Федерация с поставщиками удостоверений SAML/WS-Fed
Область применения: 
клиенты рабочей силы внешниеклиенты (дополнительные сведения)
Клиент Microsoft Entra может быть напрямую федерирован с внешними организациями, которые используют поставщики удостоверений SAML или WS-Fed (IdP). Пользователи из внешней организации могут использовать свою учетную запись, управляемую idP, для входа в клиент, не создавая учетные данные Microsoft Entra. Для новых приглашённых пользователей федерация идентификации SAML/WS-Fed IdP имеет приоритет в качестве основного метода входа. Пользователь перенаправляется на своего поставщика идентификационных данных при регистрации или входе в приложение, а затем возвращается в Microsoft Entra после успешного входа.
Можно связать несколько доменов с одной конфигурацией федерации. Домен партнера может быть либо проверен, либо непроверенный Microsoft Entra.
Настройка SAML/WS-Fed федерации поставщика удостоверений требует настройки как в клиенте, так и в поставщике удостоверений внешней организации. В некоторых случаях партнеру необходимо обновить текстовые записи DNS. Они также должны обновить своего поставщика удостоверяющей стороны с необходимыми утверждениями и доверительными отношениями с доверяющей стороной.
Примечание.
Эта функция в настоящее время доступна в предварительной версии для внешних клиентов и общедоступна для клиентов рабочей силы.
Когда пользователь проходит проверку подлинности с помощью федерации SAML/WS-Fed IdP?
После настройки федерации опыт входа для внешнего пользователя зависит от ваших настроек входа и от того, прошел ли домен партнера проверку Microsoft Entra.
Федерация с проверенными и неверифицированными доменами
Вы можете настроить федерацию поставщика удостоверений SAML/WS-Fed с помощью:
- Непроверенные домены: Эти домены не прошли проверку DNS в Microsoft Entra ID. Для непроверенных доменов пользователи из внешней организации проходят аутентификацию с помощью федеративного поставщика удостоверений SAML/WS-Fed.
- проверенные домены Microsoft Entra ID: эти домены были проверены в системе идентификации Microsoft Entra, включая домены, над которыми клиент получил административный контроль. Для проверенных доменов Microsoft Entra ID является основным поставщиком идентификации, используемым во время погашения приглашения. Для совместной работы B2B в клиенте рабочей силы можно изменить порядок активации, чтобы сделать федеративный поставщик удостоверений основным методом.
Примечание.
В настоящее время параметры заказа на выкуп не поддерживаются во внешних арендаторах или в межоблачных средах.
Федерация с неуправляемыми арендаторами (проверенными через электронную почту)
Вы можете настроить федерацию поставщиков удостоверений SAML/WS-Fed с доменами, которые не прошли проверку DNS в системе идентификации Microsoft Entra ID, включая неуправляемые (подтвержденные по электронной почте или "вирусные") тенанты Microsoft Entra. Такие клиенты создаются, когда пользователь активирует приглашение B2B или выполняет самостоятельную регистрацию для идентификатора Microsoft Entra с помощью домена, который в настоящее время не существует.
Влияние федерации на текущих внешних пользователей
Настройка федерации не изменяет метод проверки подлинности для пользователей, которые уже активировали приглашение. Например:
- Пользователи, которые активировали приглашения перед настройкой федерации, продолжают использовать свой исходный метод проверки подлинности. Например, пользователи, которые активировали приглашения с проверкой подлинности с одноразовым секретным кодом, прежде чем настроить федерацию, продолжают использовать одноразовые секретные коды.
- Пользователи, которые приняли приглашения с федеративным поставщиком удостоверений, продолжают использовать этот метод, даже если их организация позже переходит в Microsoft Entra.
- Если федерация удалена, пользователи, использующие SAML/WS-Fed IdP, не смогут войти в систему.
Вам не нужно отправлять новые приглашения существующим пользователям, так как они продолжают использовать текущий метод входа. Но для совместной работы B2B в рамках арендатора рабочей силы вы можете сбросить статус активации пользователя. При следующем доступе к приложению пользователь повторяет шаги активации и переключается на федерацию. В настоящее время параметры заказа на выкуп не поддерживаются во внешних арендаторах или в облаках.
Конечные точки аутентификации в корпоративных арендаторах.
Когда федерация настроена в клиенте рабочей силы, пользователи из федеративной организации могут входить в мультитенантные или сторонние приложения Майкрософт с помощью общих конечных точек (другими словами, общий URL-адрес приложения, который не включает контекст клиента). Во время процесса входа пользователь выбирает параметры входа, а затем выбирает войти в организацию. Они вводят имя вашей организации и продолжают выполнять вход с помощью собственных учетных данных.
