Federation med SAML/WS-Fed-identitetsprovidrar
Gäller för:Personalklientorganisationer
Externa klienter (läs mer)
Din Microsoft Entra-klientorganisation kan kopplas samman direkt med externa organisationer som använder en SAML eller WS-Fed identitetsleverantör (IdP). Användare från den externa organisationen kan sedan använda sitt IdP-hanterade konto för att logga in på din klientorganisation, utan att behöva skapa nya Microsoft Entra-autentiseringsuppgifter. För nyligen inbjudna användare har SAML/WS-Fed IdP-federation företräde som den primära inloggningsmetoden. Användaren omdirigeras till sin IdP när de registrerar sig eller loggar in i din app och återvänder sedan till Microsoft Entra när de har loggat in.
Du kan associera flera domäner med en enda federationskonfiguration. Partnerns domän kan antingen vara Microsoft Entra-verifierad eller icke-verifierad.
För att konfigurera SAML/WS-Fed IdP-federation krävs konfiguration både i klientorganisationen och i den externa organisationens IdP. I vissa fall måste partnern uppdatera sina DNS-textposter. De måste också uppdatera sin IdP med de anspråk som krävs och förlitande partsförtroenden.
Kommentar
Den här funktionen är för närvarande i förhandsversion för externa klienter och är allmänt tillgänglig för personalklienter.
När autentiseras en användare med SAML/WS-Fed IdP-federation?
När du har konfigurerat federationen beror inloggningsupplevelsen för den externa användaren på dina inloggningsinställningar och om partnerns domän är Microsoft Entra-verifierad.
Federation med verifierade och icke-verifierade domäner
Du kan konfigurera SAML/WS-Fed IdP-federation med:
- Icke-verifierade domäner: Dessa domäner är inte DNS-verifierade i Microsoft Entra-ID. För icke-verifierade domäner autentiseras användare från den externa organisationen med hjälp av federerade SAML/WS-Fed IdP.
- Microsoft Entra ID-verifierade domäner: Dessa domäner har verifierats inom Microsoft Entra-ID, inklusive domäner där klientorganisationen har genomgått ett administratörsövertagande. För verifierade domäner är Microsoft Entra-ID den primära identitetsprovidern som används vid inlösen av inbjudan. För B2B-samarbete i en personalklientorganisation kan du ändra inlösningsordern för att göra federerad IdP till den primära metoden.
Kommentar
För närvarande stöds inte inställningar för inlösenorder i externa klienter eller i moln.
Federation med ohanterade (e-postverifierade) hyresgäster
Du kan konfigurera SAML/WS-Fed IdP-federation med domäner som inte är DNS-verifierade i Microsoft Entra-ID, inklusive icke-förvaltade (e-postverifierade eller "virala") Microsoft Entra-klienter. Sådana klienter skapas när en användare löser in en B2B-inbjudan eller utför självbetjäningsregistrering för Microsoft Entra-ID med hjälp av en domän som för närvarande inte finns.
Hur federation påverkar aktuella externa användare
Att konfigurera federation ändrar inte autentiseringsmetoden för användare som redan har löst in en inbjudan. Till exempel:
- Användare som löste in inbjudningar innan federationskonfigurationen fortsätter att använda sin ursprungliga autentiseringsmetod. Användare som till exempel löste in inbjudningar med engångslösenordsautentisering innan du konfigurerade federation fortsätter att använda engångslösenord.
- Användare som löste in inbjudningar med den federerade IdP:n fortsätter att använda den metoden, även om deras organisation senare flyttar till Microsoft Entra.
- Användare som för närvarande använder SAML/WS-Fed IdP hindras från att logga in om federationen tas bort.
Du behöver inte skicka nya inbjudningar till befintliga användare eftersom de fortsätter att använda sin aktuella inloggningsmetod. Men för B2B-samarbete i en arbetsklient kan du återställa en användares inlösenstatus. Nästa gång användaren kommer åt din app upprepar de inlösningsstegen och växlar till federation. För närvarande stöds inte inställningar för inlösenorder i externa klienter eller i moln.
Inloggningsslutpunkter i arbetsplatsmiljöer
När federation har konfigurerats i din arbetsstyrkeklient kan användare från den federerade organisationen logga in på dina appar med flera klienter och Microsofts förstapartsappar med hjälp av en gemensam slutpunkt (med andra ord en allmän app-URL som inte innehåller klientkontexten). Under inloggningsprocessen väljer användaren inloggningsalternativoch väljer sedan Logga in på en organisation. De skriver namnet på din organisation och fortsätter att logga in med sina egna autentiseringsuppgifter.
