Dela via

Federation med SAML/WS-Fed-identitetsprovidrar

  • Artikel

Gäller för:Grön cirkel med en vit bockmarkeringssymbol.Personalklientorganisationer Grön cirkel med en vit bockmarkeringssymbol. Externa klienter (läs mer)

Din Microsoft Entra-klientorganisation kan kopplas samman direkt med externa organisationer som använder en SAML eller WS-Fed identitetsleverantör (IdP). Användare från den externa organisationen kan sedan använda sitt IdP-hanterade konto för att logga in på din klientorganisation, utan att behöva skapa nya Microsoft Entra-autentiseringsuppgifter. För nyligen inbjudna användare har SAML/WS-Fed IdP-federation företräde som den primära inloggningsmetoden. Användaren omdirigeras till sin IdP när de registrerar sig eller loggar in i din app och återvänder sedan till Microsoft Entra när de har loggat in.

Du kan associera flera domäner med en enda federationskonfiguration. Partnerns domän kan antingen vara Microsoft Entra-verifierad eller icke-verifierad.

För att konfigurera SAML/WS-Fed IdP-federation krävs konfiguration både i klientorganisationen och i den externa organisationens IdP. I vissa fall måste partnern uppdatera sina DNS-textposter. De måste också uppdatera sin IdP med de anspråk som krävs och förlitande partsförtroenden.

Kommentar

Den här funktionen är för närvarande i förhandsversion för externa klienter och är allmänt tillgänglig för personalklienter.

När autentiseras en användare med SAML/WS-Fed IdP-federation?

När du har konfigurerat federationen beror inloggningsupplevelsen för den externa användaren på dina inloggningsinställningar och om partnerns domän är Microsoft Entra-verifierad.

Federation med verifierade och icke-verifierade domäner

Du kan konfigurera SAML/WS-Fed IdP-federation med:

  • Icke-verifierade domäner: Dessa domäner är inte DNS-verifierade i Microsoft Entra-ID. För icke-verifierade domäner autentiseras användare från den externa organisationen med hjälp av federerade SAML/WS-Fed IdP.
  • Microsoft Entra ID-verifierade domäner: Dessa domäner har verifierats inom Microsoft Entra-ID, inklusive domäner där klientorganisationen har genomgått ett administratörsövertagande. För verifierade domäner är Microsoft Entra-ID den primära identitetsprovidern som används vid inlösen av inbjudan. För B2B-samarbete i en personalklientorganisation kan du ändra inlösningsordern för att göra federerad IdP till den primära metoden.

Kommentar

För närvarande stöds inte inställningar för inlösenorder i externa klienter eller i moln.

Federation med ohanterade (e-postverifierade) hyresgäster

Du kan konfigurera SAML/WS-Fed IdP-federation med domäner som inte är DNS-verifierade i Microsoft Entra-ID, inklusive icke-förvaltade (e-postverifierade eller "virala") Microsoft Entra-klienter. Sådana klienter skapas när en användare löser in en B2B-inbjudan eller utför självbetjäningsregistrering för Microsoft Entra-ID med hjälp av en domän som för närvarande inte finns.

Hur federation påverkar aktuella externa användare

Att konfigurera federation ändrar inte autentiseringsmetoden för användare som redan har löst in en inbjudan. Till exempel:

  • Användare som löste in inbjudningar innan federationskonfigurationen fortsätter att använda sin ursprungliga autentiseringsmetod. Användare som till exempel löste in inbjudningar med engångslösenordsautentisering innan du konfigurerade federation fortsätter att använda engångslösenord.
  • Användare som löste in inbjudningar med den federerade IdP:n fortsätter att använda den metoden, även om deras organisation senare flyttar till Microsoft Entra.
  • Användare som för närvarande använder SAML/WS-Fed IdP hindras från att logga in om federationen tas bort.