Пользователи федерации SAML/WS-Fed IdP могут также использовать конечные точки приложения, включающие информацию о вашем арендаторе, например:
https://myapps.microsoft.com/?tenantid=<your tenant ID>https://myapps.microsoft.com/<your verified domain>.onmicrosoft.comhttps://portal.azure.com/<your tenant ID>
Вы также можете предоставить пользователям прямую ссылку на приложение или ресурс, включив сведения о клиенте, например https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>.
Рекомендации по настройке федерации
Настройка федерации включает настройку клиента Microsoft Entra и поставщика удостоверений внешней организации.
Требования поставщика удостоверений партнеров
В зависимости от используемого IdP партнеру может потребоваться обновить свои записи DNS, чтобы включить федерацию с вами. См. шаге 1. Определите, нужно ли партнеру обновить текстовые записи DNS.
URL-адрес издателя в запросе SAML, отправленном идентификатором Microsoft Entra ID для внешних федераций, теперь является конечной точкой, специфичной для арендатора, тогда как ранее это была глобальная конечная точка. Существующие федерации с глобальной конечной точкой продолжают работать. Но для новых федераций настройте аудиторию внешнего SAML или WS-Fed поставщика удостоверений в клиентную конечную точку. См. раздел SAML 2.0 и раздел WS-Fed для обязательных атрибутов и утверждений.
Срок действия сертификата подписи
Если указать URL-адрес метаданных в параметрах поставщика удостоверений, идентификатор Microsoft Entra автоматически обновляет сертификат подписи после истечения срока действия. Однако если сертификат поворачивается по какой-либо причине до истечения срока действия или если вы не предоставляете URL-адрес метаданных, идентификатор Microsoft Entra ID не может продлить его. В этом случае необходимо вручную обновить сертификат подписи.
Срок действия сеанса
Если срок действия сеанса Microsoft Entra истекает или становится недопустимым, а в федеративном поставщике удостоверений включена функция единого входа, пользователь пользуется единым входом. Если сеанс федеративного пользователя действителен, пользователю не будет предложено войти снова. В противном случае пользователь перенаправляется на идентификатор поставщика удостоверений для входа.
Другие рекомендации
Ниже приведены другие рекомендации по федеративной работе с поставщиком удостоверений SAML/WS-Fed.
Федерация не устраняет проблемы входа, вызванные частично синхронизированным тенантством, где локальные идентификации пользователей партнера не полностью синхронизированы с Microsoft Entra в облаке. Эти пользователи не могут войти с помощью приглашения B2B, поэтому вместо этого им нужно использовать функцию однократного секретного кода электронной почты. Функция федерации поставщика удостоверений SAML/WS-Fed предназначена для партнеров с собственными учетными записями организации, управляемыми поставщиком удостоверений, но отсутствие присутствия Microsoft Entra.
Федерация не заменяет потребность в гостевых учетных записях B2B в вашей директории. При B2B сотрудничестве гостевая учетная запись создается для пользователя в каталоге арендатора вашей рабочей группы независимо от используемого метода проверки подлинности или федерации. Этот объект пользователя позволяет предоставлять доступ к приложениям, назначать роли и определять членство в группах безопасности.
В настоящее время функция федерации Microsoft Entra SAML/WS-Fed не поддерживает отправку подписанного маркера проверки подлинности поставщику удостоверений SAML.
Настройка федерации поставщика удостоверений SAML/WS-Fed
Шаг 1. Определение необходимости обновления текстовых записей DNS для партнера
Выполните следующие действия, чтобы определить, нужно ли партнеру обновить свои записи DNS для установления федерации с вами.
Проверьте URL-адрес пассивной проверки подлинности поставщика удостоверений партнера, чтобы узнать, соответствует ли домен целевому домену или узлу в пределах целевого домена. Иными словами, при настройке федерации для
fabrikam.com:- Если конечная точка пассивной проверки подлинности —
https://fabrikam.comилиhttps://sts.fabrikam.com/adfs(узел в том же домене), изменения DNS не требуются. - Если конечная точка пассивной проверки подлинности или
https://fabrikamconglomerate.com/adfshttps://fabrikam.co.uk/adfsдомен не соответствует домену fabrikam.com, поэтому партнеру необходимо добавить текстовую запись для URL-адреса проверки подлинности в конфигурацию DNS.
- Если конечная точка пассивной проверки подлинности —
Если требуются изменения записей DNS в предыдущем шаге, попросите партнера добавить текстовую запись в записи DNS своего домена, как показано в следующем примере.
fabrikam.com. IN TXT DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs
Шаг 2. Настройка поставщика удостоверений партнерской организации
Далее партнерской организации следует настроить поставщик удостоверений с необходимыми утверждениями и отношениями доверия с проверяющей стороной.
