do parceiro de serviço. Selecione Adicionar.Observação
Confirme se inclui uma barra (/) após a ID do locatário, por exemplo:
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/
.Selecione OK.
Criar regras de declarações
Clique com o botão direito do mouse na terceira parte confiável, parte confiável que você criou e selecione Editar Política de Emissão de Declaração.
Na caixa de diálogoEditar Regras da Declaração, selecioneAdicionar Regra.
Em Modelo de regra de declaração, selecione Enviar atributos do LDAP como declarações.
EmConfigurar Regra de Declaração,especifique os seguintes valores:
- Nome da Regra da Declaração:Regra de declaração de e-mail
- Armazenamento de Atributos:Active Directory Domain Services
- Atributo LDAP: Endereços de e-mail
- Tipo de Declaração de Saída:Endereço de e-mail
Selecione Concluir.
Selecione Adicionar Regra.
Em modelo de regra de declaração, selecione transformar uma declaração de entradae, em seguida, selecione Avançar.
EmConfigurar Regra de Declaração,especifique os seguintes valores:
- Nome da regra de declaração: regra de transformação do endereço de e-mail
- Tipo de Declaração da Mensagem de Entrada:Endereço de e-mail
- Tipo de Declaração de Saída: ID do nome
- Arquivo de formato da ID do nome de saída: Identificador Persistente
- Selecione Passar todos os valores de declaração.
Selecione Concluir.
O painel Editar regras de declaração mostra as novas regras. Escolha Aplicar.
Selecione OK. O servidor dos AD FS agora está configurado para a federação por meio do protocolo SAML 2.0.
Configurar os AD FS para a federação do WS-Fed
O Microsoft Entra B2B pode ser configurado para federar com os IdPs que usam o protocolo WS-Fed com os requisitos específicos listados abaixo. Atualmente, os dois provedores WS-Fed que foram testados quanto à compatibilidade com a ID externa do Microsoft Entra incluem o AD FS e o Shibboleth. Aqui, usamos os Serviços de Federação do Active Directory (AD FS) como um exemplo de IdP WS-Fed. Para obter mais informações de como estabelecer uma relação de confiança da terceira parte confiável entre a ID externa do Microsoft Entra e um provedor em conformidade com o WS-Fed, baixe a documentação de compatibilidade do provedor de identidade da Microsoft.
Para configurar a federação, os atributos a seguir precisam ser recebidos na mensagem WS-Fed do IdP. Esses atributos podem ser configurados vinculando ao arquivo XML do serviço de token de segurança online ou inserindo-os manualmente. A etapa 12 emCriar uma instância de teste dos Serviços de Federação do Active Directory (AD FS)descreve como localizar os pontos de extremidade dos Serviços de Federação do Active Directory (AD FS) ou como gerar a URL de metadados, por exemplo https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml
.
Atributo | Valor |
---|---|
PassiveRequestorEndpoint | https://login.microsoftonline.com/login.srf |
Público | urn:federation:MicrosoftOnline |
Emissor | O URI do emissor do IdP do parceiro, por exemplo, http://www.example.com/exk10l6w90DHM0yi... |
Declarações necessárias para o token WS-Fed emitido pelo IdP:
Atributo | Valor |
---|---|
ImmutableID | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
emailaddress | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
A próxima seção ilustra como configurar os atributos e declarações necessários por meio dos AD FS como um exemplo de um IdP do WS-Fed.
Antes de começar
Um servidor dos Serviços de Federação do Active Directory (AD FS) já deve estar configurado e funcionando antes de você iniciar este procedimento.
Adicionar o objeto de confiança de terceira parte confiável
No servidor dos Serviços de Federação do Active Directory (AD FS),vá paraFerramentas>gerenciamento dos Serviços de Federação do Active Directory (AD FS) .
No painel de navegação, selecioneRelações de Confiança>Confianças da Terceira parte confiável.
EmAções,selecioneAdicionar Confiança da Terceira parte confiável.
No assistente Adicionar Relação de Confiança de Terceira Parte Confiável, selecione Reconhecimento de declarações e, em seguida, selecione Iniciar.
Na seção Selecionar Fonte de Dados, selecione Inserir dados sobre a terceira parte confiável manualmente e selecione Avançar.
Na página Especificar Nome de Exibição, digite um nome em Nome de Exibição. Opcionalmente, você pode inserir uma descrição para essa relação de confiança de terceira parte confiável na seção Observações. Selecione Avançar.
Opcionalmente, na página Configurar Certificado, se você tiver um certificado de criptografia de tokens, selecione Procurar para localizar um arquivo de certificado. Selecione Avançar.
Na página Configurar URL, marque a caixa de seleção Habilitar suporte para o protocolo Passivo do Web Services Federation. Em URL do protocolo Web Services Federation passivo da terceira parte confiável, insira a seguinte URL:
https://login.microsoftonline.com/login.srf
Selecione Avançar.
Na página Configurar Identificadores, insira as URLs a seguir e selecione Adicionar. Na segunda URL, insira a ID do locatário do Microsoft Entra do parceiro de serviço.
urn:federation:MicrosoftOnline
https://login.microsoftonline.com/<tenant ID>/
Observação
Confirme se inclui uma barra (/) após a ID do locatário, por exemplo:
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/
.Selecione Avançar.
Na página Escolher Política de Controle de Acesso, selecione uma política e, em seguida, clique em Avançar.
Na página Pronto para Adicionar Relação de Confiança, examine as configurações e, em seguida, clique em Avançar para salvar as informações de sua relação de confiança de terceira parte confiável.
Na página Concluir, selecione Fechar. selecione Confiança de Terceira Parte Confiável e selecione Editar a Política de Emissão de Declaração.
Criar regras de declarações
Selecione a Relação de Confiança da Terceira Parte Confiável que você acabou de criar e selecione Editar Política de Emissão de Declaração.
Selecione Adicionar regra.
Selecione Enviar Atributos LDAP como Declarações e, em seguida, selecione Avançar.
EmConfigurar Regra de Declaração,especifique os seguintes valores:
- Nome da Regra da Declaração:Regra de declaração de e-mail
- Armazenamento de Atributos:Active Directory Domain Services
- Atributo LDAP: Endereços de e-mail
- Tipo de Declaração de Saída:Endereço de e-mail
Selecione Concluir.
No mesmo assistente emEditar Regras da Declaração, selecioneAdicionar Regra.
Selecione Enviar Declarações Usando uma Regra Personalizada e, em seguida, selecione Avançar.
EmConfigurar Regra de Declaração,especifique os seguintes valores:
- Nome da regra de declaração: ID Imutável do problema
- Regra personalizada
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), query = "samAccountName={0};objectGUID;{1}", param = regexreplace(c.Value, "(?<domain>[^\\]+)\\(?<user>.+)", "${user}"), param = c.Value);
Selecione Concluir.
Selecione OK. O servidor dos AD FS agora está configurado para a federação com o WS-Fed.
Próximas etapas
Em seguida, configure a federação de IdP SAML/WS-Fed na ID externa do Microsoft Entra no portal do Azure ou usando a API do Microsoft Graph.