Du behöver inte skicka nya inbjudningar till befintliga användare eftersom de fortsätter att använda sin aktuella inloggningsmetod. Men för B2B-samarbete i en arbetsklient kan du återställa en användares inlösenstatus. Nästa gång användaren kommer åt din app upprepar de inlösningsstegen och växlar till federation. För närvarande stöds inte inställningar för inlösenorder i externa klienter eller i moln.

Inloggningsslutpunkter i arbetsplatsmiljöer

När federation har konfigurerats i din arbetsstyrkeklient kan användare från den federerade organisationen logga in på dina appar med flera klienter och Microsofts förstapartsappar med hjälp av en gemensam slutpunkt (med andra ord en allmän app-URL som inte innehåller klientkontexten). Under inloggningsprocessen väljer användaren inloggningsalternativoch väljer sedan Logga in på en organisation. De skriver namnet på din organisation och fortsätter att logga in med sina egna autentiseringsuppgifter.

SAML/WS-Fed IdP-federationsanvändare kan också använda programslutpunkter som innehåller din klientinformation, till exempel:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

Du kan också ge användarna en direktlänk till ett program eller en resurs genom att inkludera din klientinformation, till exempel https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>.

Överväganden för att konfigurera federation

Att konfigurera federation innebär att konfigurera både din Microsoft Entra-klient och den externa organisationens IdP.

Partner-IdP-krav

Beroende på partnerns IdP kan partnern behöva uppdatera sina DNS-poster för att aktivera federation med dig. Se steg 1: Kontrollera om partnern behöver uppdatera sina DNS-textposter.

Issuer-URL:en i SAML-förfrågan som skickas av Microsoft Entra-ID för externa federationer är nu en klientorganisationsslutpunkt, medan den tidigare var en global slutpunkt. Befintliga federationer med den globala slutpunkten fortsätter att fungera. Men för nya federationer ställer du in målgruppen för den externa SAML:n eller WS-Fed IdP till en klientslutpunkt. Se avsnittet SAML 2.0 och avsnittet WS-Fed för obligatoriska attribut och anspråk.

Förfallodatum för signeringscertifikat

Om du anger metadata-URL:en i IdP-inställningarna förnyar Microsoft Entra-ID automatiskt signeringscertifikatet när det upphör att gälla. Men om certifikatet roteras av någon anledning före förfallotiden, eller om du inte anger en metadata-URL, kan Inte Microsoft Entra-ID förnya det. I det här fallet måste du uppdatera signeringscertifikatet manuellt.

Sessionen upphör att gälla

Om Microsoft Entra-sessionen upphör att gälla eller blir ogiltig och det federerade IdP:t har SSO aktiverat, upplever användaren SSO. Om den federerade användarens session är giltig uppmanas användaren inte att logga in igen. Annars omdirigeras användaren till sin IdP för inloggning.

Andra överväganden

Följande är andra saker att tänka på när du federerar med en SAML/WS-Fed-identitetsprovider.

  • Federationen löser inte inloggningsproblem som orsakas av en delvis synkroniserad innehavarorganisation, där en partners lokala användaridentiteter inte är helt synkroniserade med Microsoft Entra i molnet. Dessa användare kan inte logga in med en B2B-inbjudan, så de måste använda e-post engångslösenord funktionen i stället. SAML/WS-Fed IdP-federationsfunktionen är avsedd för partner med egna IdP-hanterade organisationskonton men ingen Microsoft Entra-närvaro.

  • Federation ersätter inte behovet av B2B-gästkonton i din katalog. Med B2B-samarbete skapas ett gästkonto för användaren i arbetsstyrkans klientkatalog oavsett vilken autentiserings- eller federationsmetod som används. Med det här användarobjektet kan du bevilja åtkomst till program, tilldela roller och definiera medlemskap i säkerhetsgrupper.

  • För närvarande stöder inte federationsfunktionen Microsoft Entra SAML/WS-Fed att skicka en signerad autentiseringstoken till SAML-identitetsprovidern.

