Exemplo: Configurar a federação de IdP SAML/WS-Fed com o AD FS para colaboração B2B
Aplica-se a: Locatários da força de trabalho Locatários externos (saiba mais)
Nota
A federação direta no Microsoft Entra External ID agora é conhecida como federação SAML/WS-Fed identity provider (IdP).
Este artigo descreve como configurar a federação SAML/WS-Fed IdP usando os Serviços de Federação do Ative Directory (AD FS) como um SAML 2.0 ou WS-Fed IdP. Para dar suporte à federação, determinados atributos e declarações devem ser configurados no IdP. Para ilustrar como configurar um IdP para federação, usamos os Serviços de Federação do Ative Directory (AD FS) como exemplo. Mostramos como configurar o AD FS como um IdP SAML e como um IdP WS-Fed.
Nota
Este artigo descreve como configurar o AD FS para SAML e WS-Fed para fins de ilustração. Para integrações de federação em que o IdP é AD FS, recomendamos o uso do WS-Fed como protocolo.
Configurar o AD FS para federação SAML 2.0
O Microsoft Entra B2B pode ser configurado para federar com IdPs que usam o protocolo SAML com requisitos específicos listados abaixo. Para ilustrar as etapas de configuração do SAML, esta seção mostra como configurar o AD FS para SAML 2.0.
Para configurar a federação, os seguintes atributos devem ser recebidos na resposta SAML 2.0 do IdP. Esses atributos podem ser configurados vinculando-os ao arquivo XML do serviço de token de segurança online ou inserindo-os manualmente. A etapa 12 em Criar uma instância de teste do AD FS descreve como localizar os pontos de extremidade do AD FS ou como gerar sua URL de metadados, por exemplo https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml
.
Atributo | Value |
---|---|
AssertionConsumerService | https://login.microsoftonline.com/login.srf |
Audiência | urn:federation:MicrosoftOnline |
Emissor | O URI do emissor do IdP parceiro, por exemplo http://www.example.com/exk10l6w90DHM0yi... |
As seguintes declarações precisam ser configuradas no token SAML 2.0 emitido pelo IdP:
Atributo | Value |
---|---|
Formato NameID | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
endereço de e-mail | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
A próxima seção ilustra como configurar os atributos e declarações necessários usando o AD FS como um exemplo de um IdP SAML 2.0.
Antes de começar
Um servidor AD FS já deve estar configurado e funcionando antes de iniciar este procedimento.
Adicionar a descrição da declaração
No servidor AD FS, selecione Ferramentas>de gerenciamento do AD FS.
No painel de navegação, selecione Descrições de Declaração de Serviço>.
Em Ações, selecione Adicionar Descrição da Declaração.
Na janela Adicionar uma Descrição da Declaração, especifique os seguintes valores:
- Nome para exibição: identificador persistente
- Identificador da declaração:
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
- Marque a caixa de seleção Publicar esta descrição de declaração em metadados de federação como um tipo de declaração que este serviço de federação pode aceitar.
- Marque a caixa de seleção Publicar esta descrição de declaração em metadados de federação como um tipo de declaração que este serviço de federação pode enviar.
Selecione OK.
Adicionar a fidedignidade da entidade confiadora
No servidor AD FS, vá para Ferramentas>de Gerenciamento do AD FS.
No painel de navegação, selecione Confianças de Terceira Parte Confiável.
Em Ações, selecione Adicionar Confiança de Terceira Parte Confiável.
No assistente Adicionar Confiança de Terceira Parte Confiável , selecione Reconhecimento de Declarações e, em seguida, selecione Iniciar.
Na seção Selecionar Fonte de Dados, marque a caixa de seleção Importar dados sobre a terceira parte confiável publicados online ou em uma rede local. Insira este URL de metadados de federação:
https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml
. Selecione Seguinte.Deixe as outras configurações em suas opções padrão. Continue a selecionar Avançar e, finalmente, selecione Fechar para fechar o assistente.
No Gerenciamento do AD FS, em Confianças de Terceira Parte Confiável, clique com o botão direito do mouse na relação de confiança da terceira parte confiável que você acabou de criar e selecione Propriedades.
Na guia Monitoramento, desmarque a caixa Monitorar terceira parte confiável.
Na guia Identificadores, insira
https://login.microsoftonline.com/<tenant ID>/
a caixa de texto Identificador da terceira parte confiável usando a ID do locatário do Microsoft Entra do parceiro de serviços. Selecione Adicionar.Nota
Certifique-se de incluir uma barra (/) após o ID do locatário, por exemplo:
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/
.Selecione OK.
Criar regras de declarações
Clique com o botão direito do mouse na relação de confiança de terceira parte confiável que você criou e selecione Editar Política de Emissão de Declaração.
No assistente Editar Regras de Declaração, selecione Adicionar Regra.
Em Modelo de regra de declaração, selecione Enviar atributos LDAP como declarações.
Em Configurar Regra de Declaração, especifique os seguintes valores:
- Nome da regra de declaração: Regra de reivindicação de e-mail
- Repositório de atributos: Ative Directory
- Atributo LDAP: E-Mail-Addresses
- Tipo de declaração de saída: Endereço de e-mail
Selecione Concluir.
Selecione Adicionar Regra.
Em Modelo de regra de declaração, selecione Transformar uma declaração de entrada e, em seguida, selecione Avançar.
Em Configurar Regra de Declaração, especifique os seguintes valores:
- Nome da regra de declaração: regra de transformação de e-mail
- Tipo de declaração de entrada: Endereço de e-mail
- Tipo de declaração de saída: ID do nome
- Formato de ID de nome de saída: Identificador Persistente
- Selecione Passar por todos os valores de afirmação.
