Federação com provedores de identidade SAML/WS-Fed
Aplica-se a:
Locatários da força detrabalho Locatários externos (saiba mais)
O seu tenant do Microsoft Entra pode estabelecer uma federação direta com organizações externas que utilizam um fornecedor de identidade SAML ou WS-Fed (IdP). Os usuários da organização externa podem usar sua conta gerenciada pelo IdP para entrar em seu locatário, sem precisar criar novas credenciais do Microsoft Entra. Para usuários recém-convidados, a federação SAML/WS-Fed IdP tem precedência como o método de entrada primário. O usuário é redirecionado para seu IdP ao se inscrever ou entrar em seu aplicativo e, em seguida, retorna ao Microsoft Entra assim que entrar com êxito.
Você pode associar vários domínios a uma única configuração de federação. O domínio do parceiro pode ser verificado ou não verificado pelo Microsoft Entra.
A configuração da federação SAML/WS-Fed IdP requer ajustes tanto no tenant quanto no IdP da organização externa. Em alguns casos, o parceiro precisa atualizar seus registros de texto DNS. Eles também precisam atualizar o seu IdP com as declarações necessárias e as relações de confiança da parte confiável.
Nota
Esse recurso está atualmente em visualização para locatários externos e está geralmente disponível para locatários da força de trabalho.
Quando um usuário é autenticado com a federação SAML/WS-Fed IdP?
Depois de configurar a federação, a experiência de início de sessão para o utilizador externo depende das suas definições de início de sessão e se o domínio do parceiro é verificado pelo Microsoft Entra.
Federação com domínios verificados e não verificados
Você pode configurar a federação SAML/WS-Fed IdP com:
- Domínios não verificados: Estes domínios não são verificados por DNS no Microsoft Entra ID. Para domínios não verificados, os usuários da organização externa são autenticados usando o SAML/WS-Fed IdP federado.
- Domínios verificados no Microsoft Entra ID: Esses domínios foram verificados no Microsoft Entra ID, incluindo domínios em que o inquilino passou por uma aquisição administrativa . Para domínios verificados, o Microsoft Entra ID é o principal provedor de identidade usado durante o resgate de convites. Para colaboração B2B em um locatário de força de trabalho, você pode alterar a ordem de resgate para tornar o IdP federado o método principal.
Nota
Atualmente, as configurações de ordem de resgate não são suportadas em locatários externos ou em nuvens.
Federação com locatários não gerenciados (verificados por email)
Você pode configurar a federação SAML/WS-Fed IdP com domínios que não são verificados pelo DNS no Microsoft Entra ID, incluindo inquilinos não geridos (verificados por e-mail ou "virais") do Microsoft Entra. Esses locatários são criados quando um usuário resgata um convite B2B ou executa a inscrição de autoatendimento para o Microsoft Entra ID usando um domínio que não existe no momento.
Como a federação afeta os usuários externos atuais
A configuração da federação não altera o método de autenticação para usuários que já resgataram um convite. Por exemplo:
- Os usuários que resgataram convites antes da configuração da federação continuam usando seu método de autenticação original. Por exemplo, os usuários que resgataram convites com autenticação de senha única antes de configurar a federação continuam usando senhas únicas.
- Os usuários que resgataram convites com o IdP federado continuam usando esse método, mesmo que sua organização mude posteriormente para o Microsoft Entra.
- Os usuários que estão usando o IdP SAML/WS-Fed são impedidos de entrar se a federação for excluída.
Não é necessário enviar novos convites para usuários existentes porque eles continuam usando seu método de entrada atual. Mas para colaboração B2B em um locatário da força de trabalho, você pode redefinir o status de resgate de um usuário. Na próxima vez que o usuário acessar seu aplicativo, ele repetirá as etapas de resgate e alternará para federação. Atualmente, as configurações de ordem de resgate não são suportadas em locatários externos ou em nuvens.
Pontos de acesso para autenticação em locatários do setor de trabalho
Quando a federação é configurada no inquilino da sua força de trabalho, os utilizadores da organização federada podem entrar nas suas aplicações multitenant ou de primeira parte da Microsoft usando um ponto de extremidade comum (ou seja, um URL geral da aplicação que não inclui o contexto do inquilino). Durante o processo de início de sessão, o utilizador escolhe opções de início de sessãoe, em seguida, seleciona Iniciar sessão numa organização. Eles digitam o nome da sua organização e continuam entrando usando suas próprias credenciais.