Konfigurera SAML/WS-Fed IdP-federation

Steg 1: Avgöra om partnern behöver uppdatera sina DNS-textposter

Använd följande steg för att avgöra om partnern behöver uppdatera sina DNS-poster för att aktivera federation med dig.

  1. Kontrollera partnerns IdP passiva autentiserings-URL för att se om domänen matchar måldomänen eller en värd i måldomänen. Med andra ord, när du konfigurerar federation för fabrikam.com:

    • Om den passiva autentiseringsslutpunkten är https://fabrikam.com eller https://sts.fabrikam.com/adfs (en värd i samma domän) behövs inga DNS-ändringar.
    • Om den passiva autentiseringsslutpunkten är https://fabrikamconglomerate.com/adfs eller https://fabrikam.co.uk/adfsmatchar domänen inte den fabrikam.com domänen, så partnern måste lägga till en textpost för autentiserings-URL:en till sin DNS-konfiguration.

  2. Om DNS-ändringar behövs baserat på föregående steg ber du partnern att lägga till en TXT-post i domänens DNS-poster, som i följande exempel:

    fabrikam.com.  IN   TXT   DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs

Steg 2: Konfigurera partnerorganisationens IdP

Därefter måste din partnerorganisation konfigurera sin IdP med nödvändiga anspråk och förlitande partförtroenden.

Kommentar

För att illustrera hur du konfigurerar en SAML/WS-Fed IdP för federation använder vi Active Directory Federation Services (AD FS) som exempel. Se artikeln Konfigurera SAML/WS-Fed IdP-federation med AD FS, som ger exempel på hur du konfigurerar AD FS som en SAML 2.0 eller WS-Fed IdP som förberedelse för federation.

SAML 2.0-konfiguration

Microsoft Entra B2B kan konfigureras att federera med IP-adresser som använder SAML-protokollet med specifika krav som anges i det här avsnittet. Mer information om hur du konfigurerar ett förtroende mellan saml-IdP och Microsoft Entra-ID finns i Använda en SAML 2.0 Identity Provider (IdP) för enkel inloggning.

Kommentar

Nu kan du konfigurera SAML/WS-Fed IdP-federation med andra Microsoft Entra-ID-verifierade domäner. Läs mer

Obligatoriska SAML 2.0-attribut och anspråk

Följande tabeller visar krav för specifika attribut och anspråk som måste konfigureras i IdP från tredje part. För att konfigurera federation måste följande attribut tas emot i SAML 2.0-svaret från IdP:t. Dessa attribut kan konfigureras genom att länka till XML-filen för onlinesäkerhetstokentjänsten eller genom att ange dem manuellt.

Kommentar

Se till att värdet matchar det moln som du konfigurerar extern federation för.

Tabell 1. Obligatoriska attribut för SAML 2.0-svaret från IdP.

Attribut Värde
AssertionConsumerService https://login.microsoftonline.com/login.srf
Målgrupp https://login.microsoftonline.com/<tenant ID>/ (Rekommenderas) Ersätt <tenant ID> med klientorganisations-ID:t för den Microsoft Entra-klientorganisation som du konfigurerar federation med.

I SAML-begäran som skickas av Microsoft Entra-ID för externa federationer är utfärdarens URL en klientdelsslutpunkt (till exempel https://login.microsoftonline.com/<tenant ID>/). För alla nya federationer rekommenderar vi att alla våra partner ställer in målgruppen för SAML- eller WS-Fed-baserade IdP:n till en klientorganisationsslutpunkt. Alla befintliga federationer som konfigurerats med den globala slutpunkten (till exempel urn:federation:MicrosoftOnline) fortsätter att fungera, men nya federationer slutar fungera om din externa IdP förväntar sig en global utfärdar-URL i SAML-begäran som skickas av Microsoft Entra-ID.
Utfärdare Utfärdarens URI för partnerns IdP, till exempel http://www.example.com/exk10l6w90DHM0yi...