SAML/WS-Fed IdP-federationsanvändare kan också använda programslutpunkter som innehåller din klientinformation, till exempel:
https://myapps.microsoft.com/?tenantid=<your tenant ID>
https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
https://portal.azure.com/<your tenant ID>
Du kan också ge användarna en direktlänk till ett program eller en resurs genom att inkludera din klientinformation, till exempel https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>
.
Överväganden för att konfigurera federation
Att konfigurera federation innebär att konfigurera både din Microsoft Entra-klient och den externa organisationens IdP.
Partner-IdP-krav
Beroende på partnerns IdP kan partnern behöva uppdatera sina DNS-poster för att aktivera federation med dig. Se steg 1: Kontrollera om partnern behöver uppdatera sina DNS-textposter.
Issuer-URL:en i SAML-förfrågan som skickas av Microsoft Entra-ID för externa federationer är nu en klientorganisationsslutpunkt, medan den tidigare var en global slutpunkt. Befintliga federationer med den globala slutpunkten fortsätter att fungera. Men för nya federationer ställer du in målgruppen för den externa SAML:n eller WS-Fed IdP till en klientslutpunkt. Se avsnittet SAML 2.0 och avsnittet WS-Fed för obligatoriska attribut och anspråk.
Förfallodatum för signeringscertifikat
Om du anger metadata-URL:en i IdP-inställningarna förnyar Microsoft Entra-ID automatiskt signeringscertifikatet när det upphör att gälla. Men om certifikatet roteras av någon anledning före förfallotiden, eller om du inte anger en metadata-URL, kan Inte Microsoft Entra-ID förnya det. I det här fallet måste du uppdatera signeringscertifikatet manuellt.
Sessionen upphör att gälla
Om Microsoft Entra-sessionen upphör att gälla eller blir ogiltig och det federerade IdP:t har SSO aktiverat, upplever användaren SSO. Om den federerade användarens session är giltig uppmanas användaren inte att logga in igen. Annars omdirigeras användaren till sin IdP för inloggning.
Andra överväganden
Följande är andra saker att tänka på när du federerar med en SAML/WS-Fed-identitetsprovider.
Federationen löser inte inloggningsproblem som orsakas av en delvis synkroniserad innehavarorganisation, där en partners lokala användaridentiteter inte är helt synkroniserade med Microsoft Entra i molnet. Dessa användare kan inte logga in med en B2B-inbjudan, så de måste använda e-post engångslösenord funktionen i stället. SAML/WS-Fed IdP-federationsfunktionen är avsedd för partner med egna IdP-hanterade organisationskonton men ingen Microsoft Entra-närvaro.
Federation ersätter inte behovet av B2B-gästkonton i din katalog. Med B2B-samarbete skapas ett gästkonto för användaren i arbetsstyrkans klientkatalog oavsett vilken autentiserings- eller federationsmetod som används. Med det här användarobjektet kan du bevilja åtkomst till program, tilldela roller och definiera medlemskap i säkerhetsgrupper.
För närvarande stöder inte federationsfunktionen Microsoft Entra SAML/WS-Fed att skicka en signerad autentiseringstoken till SAML-identitetsprovidern.
Konfigurera SAML/WS-Fed IdP-federation
Steg 1: Avgöra om partnern behöver uppdatera sina DNS-textposter
Använd följande steg för att avgöra om partnern behöver uppdatera sina DNS-poster för att aktivera federation med dig.
Kontrollera partnerns IdP passiva autentiserings-URL för att se om domänen matchar måldomänen eller en värd i måldomänen. Med andra ord, när du konfigurerar federation för
fabrikam.com
:- Om den passiva autentiseringsslutpunkten är
https://fabrikam.com
ellerhttps://sts.fabrikam.com/adfs
(en värd i samma domän) behövs inga DNS-ändringar. - Om den passiva autentiseringsslutpunkten är
https://fabrikamconglomerate.com/adfs
ellerhttps://fabrikam.co.uk/adfs
matchar domänen inte den fabrikam.com domänen, så partnern måste lägga till en textpost för autentiserings-URL:en till sin DNS-konfiguration.
- Om den passiva autentiseringsslutpunkten är
Om DNS-ändringar behövs baserat på föregående steg ber du partnern att lägga till en TXT-post i domänens DNS-poster, som i följande exempel:
fabrikam.com. IN TXT DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs
Steg 2: Konfigurera partnerorganisationens IdP
Därefter måste din partnerorganisation konfigurera sin IdP med nödvändiga anspråk och förlitande partförtroenden.