Os utilizadores de federação SAML/WS-Fed IdP também podem usar endpoints de aplicação que incluem as informações do seu inquilino, por exemplo:
https://myapps.microsoft.com/?tenantid=<your tenant ID>https://myapps.microsoft.com/<your verified domain>.onmicrosoft.comhttps://portal.azure.com/<your tenant ID>
Você também pode fornecer aos usuários um link direto para um aplicativo ou recurso incluindo suas informações de locatário, por exemplo, https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>.
Considerações para configurar a federação
A configuração da federação envolve a configuração do locatário do Microsoft Entra e do IdP da organização externa.
Requisitos do IdP do parceiro
Dependendo do IdP do parceiro, ele pode precisar atualizar seus registros DNS para habilitar a federação com você. Ver Etapa 1: Determinar se o parceiro precisa atualizar os seus registos de texto DNS.
A URL do Emitente no pedido SAML enviado pelo Microsoft Entra ID para federações externas agora é um ponto de extremidade associado ao locatário, enquanto anteriormente era um ponto de extremidade global. As federações existentes com o endpoint global continuam a funcionar. Mas para novas federações, defina o destino do SAML externo ou WS-Fed IdP para um endpoint do tenant. Consulte a seção SAML 2.0 e a seção WS-Fed para obter os atributos e declarações necessárias.
Expiração do certificado de assinatura
Se você especificar a URL de metadados nas configurações do IdP, o Microsoft Entra ID renovará automaticamente o certificado de assinatura quando ele expirar. No entanto, se o certificado for alternado por qualquer motivo antes do tempo de expiração, ou se você não fornecer uma URL de metadados, o Microsoft Entra ID não poderá renová-lo. Nesse caso, você precisa atualizar o certificado de assinatura manualmente.
Expiração da sessão
Se a sessão do Microsoft Entra expirar ou se tornar inválida e o IdP federado tiver o SSO habilitado, o usuário experimentará o SSO. Se a sessão do usuário federado for válida, o usuário não será solicitado a entrar novamente. Caso contrário, o usuário será redirecionado para seu IdP para entrar.
Outras considerações
A seguir estão outras considerações ao federar com um provedor de identidade SAML/WS-Fed.
A federação não resolve problemas de entrada causados por uma locação parcialmente sincronizada, em que as identidades de usuário locais de um parceiro não são totalmente sincronizadas com o Microsoft Entra na nuvem. Esses utilizadores não podem entrar com um convite B2B, então precisam usar o recurso de código temporário de acesso por e-mail. O recurso de federação SAML/WS-Fed IdP destina-se a parceiros com suas próprias contas organizacionais gerenciadas pelo IdP, mas sem presença do Microsoft Entra.
A federação não substitui a necessidade de contas B2B para convidados no seu diretório. Com a colaboração B2B, uma conta de convidado é criada para o usuário no diretório de locatários da força de trabalho, independentemente do método de autenticação ou federação usado. Esse objeto de usuário permite que você conceda acesso a aplicativos, atribua funções e defina a associação a grupos de segurança.
Atualmente, o recurso de federação Microsoft Entra SAML/WS-Fed não oferece suporte ao envio de um token de autenticação assinado para o provedor de identidade SAML.
Configurar a federação SAML/WS-Fed IdP
Etapa 1: Determinar se o parceiro precisa atualizar seus registros de texto DNS
Use as etapas a seguir para determinar se o parceiro precisa atualizar seus registros DNS para habilitar a federação com você.
Verifique a URL de autenticação passiva do IdP do parceiro para ver se o domínio corresponde ao domínio de destino ou a um host dentro do domínio de destino. Em outras palavras, ao configurar a federação para
fabrikam.com:- Se o ponto de extremidade de autenticação passiva for
https://fabrikam.comouhttps://sts.fabrikam.com/adfs(um host no mesmo domínio), nenhuma alteração de DNS será necessária. - Se o ponto de extremidade de autenticação passiva for
https://fabrikamconglomerate.com/adfsouhttps://fabrikam.co.uk/adfs, o domínio não corresponder ao domínio fabrikam.com, portanto, o parceiro precisará adicionar um registro de texto para a URL de autenticação à sua configuração de DNS.