Tabell 2. Nödvändiga anspråk för SAML 2.0-token som utfärdats av IdP:n.

Attributnamn Värde
NameID-format urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress emailaddress

WS-Fed-konfiguration

Microsoft Entra B2B kan konfigureras att federera med IP-adresser som använder WS-Fed-protokollet. I det här avsnittet beskrivs kraven. För närvarande är de två WS-Fed providrar som har testats för kompatibilitet med Microsoft Entra ID AD FS och Shibboleth. Mer information om hur du upprättar ett förlitande partsförtroende mellan en WS-Fed-kompatibel provider med Microsoft Entra-ID finns i "STS Integration Paper using WS Protocols" (STS-integreringsdokument med WS-protokoll) som finns i kompatibilitetsdokumenten för Microsoft Entra-identitetsprovidern.

Kommentar

Nu kan du konfigurera SAML/WS-Fed IdP-federation med andra Microsoft Entra-ID-verifierade domäner. Läs mer

Obligatoriska WS-Fed-attribut och anspråk

Följande tabeller visar krav för specifika attribut och anspråk som måste konfigureras i WS-Fed-IdP från tredje part. För att konfigurera federation måste följande attribut tas emot i WS-Fed-meddelandet från IdP: n. Dessa attribut kan konfigureras genom att länka till XML-filen för onlinesäkerhetstokentjänsten eller genom att ange dem manuellt.

Kommentar

Se till att värdet matchar det moln som du konfigurerar extern federation för.

Tabell 3. Obligatoriska attribut i meddelandet WS-Fed från IdP.

Attribut Värde
PassiveRequestorEndpoint https://login.microsoftonline.com/login.srf
Målgrupp https://login.microsoftonline.com/<tenant ID>/ (Rekommenderas) Ersätt <tenant ID> med klientorganisations-ID:t för den Microsoft Entra-klientorganisation som du konfigurerar federation med.

I SAML-begäran som skickas av Microsoft Entra-ID för externa federationer är utfärdarens URL en klientdelsslutpunkt (till exempel https://login.microsoftonline.com/<tenant ID>/). För alla nya federationer rekommenderar vi att alla våra partner ställer in målgruppen för SAML- eller WS-Fed-baserade IdP:n till en klientorganisationsslutpunkt. Alla befintliga federationer som konfigurerats med den globala slutpunkten (till exempel urn:federation:MicrosoftOnline) fortsätter att fungera, men nya federationer slutar fungera om din externa IdP förväntar sig en global utfärdar-URL i SAML-begäran som skickas av Microsoft Entra-ID.
Utfärdare Utfärdarens URI för partnerns IdP, till exempel http://www.example.com/exk10l6w90DHM0yi...

Tabell 4. Nödvändiga anspråk för den WS-Fed token som utfärdats av IdP:t.

Attribut Värde
OföränderligtID http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
emailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Steg 3: Konfigurera SAML/WS-Fed IdP-federation i Microsoft Entra External ID

Konfigurera sedan federation med IdP som konfigurerats i steg 1 i Microsoft Entra Externt ID. Du kan använda antingen administrationscentret för Microsoft Entra eller Microsoft Graph API. Det kan ta 5–10 minuter innan federationsprincipen börjar gälla. Under den här tiden ska du inte försöka lösa in en inbjudan för federationsdomänen. Följande attribut krävs:

  • Utfärdar-URI för partnerns IdP
  • Passiv autentiseringsslutpunkt för partner-IdP (endast https stöds)
  • Certifikat

Så här konfigurerar du federation i administrationscentret för Microsoft Entra

  1. Logga in på administrationscentret för Microsoft Entra som minst en Extern Identitetsleverantörsadministratör.

  2. Om du har åtkomst till flera hyrgäster använder du ikonen Inställningar i den översta menyn och växlar till din hyrgäst från menyn Kataloger.