Kommentar
För att illustrera hur du konfigurerar en SAML/WS-Fed IdP för federation använder vi Active Directory Federation Services (AD FS) som exempel. Se artikeln Konfigurera SAML/WS-Fed IdP-federation med AD FS, som ger exempel på hur du konfigurerar AD FS som en SAML 2.0 eller WS-Fed IdP som förberedelse för federation.
SAML 2.0-konfiguration
Microsoft Entra B2B kan konfigureras att federera med IP-adresser som använder SAML-protokollet med specifika krav som anges i det här avsnittet. Mer information om hur du konfigurerar ett förtroende mellan saml-IdP och Microsoft Entra-ID finns i Använda en SAML 2.0 Identity Provider (IdP) för enkel inloggning.
Kommentar
Nu kan du konfigurera SAML/WS-Fed IdP-federation med andra Microsoft Entra-ID-verifierade domäner. Läs mer
Obligatoriska SAML 2.0-attribut och anspråk
Följande tabeller visar krav för specifika attribut och anspråk som måste konfigureras i IdP från tredje part. För att konfigurera federation måste följande attribut tas emot i SAML 2.0-svaret från IdP:t. Dessa attribut kan konfigureras genom att länka till XML-filen för onlinesäkerhetstokentjänsten eller genom att ange dem manuellt.
Kommentar
Se till att värdet matchar det moln som du konfigurerar extern federation för.
Tabell 1. Obligatoriska attribut för SAML 2.0-svaret från IdP.
Attribut | Värde |
---|---|
AssertionConsumerService | https://login.microsoftonline.com/login.srf |
Målgrupp |
https://login.microsoftonline.com/<tenant ID>/ (Rekommenderas) Ersätt <tenant ID> med klientorganisations-ID:t för den Microsoft Entra-klientorganisation som du konfigurerar federation med.I SAML-begäran som skickas av Microsoft Entra-ID för externa federationer är utfärdarens URL en klientdelsslutpunkt (till exempel https://login.microsoftonline.com/<tenant ID>/ ). För alla nya federationer rekommenderar vi att alla våra partner ställer in målgruppen för SAML- eller WS-Fed-baserade IdP:n till en klientorganisationsslutpunkt. Alla befintliga federationer som konfigurerats med den globala slutpunkten (till exempel urn:federation:MicrosoftOnline ) fortsätter att fungera, men nya federationer slutar fungera om din externa IdP förväntar sig en global utfärdar-URL i SAML-begäran som skickas av Microsoft Entra-ID. |
Utfärdare | Utfärdarens URI för partnerns IdP, till exempel http://www.example.com/exk10l6w90DHM0yi... |
Tabell 2. Nödvändiga anspråk för SAML 2.0-token som utfärdats av IdP:n.
Attributnamn | Värde |
---|---|
NameID-format | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
emailaddress |
WS-Fed-konfiguration
Microsoft Entra B2B kan konfigureras att federera med IP-adresser som använder WS-Fed-protokollet. I det här avsnittet beskrivs kraven. För närvarande är de två WS-Fed providrar som har testats för kompatibilitet med Microsoft Entra ID AD FS och Shibboleth. Mer information om hur du upprättar ett förlitande partsförtroende mellan en WS-Fed-kompatibel provider med Microsoft Entra-ID finns i "STS Integration Paper using WS Protocols" (STS-integreringsdokument med WS-protokoll) som finns i kompatibilitetsdokumenten för Microsoft Entra-identitetsprovidern.
Kommentar
Nu kan du konfigurera SAML/WS-Fed IdP-federation med andra Microsoft Entra-ID-verifierade domäner. Läs mer
Obligatoriska WS-Fed-attribut och anspråk
Följande tabeller visar krav för specifika attribut och anspråk som måste konfigureras i WS-Fed-IdP från tredje part. För att konfigurera federation måste följande attribut tas emot i WS-Fed-meddelandet från IdP: n. Dessa attribut kan konfigureras genom att länka till XML-filen för onlinesäkerhetstokentjänsten eller genom att ange dem manuellt.
Kommentar
Se till att värdet matchar det moln som du konfigurerar extern federation för.
Tabell 3. Obligatoriska attribut i meddelandet WS-Fed från IdP.