- Se o ponto de extremidade de autenticação passiva for
Se forem necessárias alterações de DNS com base na etapa anterior, peça ao parceiro para adicionar um registro TXT aos registros DNS do domínio, como o exemplo a seguir:
fabrikam.com. IN TXT DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs
Etapa 2: Configurar o IdP da organização parceira
Em seguida, sua organização parceira precisa configurar seu IdP com as declarações necessárias e as relações de confiança da terceira parte confiável.
Nota
Para ilustrar como configurar um SAML/WS-Fed IdP para federação, usamos os Serviços de Federação do Ative Directory (AD FS) como exemplo. Consulte o artigo Configure SAML/WS-Fed IdP federation with AD FS, que fornece exemplos de como configurar o AD FS como um SAML 2.0 ou WS-Fed IdP em preparação para a federação.
Configuração do SAML 2.0
O Microsoft Entra B2B pode ser configurado para federar com IdPs que usam o protocolo SAML com requisitos específicos listados nesta seção. Para obter mais informações sobre como configurar uma relação de confiança entre seu IdP SAML e o ID do Microsoft Entra, consulte Usar um provedor de identidade (IdP) SAML 2.0 para SSO.
Nota
Agora você pode configurar a federação de IdP SAML/WS-Fed com outros domínios verificados pelo Microsoft Entra ID. Saiba mais
Atributos e declarações SAML 2.0 necessários
As tabelas a seguir mostram os requisitos para atributos e declarações específicos que devem ser configurados no IdP de terceiros. Para configurar a federação, os seguintes atributos devem ser recebidos na resposta SAML 2.0 do IdP. Esses atributos podem ser configurados vinculando-os ao arquivo XML do serviço de token de segurança online ou inserindo-os manualmente.
Nota
Certifique-se de que o valor corresponde à nuvem para a qual está a configurar a federação externa.
Tabela 1. Atributos necessários para a resposta SAML 2.0 do IdP.
| Atributo | Value |
|---|---|
| AssertionConsumerService | https://login.microsoftonline.com/login.srf |
| Audiência |
https://login.microsoftonline.com/<tenant ID>/ (Recomendado) Substitua <tenant ID> pela ID do locatário do Microsoft Entra com o qual você está configurando a federação.Na solicitação SAML enviada pelo Microsoft Entra ID para federações externas, a URL do Emissor é um ponto de extremidade locatário (por exemplo, https://login.microsoftonline.com/<tenant ID>/). Para quaisquer novas federações, recomendamos que todos os nossos parceiros definam o público do IdP baseado em SAML ou WS-Fed como um ponto de extremidade locado. Todas as federações existentes configuradas com o ponto de extremidade global (por exemplo, urn:federation:MicrosoftOnline) continuam a funcionar, mas as novas federações deixam de funcionar se o IdP externo estiver à espera de uma URL de emissor global na solicitação SAML enviada pelo Microsoft Entra ID. |
| Emissor | O URI do emissor do IdP do parceiro, por exemplo http://www.example.com/exk10l6w90DHM0yi... |
Tabela 2. Declarações necessárias para o token SAML 2.0 emitido pelo IdP.
| Nome do Atributo | Value |
|---|---|
| Formato NameID | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
endereço de e-mail |
Configuração do WS-Fed
O Microsoft Entra B2B pode ser configurado para federar com IdPs que usam o protocolo WS-Fed. Esta seção discute os requisitos. Atualmente, os dois provedores de WS-Fed que foram testados quanto à compatibilidade com o Microsoft Entra ID são AD FS e Shibboleth. Para obter mais informações sobre como estabelecer uma confiança de terceira parte confiável entre um provedor compatível com WS-Fed com o Microsoft Entra ID, consulte o "Documento de integração STS usando protocolos WS" disponível nos documentos de compatibilidade do provedor de identidade Microsoft Entra.
Nota
Agora você pode configurar a federação de IdP SAML/WS-Fed com outros domínios verificados pelo Microsoft Entra ID. Saiba mais
Atributos e declarações WS-Fed necessários
As tabelas a seguir mostram os requisitos para atributos e declarações específicos que devem ser configurados no IdP WS-Fed de terceiros. Para configurar a federação, os seguintes atributos devem ser recebidos na mensagem WS-Fed do IdP. Esses atributos podem ser configurados vinculando-os ao arquivo XML do serviço de token de segurança online ou inserindo-os manualmente.