Примечание.
Чтобы иллюстрировать настройку SAML/WS-Fed IdP для федерации, мы используем службы федерации Active Directory (AD FS) в качестве примера. Примеры настройки AD FS в качестве поставщика удостоверений SAML 2.0 или WS-Fed при подготовке к федерации см. в статье Настройка федерации с поставщиком удостоверений (IdP) SAML/WS-Fed с AD FS.
Конфигурация SAML 2.0
Microsoft Entra B2B можно настроить для федерации с поставщиками удостоверений, которые используют протокол SAML с определенными требованиями, перечисленными в этом разделе. Дополнительные сведения о настройке доверия между поставщиком удостоверений SAML и идентификатором Microsoft Entra см. в разделе "Использование поставщика удостоверений SAML 2.0" для единого входа.
Примечание.
Теперь можно настроить федерацию SAML/WS-Fed IdP с другими проверенными доменами Идентификатора Microsoft Entra. Дополнительные сведения
Обязательные атрибуты и утверждения SAML 2.0
В следующих таблицах приведены требования к конкретным атрибутам и утверждениям, которые должны быть настроены у стороннего поставщика удостоверений. Чтобы настроить федерацию, в ответе SAML 2.0 от поставщика удостоверений должны быть получены указанные ниже атрибуты. Их можно настроить путем связывания с XML-файлом службы токенов безопасности в сети или ввести вручную.
Примечание.
Убедитесь, что значение соответствует облаку, для которого настраивается внешняя федерация.
Таблица 1. Обязательные атрибуты для ответа SAML 2.0 от поставщика удостоверений.
| Атрибут | Значение |
|---|---|
| AssertionConsumerService | https://login.microsoftonline.com/login.srf |
| Аудитория |
https://login.microsoftonline.com/<tenant ID>/ (Рекомендуется) Замените <tenant ID> идентификатором клиента Microsoft Entra, на который вы настраиваете федерацию.В запросе SAML, отправленном идентификатором Microsoft Entra для внешних федераций, URL-адрес издателя — это клиентная конечная точка (например, https://login.microsoftonline.com/<tenant ID>/). Для всех новых федераций рекомендуется, чтобы все наши партнеры установили аудиторию поставщика удостоверений на основе SAML или WS-Fed как конечную точку клиента. Все существующие федерации, настроенные с глобальной конечной точкой (например, urn:federation:MicrosoftOnline), продолжают работать, но новые федерации перестают работать, если внешний поставщик удостоверений ожидает URL-адрес глобального издателя в запросе SAML, отправленном Microsoft Entra ID. |
| Издатель | URI издателя IdP партнера, например http://www.example.com/exk10l6w90DHM0yi... |
Таблица 2. Обязательные утверждения для токена SAML 2.0, выданного поставщиком удостоверений.
| Имя атрибута | Значение |
|---|---|
| NameID Format | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
emailaddress |
Конфигурация WS-Fed
Microsoft Entra B2B можно настроить для федерации с поставщиками удостоверений, использующих протокол WS-Fed. В этом разделе рассматриваются требования. В настоящее время два поставщика WS-Fed, которые были протестированы для совместимости с идентификатором Microsoft Entra, являются AD FS и Shibboleth. Дополнительные сведения о создании доверия проверяющей стороны между поставщиком, соответствующим WS-Fed, с идентификатором Microsoft Entra, см. в статье "Документ интеграции STS с использованием протоколов WS", доступный в документации по совместимости поставщика удостоверений Майкрософт.
Примечание.
Теперь можно настроить федерацию SAML/WS-Fed IdP с другими проверенными доменами Идентификатора Microsoft Entra. Дополнительные сведения
Обязательные атрибуты и утверждения WS-Fed
В следующих таблицах приведены требования к конкретным атрибутам и утверждениям, которые должны быть настроены у стороннего поставщика удостоверений WS-Fed. Чтобы настроить федерацию, в сообщении WS-Fed от поставщика удостоверений должны быть получены указанные ниже атрибуты. Их можно настроить путем связывания с XML-файлом службы токенов безопасности в сети или ввести вручную.
Примечание.
Убедитесь, что значение соответствует облаку, для которого настраивается внешняя федерация.