  3. Bläddra till >Alla identitetsprovidrar.

  4. Välj fliken Anpassad och välj sedan Lägg till ny>SAML/WS-Fed.

    Skärmbild som visar knappen för att lägga till en ny SAML- eller WS-Fed-IdP.

  5. På sidan Ny SAML/WS-Fed IdP anger du följande:

    • Visningsnamn – Ange ett namn som hjälper dig att identifiera partnerns IdP.
    • Protokoll för identitetsprovider – Välj SAML eller WS-Fed.
    • Domännamn för federerande IdP – Ange partnerns IdP-måldomännamn för federation. Under den här inledande konfigurationen anger du bara ett domännamn. Du kan lägga till fler domäner senare.

    Skärmbild som visar den nya SAML- eller WS-Fed IdP-sidan.

  6. Välj en metod för att fylla i metadata. Om du har en fil som innehåller metadata kan du automatiskt fylla i fälten genom att välja Parsa metadatafil och bläddra efter filen. Eller så kan du välja Indatametadata manuellt och ange följande information:

    • Utfärdarens URI för partnerns SAML-IdP eller entitets-ID för partnerns WS-Fed IdP.
    • Slutpunkten för passiv autentisering för partnerns SAML-IdP eller slutpunkten för passiva begäranden för partnerns WS-Fed IdP.
    • Certifikat – signeringscertifikat-ID.
    • Metadata-URL – platsen för IdP:ts metadata för automatisk förnyelse av signeringscertifikatet.

    Skärmbild som visar metadatafält.

    Kommentar

    Metadata-URL är valfritt. Men vi rekommenderar det starkt. Om du anger metadata-URL:en kan Microsoft Entra-ID:t automatiskt förnya signeringscertifikatet när det upphör att gälla. Om certifikatet roteras av någon anledning före förfallotiden eller om du inte anger någon metadata-URL kan inte Microsoft Entra-ID förnya det. I det här fallet måste du uppdatera signeringscertifikatet manuellt.

  7. Välj Spara. Identitetsprovidern läggs till i listan SAML/WS-Fed-identitetsproviders .

    Skärmbild som visar listan med SAML/WS-Fed-identitetsprovider med den nya posten.

  8. (Valfritt) Så här lägger du till fler domännamn i den här federerande identitetsprovidern:

    1. Välj länken i kolumnen Domäner .

      Skärmbild som visar länken för att lägga till domäner i SAML/WS-Fed-identitetsprovidern.

    2. Bredvid Domännamnet för federerande IdP skriver du domännamnet och väljer sedan Lägg till. Upprepa för varje domän som du vill lägga till. När du är klar väljer du Klar.

      Skärmbild som visar knappen Lägg till i fönstret domäninformation.

Så här konfigurerar du federation med hjälp av Microsoft Graph API

Du kan använda resurstypen Microsoft Graph API samlOrWsFedExternalDomainFederation för att konfigurera federation med en identitetsprovider som stöder antingen SAML- eller WS-Fed-protokollet.

Konfigurera inlösenorder (B2B-samarbete i personalklienter)

Om du konfigurerar federation i din arbetsplatsorganisation för B2B-samarbete med en verifierad domän, säkerställer du att den federerade IdP:n används först när inlösen av inbjudan sker. Konfigurera Inlösenordning inställningar i inställningarna för åtkomst mellan klientorganisationer för inkommande B2B-samarbete. Flytta SAML/WS-Fed-identitetsprovidrar överst i listan primära identitetsprovidrar för att prioritera inlösen med federerad IdP. För B2B-samarbete med en verifierad domän gör du den federerade IdP:n till den primära identitetsprovidern för inlösning av inbjudningar. över andra identitetsleverantörer vid inlösen av inbjudan.

Du kan testa federationskonfigurationen genom att bjuda in en ny B2B-gästanvändare. Mer information finns i Lägga till Microsoft Entra B2B-samarbetsanvändare i administrationscentret för Microsoft Entra.