Nota
Certifique-se de que o valor corresponde à nuvem para a qual está a configurar a federação externa.
Tabela 3. Atributos necessários na mensagem WS-Fed do IdP.
| Atributo | Value |
|---|---|
| PassiveRequestorEndpoint | https://login.microsoftonline.com/login.srf |
| Audiência |
https://login.microsoftonline.com/<tenant ID>/ (Recomendado) Substitua <tenant ID> pela ID do locatário do Microsoft Entra com o qual você está configurando a federação.Na solicitação SAML enviada pelo Microsoft Entra ID para federações externas, a URL do Emissor é um ponto de extremidade locatário (por exemplo, https://login.microsoftonline.com/<tenant ID>/). Para quaisquer novas federações, recomendamos que todos os nossos parceiros definam o público do IdP baseado em SAML ou WS-Fed como um ponto de extremidade locado. Todas as federações existentes configuradas com o endpoint global (por exemplo, urn:federation:MicrosoftOnline) continuam a funcionar, mas novas federações deixam de funcionar se o IdP externo estiver à espera de uma URL de emissor global no pedido SAML enviado pelo Microsoft Entra ID. |
| Emissor | O URI do emissor do IdP do parceiro, por exemplo http://www.example.com/exk10l6w90DHM0yi... |
Tabela 4. Declarações necessárias para o token WS-Fed emitido pelo IdP.
| Atributo | Value |
|---|---|
| ID imutável | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
| endereço de e-mail | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Etapa 3: Configurar a federação SAML/WS-Fed IdP no Microsoft Entra External ID
Em seguida, configure a federação com o IdP configurado na etapa 1 no Microsoft Entra ID Externo. Você pode usar o centro de administração do Microsoft Entra ou a API do Microsoft Graph. Pode levar de 5 a 10 minutos até que a política de federação entre em vigor. Durante esse período, não tente resgatar um convite para o domínio de federação. Os seguintes atributos são necessários:
- URI do emissor do IdP do parceiro
- Ponto de extremidade de autenticação passiva do IdP do parceiro (apenas https é suportado)
- Certificado
Para configurar a federação no centro de administração do Microsoft Entra
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador do Provedor de Identidade Externo.
Se tiver acesso a vários inquilinos, utilize o ícone Definições
no menu superior e mude para o seu inquilino a partir do menu Diretórios.Navegue até Identidades>> identidade.
Selecione a guia Personalizado e, em seguida, selecione Adicionar novo>SAML/WS-Fed.
Na página Novo IdP SAML/WS-Fed, insira o seguinte:
- Nome para exibição - Insira um nome para ajudá-lo a identificar o IdP do parceiro.
- Protocolo do provedor de identidade - Selecione SAML ou WS-Fed.
- Nome de domínio do IdP federador - Insira o nome de domínio de destino do IdP do seu parceiro para federação. Durante essa configuração inicial, insira apenas um nome de domínio. Você pode adicionar mais domínios mais tarde.
Selecione um método para preencher metadados. Se você tiver um arquivo que contenha os metadados, poderá preencher automaticamente os campos selecionando Analisar arquivo de metadados e procurando o arquivo. Ou, você pode selecionar Inserir metadados manualmente e inserir as seguintes informações:
- O URI do Emissor do IdP SAML do parceiro ou o ID da Entidade do IdP WS-Fed do parceiro.
- O ponto de extremidade de autenticação passiva do IdP SAML do parceiro ou o ponto de extremidade do solicitante passivo do IdP WS-Fed do parceiro.
- Certificado - A ID do certificado de assinatura.
- URL de metadados - O local dos metadados do IdP para renovação automática do certificado de assinatura.
Nota
O URL dos metadados é opcional. No entanto, recomendamos vivamente. Se você fornecer a URL de metadados, o Microsoft Entra ID poderá renovar automaticamente o certificado de assinatura quando ele expirar. Se o certificado for alternado por qualquer motivo antes do tempo de expiração ou se você não fornecer uma URL de metadados, a ID do Microsoft Entra não poderá renová-lo. Nesse caso, você precisa atualizar o certificado de assinatura manualmente.
Selecione Guardar. O provedor de identidade é adicionado à lista de provedores de identidade SAML/WS-Fed.
(Opcional) Para adicionar mais nomes de domínio a este provedor de identidade federativa:
Selecione o link na coluna Domínios .