Таблица 3. Обязательные атрибуты в сообщении WS-Fed из провайдера удостоверений.
| Атрибут | Значение |
|---|---|
| PassiveRequestorEndpoint | https://login.microsoftonline.com/login.srf |
| Аудитория |
https://login.microsoftonline.com/<tenant ID>/ (Рекомендуется) Замените <tenant ID> идентификатором клиента Microsoft Entra, на который вы настраиваете федерацию.В запросе SAML, отправленном идентификатором Microsoft Entra для внешних федераций, URL-адрес издателя — это клиентная конечная точка (например, https://login.microsoftonline.com/<tenant ID>/). Для всех новых федераций рекомендуется, чтобы все наши партнеры установили аудиторию поставщика удостоверений на основе SAML или WS-Fed как конечную точку клиента. Все существующие федерации, настроенные с глобальной конечной точкой (например, urn:federation:MicrosoftOnline), продолжают работать, но новые федерации не будут работать, если внешний поставщик удостоверений ожидает URL-адрес глобального издателя в запросе SAML, отправленном системой Microsoft Entra ID. |
| Издатель | URI издателя IdP партнера, например http://www.example.com/exk10l6w90DHM0yi... |
Таблица 4. Обязательные утверждения для маркера WS-Fed, выданного поставщиком удостоверений.
| Атрибут | Значение |
|---|---|
| ImmutableID | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
| emailaddress | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Шаг 3. Настройка федерации поставщика удостоверений SAML/WS-Fed в Microsoft Entra External ID
Затем настройте федерацию с поставщиком удостоверений, настроенным на шаге 1, в Microsoft Entra External ID. Вы можете использовать центр администрирования Microsoft Entra или API Microsoft Graph. Для вступления в силу политики федерации может потребоваться 5–10 минут. Не пытайтесь активировать приглашение для домена федерации в течение этого времени. Ниже приведены обязательные атрибуты.
- URI издателя поставщика удостоверений партнера
- Конечная точка пассивной проверки подлинности IdP партнера (поддерживается только протокол HTTPS)
- Сертификат
Настройка федерации в Центре администрирования Microsoft Entra
Войдите в
Центр администрирования Microsoft Entra как минимум в роли администраторавнешнего поставщика удостоверений. Если у вас есть доступ к нескольким арендаторам, используйте значок параметров
в верхнем меню и переключитесь на своего арендатора в меню каталогов.Перейдите к списку удостоверений.
Выберите вкладку "Настраиваемый" и нажмите кнопку "Добавить новый>SAML/WS-Fed".
На странице Новый поставщик удостоверений SAML/WS-Fed введите следующее:
- Отображаемое имя — Введите имя, которое поможет определить поставщика удостоверений партнера.
- Протокол поставщика удостоверений — Выберите SAML или WS-Fed.
- Доменное имя федеративного поставщика удостоверений — Введите целевое доменное имя поставщика удостоверений партнера для федерации. Во время этой начальной конфигурации введите только одно доменное имя. Вы можете добавить дополнительные домены позже.
Выбор метода для заполнения метаданных. Если у вас есть файл, содержащий метаданные, вы можете автоматически заполнить поля, выбрав файл метаданных синтаксического анализа и просмотр файла. Кроме того, можно вручную выбрать метаданные ввода и ввести следующие сведения:
- URI издателя поставщика поставщика удостоверений SAML партнера или идентификатор сущности WS-Fed партнера.
- Конечная точка пассивной проверки подлинности поставщика удостоверений SAML партнера или конечная точка пассивного запроса поставщика удостоверений WS-Fed партнера.
- Сертификат — Идентификатор сертификата для подписи.
- URL-адрес метаданных — Расположение метаданных поставщика удостоверений для автоматического продления сертификата для подписи.
Примечание.
URL-адрес метаданных необязателен. Однако мы настоятельно рекомендуем это. Если указать URL-адрес метаданных, идентификатор Microsoft Entra может автоматически продлить сертификат подписи после истечения срока его действия. Если происходит замена сертификата по какой-либо причине до истечения срока его действия или если вы не предоставляете URL-адрес метаданных, Microsoft Entra ID не сможет его продлить. В этом случае необходимо вручную обновить сертификат подписи.
Выберите Сохранить. Поставщик удостоверений добавляется в список поставщиков удостоверений SAML/WS-Fed.
(Необязательно) Чтобы добавить дополнительные доменные имена в этот федеративный поставщик удостоверений, выполните указанные ниже действия.
Выберите ссылку в столбце "Домены".
Рядом с доменным именем федеративного поставщика удостоверений введите доменное имя и нажмите кнопку "Добавить". Повторите для каждого домена, который требуется добавить. По завершении нажмите кнопку Готово.
Настройка федерации с помощью API Microsoft Graph
С помощью типа ресурса samlOrWsFedExternalDomainFederation API Microsoft Graph можно настроить федерацию с поставщиком удостоверений, поддерживающим протокол SAML или WS-Fed.