Kommentar

Inställningarna för Microsoft Entra-administrationscentret för den konfigurerbara inlösningsfunktionen lanseras för närvarande till kunder. Tills inställningarna är tillgängliga i administrationscentret kan du konfigurera inlösningsbeställningen för inbjudan med hjälp av Microsoft Graph REST API (betaversion). Se Exempel 2: Uppdatera standardkonfigurationen för inlösning av inbjudningar i Microsoft Graph-referensdokumentationen.

Hur gör jag för att uppdatera certifikatet eller konfigurationsinformationen?

På sidan Alla identitetsprovidrar kan du visa listan över SAML/WS-Fed identitetsprovidrar som konfigurerats och deras certifikatförfallodatum. I den här listan kan du förnya certifikat och ändra annan konfigurationsinformation.

  1. Logga in på administrationscentret för Microsoft Entra som minst en Extern Identitetsleverantörsadministratör.

  2. Bläddra till >Alla identitetsprovidrar.

  3. Välj fliken Anpassad .

  4. Rulla till en identitetsprovider i listan eller använd sökrutan.

  5. Så här uppdaterar du certifikatet eller ändrar konfigurationsinformationen:

    • I kolumnen Konfiguration för identitetsprovidern väljer du länken Redigera.
    • På konfigurationssidan ändrar du någon av följande uppgifter:
      • Visningsnamn – Visningsnamn för partnerorganisationen.
      • Protokoll för identitetsprovider – Välj SAML eller WS-Fed.
      • Slutpunkt för passiv autentisering – partner-IdP:ns passiva slutpunkt för begärandebegäran.
      • Certifikat – ID för signeringscertifikatet. Om du vill förnya det anger du ett nytt certifikat-ID.
      • Metadata-URL – URL:en som innehåller partnerns metadata, som används för automatisk förnyelse av signeringscertifikatet.
    • Välj Spara.

    Skärmbild av IDP-konfigurationsinformationen.

  6. Om du vill redigera de domäner som är associerade med partnern väljer du länken i kolumnen Domäner . I fönstret domäninformation:

    • Om du vill lägga till en domän skriver du domännamnet bredvid Domännamnet för federerande IdP och väljer sedan Lägg till. Upprepa för varje domän som du vill lägga till.
    • Om du vill ta bort en domän väljer du borttagningsikonen bredvid domänen.
    • När du är klar väljer du Klar.

    Skärmbild av domänkonfigurationssidan.

    Kommentar

    Om du vill ta bort federation med en partner tar du först bort alla domäner utom en och följer sedan stegen i nästa avsnitt.

Hur gör jag för att ta bort federation?

Du kan ta bort federationskonfigurationen. Om du gör det kan federationsgästanvändare som redan har löst in sina inbjudningar inte längre logga in. Men du kan ge dem åtkomst till dina resurser igen genom att återställa deras inlösenstatus. Så här tar du bort en konfiguration för en IdP i administrationscentret för Microsoft Entra:

  1. Logga in på administrationscentret för Microsoft Entra som minst en Extern Identitetsleverantörsadministratör.

  2. Bläddra till >Alla identitetsprovidrar.

  3. Välj fliken Anpassad och bläddra sedan till identitetsprovidern i listan eller använd sökrutan.

  4. Välj länken i kolumnen Domäner för att visa IdP:ts domäninformation.

  5. Ta bort alla utom en av domänerna i listan Domännamn .

  6. Välj Ta bort konfiguration och välj sedan Klar.

    Skärmbild av att ta bort en konfiguration.

  7. Välj OK för att bekräfta borttagningen.

Du kan också ta bort federation med hjälp av resurstypen Microsoft Graph API samlOrWsFedExternalDomainFederation .

Nästa steg

Läs mer om inlösningen av inbjudningar när externa användare loggar in med olika identitetsprovidrar.