Attribut | Värde |
---|---|
PassiveRequestorEndpoint | https://login.microsoftonline.com/login.srf |
Målgrupp |
https://login.microsoftonline.com/<tenant ID>/ (Rekommenderas) Ersätt <tenant ID> med klientorganisations-ID:t för den Microsoft Entra-klientorganisation som du konfigurerar federation med.I SAML-begäran som skickas av Microsoft Entra-ID för externa federationer är utfärdarens URL en klientdelsslutpunkt (till exempel https://login.microsoftonline.com/<tenant ID>/ ). För alla nya federationer rekommenderar vi att alla våra partner ställer in målgruppen för SAML- eller WS-Fed-baserade IdP:n till en klientorganisationsslutpunkt. Alla befintliga federationer som konfigurerats med den globala slutpunkten (till exempel urn:federation:MicrosoftOnline ) fortsätter att fungera, men nya federationer slutar fungera om din externa IdP förväntar sig en global utfärdar-URL i SAML-begäran som skickas av Microsoft Entra-ID. |
Utfärdare | Utfärdarens URI för partnerns IdP, till exempel http://www.example.com/exk10l6w90DHM0yi... |
Tabell 4. Nödvändiga anspråk för den WS-Fed token som utfärdats av IdP:t.
Attribut | Värde |
---|---|
OföränderligtID | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
emailaddress | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Steg 3: Konfigurera SAML/WS-Fed IdP-federation i Microsoft Entra External ID
Konfigurera sedan federation med IdP som konfigurerats i steg 1 i Microsoft Entra Externt ID. Du kan använda antingen administrationscentret för Microsoft Entra eller Microsoft Graph API. Det kan ta 5–10 minuter innan federationsprincipen börjar gälla. Under den här tiden ska du inte försöka lösa in en inbjudan för federationsdomänen. Följande attribut krävs:
- Utfärdar-URI för partnerns IdP
- Passiv autentiseringsslutpunkt för partner-IdP (endast https stöds)
- Certifikat
Så här konfigurerar du federation i administrationscentret för Microsoft Entra
Logga in på administrationscentret för Microsoft Entra som minst en Extern Identitetsleverantörsadministratör.
Om du har åtkomst till flera hyrgäster använder du ikonen Inställningar
i den översta menyn och växlar till din hyrgäst från menyn Kataloger.
Bläddra till >Alla identitetsprovidrar.
Välj fliken Anpassad och välj sedan Lägg till ny>SAML/WS-Fed.
På sidan Ny SAML/WS-Fed IdP anger du följande:
- Visningsnamn – Ange ett namn som hjälper dig att identifiera partnerns IdP.
- Protokoll för identitetsprovider – Välj SAML eller WS-Fed.
- Domännamn för federerande IdP – Ange partnerns IdP-måldomännamn för federation. Under den här inledande konfigurationen anger du bara ett domännamn. Du kan lägga till fler domäner senare.
Välj en metod för att fylla i metadata. Om du har en fil som innehåller metadata kan du automatiskt fylla i fälten genom att välja Parsa metadatafil och bläddra efter filen. Eller så kan du välja Indatametadata manuellt och ange följande information:
- Utfärdarens URI för partnerns SAML-IdP eller entitets-ID för partnerns WS-Fed IdP.
- Slutpunkten för passiv autentisering för partnerns SAML-IdP eller slutpunkten för passiva begäranden för partnerns WS-Fed IdP.
- Certifikat – signeringscertifikat-ID.
- Metadata-URL – platsen för IdP:ts metadata för automatisk förnyelse av signeringscertifikatet.
Kommentar
Metadata-URL är valfritt. Men vi rekommenderar det starkt. Om du anger metadata-URL:en kan Microsoft Entra-ID:t automatiskt förnya signeringscertifikatet när det upphör att gälla. Om certifikatet roteras av någon anledning före förfallotiden eller om du inte anger någon metadata-URL kan inte Microsoft Entra-ID förnya det. I det här fallet måste du uppdatera signeringscertifikatet manuellt.
Välj Spara. Identitetsprovidern läggs till i listan SAML/WS-Fed-identitetsproviders .
(Valfritt) Så här lägger du till fler domännamn i den här federerande identitetsprovidern:
Så här konfigurerar du federation med hjälp av Microsoft Graph API
Du kan använda resurstypen Microsoft Graph API samlOrWsFedExternalDomainFederation för att konfigurera federation med en identitetsprovider som stöder antingen SAML- eller WS-Fed-protokollet.