Ao lado de Nome de domínio do IdP federador, digite o nome de domínio e selecione Adicionar. Repita para cada domínio que você deseja adicionar. Quando tiver terminado, selecione Concluído.
Para configurar a federação usando a API do Microsoft Graph
Você pode usar o tipo de recurso samlOrWsFedExternalDomainFederation da API do Microsoft Graph para configurar a federação com um provedor de identidade que ofereça suporte ao protocolo SAML ou WS-Fed.
Configurar ordem de resgate (colaboração B2B em locatários corporativos)
Se estiveres a configurar a federação no teu tenant de força de trabalho para colaboração B2B com um domínio verificado, assegura-te de que o IdP federado seja usado primeiro durante a aceitação do convite. Configure as configurações de ordem de resgate em suas configurações de acesso entre locatários para colaboração B2B de entrada. Mova os provedores de identidade SAML/WS-Fed para o topo da lista Provedores de identidade primários para priorizar o resgate com o IdP federado. Para colaboração B2B com um domínio verificado, torne o IdP federado o provedor de identidade principal para aceitação de convite. sobre outros provedores de identidade durante a aceitação do convite.
Você pode testar sua configuração de federação convidando um novo usuário convidado B2B. Para obter detalhes, consulte Adicionar usuários de colaboração B2B do Microsoft Entra no centro de administração do Microsoft Entra.
Nota
As configurações do centro de administração do Microsoft Entra para o recurso de resgate configurável estão sendo implementadas para os clientes. Até que as configurações estejam disponíveis no centro de administração, você pode configurar a ordem de resgate do convite usando a API REST do Microsoft Graph (versão beta). Consulte Exemplo 2: Atualizar a configuração padrão de resgate de convite na documentação de referência do Microsoft Graph.
Como atualizo o certificado ou os detalhes de configuração?
Na página Todos os provedores de identidade, pode visualizar a lista de provedores de identidade SAML/WS-Fed configurados e as suas datas de expiração de certificado. Nessa lista, você pode renovar certificados e modificar outros detalhes de configuração.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador do Provedor de Identidade Externo.
Navegue até Identidades>> identidade.
Selecione a guia Personalizado .
Role até um provedor de identidade na lista ou use a caixa de pesquisa.
Para atualizar o certificado ou modificar os detalhes da configuração:
- Na coluna Configuração do provedor de identidade, selecione o link Editar.
- Na página de configuração, modifique qualquer um dos seguintes detalhes:
- Nome para exibição - Nome para exibição da organização do parceiro.
- Protocolo do provedor de identidade - Selecione SAML ou WS-Fed.
- Ponto de extremidade de autenticação passiva - O ponto de extremidade de solicitante passivo do IdP parceiro.
- Certificado - A ID do certificado de assinatura. Para renová-lo, insira um novo ID de certificado.
- URL de metadados - A URL que contém os metadados do parceiro, usada para a renovação automática do certificado de assinatura.
- Selecione Guardar.
Para editar os domínios associados ao parceiro, selecione o link na coluna Domínios . No painel de detalhes do domínio:
- Para adicionar um domínio, digite o nome de domínio ao lado de Nome de domínio do IdP federativo e selecione Adicionar. Repita para cada domínio que você deseja adicionar.
- Para excluir um domínio, selecione o ícone de exclusão ao lado do domínio.
- Quando tiver terminado, selecione Concluído.
Como faço para remover a federação?
Você pode remover sua configuração de federação. Se você fizer isso, os usuários convidados de federação que já resgataram seus convites não poderão mais entrar. Mas você pode dar a eles acesso aos seus recursos novamente redefinindo o status de resgate. Para remover uma configuração de um IdP no centro de administração do Microsoft Entra:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador do Provedor de Identidade Externo.
Navegue até Identidades>> identidade.
Selecione a guia Personalizado e role até o provedor de identidade na lista ou use a caixa de pesquisa.
Selecione o link na coluna Domínios para visualizar os detalhes do domínio do IdP.
Exclua todos, exceto um, dos domínios na lista Nome de domínio .
Selecione Excluir configuração e, em seguida, selecione Concluído.
Selecione OK para confirmar a exclusão.
Você também pode remover a federação usando o tipo de recurso samlOrWsFedExternalDomainFederation da API do Microsoft Graph.
Próximos passos
Saiba mais sobre a experiência de resgate de convites quando usuários externos entram com vários provedores de identidade.