Настройка заказа на выкуп (сотрудничество B2B в арендаторах рабочей силы)
Если вы настраиваете федерацию в тенанте корпоративной среды для совместной работы B2B с проверенным доменом, убедитесь, что федеративный поставщик удостоверений используется первым при принятии приглашения. Настройте параметры удовлетворения заказов в настройках доступа между клиентами для входящего B2B взаимодействия. Переместите поставщиков удостоверений SAML/WS-Fed в верхнюю часть списка поставщиков удостоверений основных поставщиков удостоверений, чтобы определить приоритет активации с федеративной поставщиком удостоверений. Для совместной работы B2B с проверенным доменом сделайте федеративную службу удостоверений основным провайдером идентификаций для активации приглашения. по сравнению с другими поставщиками удостоверений во время активации приглашения.
Вы можете протестировать настройку федерации, пригласив нового гостевого пользователя B2B. Дополнительные сведения см. в разделе "Добавление пользователей совместной работы Microsoft Entra B2B" в Центре администрирования Microsoft Entra.
Примечание.
Параметры Центра администрирования Microsoft Entra для настраиваемой функции активации в настоящее время развертываются для клиентов. Пока параметры не будут доступны в Центре администрирования, вы можете настроить заказ активации приглашения с помощью REST API Microsoft Graph (бета-версия). См . пример 2. Обновление конфигурации активации приглашения по умолчанию в справочной документации по Microsoft Graph.
Обновление сведений о сертификате или конфигурации
На странице Все поставщики удостоверений можно просмотреть список настроенных поставщиков удостоверений SAML/WS-Fed и их сроки действия сертификатов. В этом списке можно обновить сертификаты и изменить другие сведения о конфигурации.
Войдите в
Центр администрирования Microsoft Entra как минимум в роли администраторавнешнего поставщика удостоверений. Перейдите к списку удостоверений.
Выберите вкладку "Пользовательский ".
Прокрутите страницу до поставщика удостоверений в списке или используйте поле поиска.
Чтобы обновить сертификат или изменить сведения о конфигурации:
- В столбце Конфигурация для поставщика удостоверений выберите ссылку Изменить.
- На странице конфигурации измените любые из следующих сведений:
- Отображаемое имя — Отображаемое имя для организации партнера.
- Протокол поставщика удостоверений — Выберите SAML или WS-Fed.
- Конечная точка пассивной проверки подлинности —Конечная точка пассивного запрашивающего поставщика удостоверений партнера.
- Сертификат — Идентификатор сертификата для подписи. Чтобы продлить его, введите новый идентификатор сертификата.
- URL-адрес метаданных — URL-адрес, содержащий метаданные партнера, используемый для автоматического продления сертификата для подписи.
- Выберите Сохранить.
Чтобы изменить домены, связанные с партнером, выберите ссылку в столбце "Домены ". В области сведений о домене:
- Чтобы добавить домен, введите доменное имя рядом с доменным именем федеративного поставщика удостоверений и нажмите кнопку "Добавить". Повторите для каждого домена, который требуется добавить.
- Чтобы удалить домен, щелкните значок удаления рядом с доменом.
- По завершении нажмите кнопку Готово.
Примечание.
Чтобы удалить федерацию с партнером, сначала удалите все домены, кроме одного, а затем выполните действия, описанные в следующем разделе.
Как удалить федерацию?
Настройку федерации можно удалить. Если вы это сделаете, гостевые пользователи федерации, которые уже активировали свои приглашения, больше не смогут войти. Но вы можете снова предоставить им доступ к ресурсам, переустановив их состояние активации. Чтобы удалить конфигурацию поставщика удостоверений в Центре администрирования Microsoft Entra, выполните следующие действия.
Войдите в
Центр администрирования Microsoft Entra как минимум в роли администраторавнешнего поставщика удостоверений. Перейдите к списку удостоверений.
Выберите вкладку "Пользовательская ", а затем прокрутите страницу поставщика удостоверений в списке или используйте поле поиска.
Щелкните ссылку в столбце Домены, чтобы просмотреть сведения о домене поставщика удостоверений.
Удалите все домены, кроме одного из доменов в списке доменных имен .
Выберите " Удалить конфигурацию" и нажмите кнопку "Готово".
Нажмите OK, чтобы подтвердить удаление.
Вы также можете удалить федерацию с помощью типа ресурса SamlOrWsFedExternalDomainFederation API Microsoft Graph.
Следующие шаги
Узнайте больше о процессе активации приглашения, когда внешние пользователи входят с различными поставщиками удостоверений.