Konfigurera inlösenorder (B2B-samarbete i personalklienter)
Om du konfigurerar federation i din arbetsplatsorganisation för B2B-samarbete med en verifierad domän, säkerställer du att den federerade IdP:n används först när inlösen av inbjudan sker. Konfigurera Inlösenordning inställningar i inställningarna för åtkomst mellan klientorganisationer för inkommande B2B-samarbete. Flytta SAML/WS-Fed-identitetsprovidrar överst i listan primära identitetsprovidrar för att prioritera inlösen med federerad IdP. För B2B-samarbete med en verifierad domän gör du den federerade IdP:n till den primära identitetsprovidern för inlösning av inbjudningar. över andra identitetsleverantörer vid inlösen av inbjudan.
Du kan testa federationskonfigurationen genom att bjuda in en ny B2B-gästanvändare. Mer information finns i Lägga till Microsoft Entra B2B-samarbetsanvändare i administrationscentret för Microsoft Entra.
Kommentar
Inställningarna för Microsoft Entra-administrationscentret för den konfigurerbara inlösningsfunktionen lanseras för närvarande till kunder. Tills inställningarna är tillgängliga i administrationscentret kan du konfigurera inlösningsbeställningen för inbjudan med hjälp av Microsoft Graph REST API (betaversion). Se Exempel 2: Uppdatera standardkonfigurationen för inlösning av inbjudningar i Microsoft Graph-referensdokumentationen.
Hur gör jag för att uppdatera certifikatet eller konfigurationsinformationen?
På sidan Alla identitetsprovidrar kan du visa listan över SAML/WS-Fed identitetsprovidrar som konfigurerats och deras certifikatförfallodatum. I den här listan kan du förnya certifikat och ändra annan konfigurationsinformation.
Logga in på administrationscentret för Microsoft Entra som minst en Extern Identitetsleverantörsadministratör.
Bläddra till >Alla identitetsprovidrar.
Välj fliken Anpassad .
Rulla till en identitetsprovider i listan eller använd sökrutan.
Så här uppdaterar du certifikatet eller ändrar konfigurationsinformationen:
- I kolumnen Konfiguration för identitetsprovidern väljer du länken Redigera.
- På konfigurationssidan ändrar du någon av följande uppgifter:
- Visningsnamn – Visningsnamn för partnerorganisationen.
- Protokoll för identitetsprovider – Välj SAML eller WS-Fed.
- Slutpunkt för passiv autentisering – partner-IdP:ns passiva slutpunkt för begärandebegäran.
- Certifikat – ID för signeringscertifikatet. Om du vill förnya det anger du ett nytt certifikat-ID.
- Metadata-URL – URL:en som innehåller partnerns metadata, som används för automatisk förnyelse av signeringscertifikatet.
- Välj Spara.
Om du vill redigera de domäner som är associerade med partnern väljer du länken i kolumnen Domäner . I fönstret domäninformation:
- Om du vill lägga till en domän skriver du domännamnet bredvid Domännamnet för federerande IdP och väljer sedan Lägg till. Upprepa för varje domän som du vill lägga till.
- Om du vill ta bort en domän väljer du borttagningsikonen bredvid domänen.
- När du är klar väljer du Klar.
Kommentar
Om du vill ta bort federation med en partner tar du först bort alla domäner utom en och följer sedan stegen i nästa avsnitt.
Hur gör jag för att ta bort federation?
Du kan ta bort federationskonfigurationen. Om du gör det kan federationsgästanvändare som redan har löst in sina inbjudningar inte längre logga in. Men du kan ge dem åtkomst till dina resurser igen genom att återställa deras inlösenstatus. Så här tar du bort en konfiguration för en IdP i administrationscentret för Microsoft Entra:
Logga in på administrationscentret för Microsoft Entra som minst en Extern Identitetsleverantörsadministratör.
Bläddra till >Alla identitetsprovidrar.
Välj fliken Anpassad och bläddra sedan till identitetsprovidern i listan eller använd sökrutan.
Välj länken i kolumnen Domäner för att visa IdP:ts domäninformation.
Ta bort alla utom en av domänerna i listan Domännamn .
Välj Ta bort konfiguration och välj sedan Klar.
Välj OK för att bekräfta borttagningen.
Du kan också ta bort federation med hjälp av resurstypen Microsoft Graph API samlOrWsFedExternalDomainFederation .
Nästa steg
Läs mer om inlösningen av inbjudningar när externa användare loggar in med olika identitetsprovidrar.