Selecione Concluir.
O painel Editar Regras de Declaração mostra as novas regras. Selecione Aplicar.
Selecione OK. O servidor AD FS agora está configurado para federação usando o protocolo SAML 2.0.
Configurar o AD FS para federação WS-Fed
O Microsoft Entra B2B pode ser configurado para federar com IdPs que usam o protocolo WS-Fed com os requisitos específicos listados abaixo. Atualmente, os dois provedores WS-Fed foram testados quanto à compatibilidade com o Microsoft Entra External ID incluem AD FS e Shibboleth. Aqui, usamos os Serviços de Federação do Ative Directory (AD FS) como um exemplo do IdP do WS-Fed. Para obter mais informações sobre como estabelecer uma confiança de terceira parte confiável entre um provedor compatível com WS-Fed com a ID Externa do Microsoft Entra, baixe os documentos de compatibilidade do provedor de identidade Microsoft Entra.
Para configurar a federação, os seguintes atributos devem ser recebidos na mensagem WS-Fed do IdP. Esses atributos podem ser configurados vinculando-os ao arquivo XML do serviço de token de segurança online ou inserindo-os manualmente. A etapa 12 em Criar uma instância de teste do AD FS descreve como localizar os pontos de extremidade do AD FS ou como gerar sua URL de metadados, por exemplo https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml
.
Atributo | Value |
---|---|
PassiveRequestorEndpoint | https://login.microsoftonline.com/login.srf |
Audiência | urn:federation:MicrosoftOnline |
Emissor | O URI do emissor do IdP parceiro, por exemplo http://www.example.com/exk10l6w90DHM0yi... |
Declarações necessárias para o token WS-Fed emitido pelo IdP:
Atributo | Value |
---|---|
ID imutável | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
endereço de e-mail | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
A próxima seção ilustra como configurar os atributos e declarações necessários usando o AD FS como um exemplo de um IdP WS-Fed.
Antes de começar
Um servidor AD FS já deve estar configurado e funcionando antes de iniciar este procedimento.
Adicionar a fidedignidade da entidade confiadora
No servidor AD FS, vá para Ferramentas>de gerenciamento do AD FS.
No painel de navegação, selecione Relações de Confiança de Terceira>Parte Confiável.
Em Ações, selecione Adicionar Confiança de Terceira Parte Confiável.
No assistente Adicionar Confiança de Terceira Parte Confiável, selecione Reconhecimento de Declarações e, em seguida, selecione Iniciar.
Na seção Selecionar Fonte de Dados , selecione Inserir dados sobre a terceira parte confiável manualmente e selecione Avançar.
Na página Especificar Nome para Exibição, digite um nome em Nome para exibição. Opcionalmente, você pode inserir uma descrição para essa relação de confiança de terceira parte confiável na seção Notas . Selecione Seguinte.
Opcionalmente, na página Configurar Certificado , se você tiver um certificado de criptografia de token, selecione Procurar para localizar um arquivo de certificado. Selecione Seguinte.
Na página Configurar URL, marque a caixa de seleção Habilitar suporte para o protocolo WS-Federation Passive . Em URL do protocolo passivo WS-Federation da terceira parte confiável, insira a seguinte URL:
https://login.microsoftonline.com/login.srf
Selecione Seguinte.
Na página Configurar Identificadores, insira as seguintes URLs e selecione Adicionar. Na segunda URL, insira a ID do locatário do locatário do Microsoft Entra do parceiro de serviços.
urn:federation:MicrosoftOnline
https://login.microsoftonline.com/<tenant ID>/
Nota
Certifique-se de incluir uma barra (/) após o ID do locatário, por exemplo:
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/
.Selecione Seguinte.
Na página Escolher Política de Controle de Acesso, selecione uma política e selecione Avançar.
Na página Pronto para Adicionar Confiança, reveja as definições e, em seguida, selecione Seguinte para guardar as informações de confiança da entidade confiadora.
Na página Concluir, selecione Fechar. selecione Confiança da Terceira Parte Confiável e selecione Editar Política de Emissão de Declaração.
Criar regras de declarações
Selecione a Confiança da Terceira Parte Confiável que você acabou de criar e, em seguida, selecione Editar Política de Emissão de Declaração.
Selecione Adicionar regra.
Selecione Enviar atributos LDAP como declarações e, em seguida, selecione Avançar.
Em Configurar Regra de Declaração, especifique os seguintes valores:
- Nome da regra de declaração: Regra de reivindicação de e-mail
- Repositório de atributos: Ative Directory
- Atributo LDAP: E-Mail-Addresses
- Tipo de declaração de saída: Endereço de e-mail
Selecione Concluir.
No mesmo assistente para Editar Regras de Declaração, selecione Adicionar Regra.
Selecione Enviar declarações usando uma regra personalizada e, em seguida, selecione Avançar.
Em Configurar Regra de Declaração, especifique os seguintes valores:
- Nome da regra de declaração: Emitir ID imutável
- Regra personalizada:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), query = "samAccountName={0};objectGUID;{1}", param = regexreplace(c.Value, "(?<domain>[^\\]+)\\(?<user>.+)", "${user}"), param = c.Value);
Selecione Concluir.
Selecione OK. O servidor AD FS agora está configurado para federação usando WS-Fed.
Próximos passos
Em seguida, configure a federação de IdP SAML/WS-Fed na ID Externa do Microsoft Entra no portal do Azure ou usando a API do Microsoft Graph.