internalDomainFederation 资源类型

命名空间:microsoft.graph

重要

Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。

表示租户中与 Microsoft Entra ID 联合并验证的域的配置。 使用此资源在设置与 Microsoft Entra ID 的联合时配置联合设置。 有关联合的信息,请参阅什么是与Microsoft Entra ID的联合?

继承自 samlOrWsFedProvider

方法

方法 返回类型 Description
List internalDomainFederation 集合 读取域的 internalDomainFederation 对象的属性。
创建 internalDomainFederation 创建新的 internalDomainFederation 对象。
获取 internalDomainFederation 读取 internalDomainFederation 对象的属性和关系。
更新 internalDomainFederation 更新 internalDomainFederation 对象的属性。
删除 None 删除 internalDomainFederation 对象。

属性

属性 类型 说明
activeSignInUri String 使用 Microsoft Entra ID 中为单一登录设置的联合域进行身份验证时活动客户端使用的终结点的 URL。 对应于 Set-MsolDomainFederationSettings MSOnline v1 PowerShell cmdletActiveLogOnUri 属性。
displayName String 联合标识提供者的显示名称 (IdP) 。 继承自 identityProviderBase
federatedIdpMfaBehavior federatedIdpMfaBehavior 确定当联合用户访问受需要 MFA 的条件访问策略管理的应用程序时,Microsoft Entra ID是否接受联合 IdP 执行的 MFA。 可能的值包括 acceptIfMfaDoneByFederatedIdpenforceMfaByFederatedIdprejectMfaByFederatedIdpunknownFutureValue。 有关详细信息,请参阅 federatedIdpMfaBehavior 值
id String 联合标识提供者的标识符。 继承自 entity
isSignedAuthenticationRequestRequired 布尔值 如果true为 ,则当 SAML 身份验证请求发送到联合 SAML IdP 时,Microsoft Entra ID将使用 OrgID 签名密钥对这些请求进行签名。 如果 false (默认) ,则不会对发送到联合 IdP 的 SAML 身份验证请求进行签名。
issuerUri String 联合服务器的颁发者 URI。 继承自 samlOrWsFedProvider
metadataExchangeUri String 用于从富客户端应用程序进行身份验证的元数据交换终结点的 URI。 继承自 samlOrWsFedProvider
nextSigningCertificate String 回退令牌签名证书,该证书也可用于对令牌进行签名,例如,当主签名证书过期时。 格式为联合 IdP 令牌签名证书的公共部分的 Base64 编码字符串。 需要与 X509Certificate2 类兼容。 与 signingCertificate 非常类似,如果在自动滚动更新之外需要滚动更新、正在设置新的联合身份验证服务,或者在更新联合身份验证服务证书后联合属性中不存在新的令牌签名证书,则使用 nextSigningCertificate 属性。
passiveSignInUri String 登录Microsoft Entra服务时,基于 Web 的客户端定向到的 URI。 继承自 samlOrWsFedProvider
passwordResetUri String 客户端重定向到以重置其密码的 URI。
preferredAuthenticationProtocol authenticationProtocol 首选身份验证协议。 必须显式配置此参数,联合被动身份验证流才能正常工作。 可能的值包括 wsFedsamlunknownFutureValue。 继承自 samlOrWsFedProvider
promptLoginBehavior promptLoginBehavior 设置登录提示的首选行为。 可能的值包括 translateToFreshPasswordAuthenticationnativeSupportdisabledunknownFutureValue
signingCertificate String 用于对传递到Microsoft 标识平台的令牌进行签名的当前证书。 证书的格式设置为联合 IdP 令牌签名证书的公共部分的 Base64 编码字符串,并且必须与 X509Certificate2 类兼容。
此属性在以下方案中使用:
  • 如果在自动注册更新之外需要滚动更新
  • 正在设置新的联合身份验证服务
  • 如果在更新联合身份验证服务证书后联合身份验证属性中不存在新的令牌签名证书。
    Microsoft Entra ID通过自动注册过程更新证书,在该过程中,它尝试在当前证书到期前 30 天从联合身份验证服务元数据中检索新证书。 如果新证书不可用,Microsoft Entra ID每天监视元数据,并在新证书可用时更新域的联合设置。 继承自 samlOrWsFedProvider
  • signingCertificateUpdateStatus signingCertificateUpdateStatus 提供签名证书上次更新的状态和时间戳。
    signOutUri String 客户端注销Microsoft Entra服务时重定向到的 URI。 对应于 Set-MsolDomainFederationSettings MSOnline v1 PowerShell cmdlet 的LogOffUri 属性。

    注意

    自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模块已弃用。 若要了解详细信息,请阅读 弃用更新。 在此日期之后,对这些模块的支持仅限于Microsoft Graph PowerShell SDK 和安全修补程序的迁移帮助。 弃用的模块将继续运行到 2025 年 3 月 30 日。

    建议迁移到 Microsoft Graph PowerShell,以便与以前的 Azure AD) Microsoft Entra ID (交互。 有关常见的迁移问题,请参阅 迁移常见问题解答注意: MSOnline 1.0.x 版可能会在 2024 年 6 月 30 日之后遇到中断。

    federatedIdpMfaBehavior 值

    成员 说明
    acceptIfMfaDoneByFederatedIdp Microsoft Entra ID接受联合标识提供者执行的 MFA。 如果联合标识提供者未执行 MFA,Microsoft Entra ID执行 MFA。
    enforceMfaByFederatedIdp Microsoft Entra ID接受联合标识提供者执行的 MFA。 如果联合标识提供者未执行 MFA,它会将请求重定向到联合标识提供者以执行 MFA。
    rejectMfaByFederatedIdp Microsoft Entra ID始终执行 MFA 并拒绝联合标识提供者执行的 MFA。

    注意:federatedIdpMfaBehaviorSet-MsolDomainFederationSettings MSOnline v1 PowerShell cmdletSupportsMfa 属性的演变版本。

    • 不支持在 federatedIdpMfaBehaviorSupportsMfa 之间切换。
    • 设置 federatedIdpMfaBehavior 属性后,Microsoft Entra ID将忽略 SupportsMfa 设置。
    • 如果从未设置 federatedIdpMfaBehavior 属性,Microsoft Entra ID继续遵循 SupportsMfa 设置。
    • 如果未设置 federatedIdpMfaBehaviorSupportsMfa,Microsoft Entra ID默认为acceptIfMfaDoneByFederatedIdp行为。

    关系

    无。

    JSON 表示形式

    以下 JSON 表示形式显示了资源类型。

    {
      "@odata.type": "#microsoft.graph.internalDomainFederation",
      "id": "String (identifier)",
      "displayName": "String",
      "issuerUri": "String",
      "metadataExchangeUri": "String",
      "signingCertificate": "String",
      "passiveSignInUri": "String",
      "preferredAuthenticationProtocol": "String",
      "activeSignInUri": "String",
      "signOutUri": "String",
      "promptLoginBehavior": "String",
      "isSignedAuthenticationRequestRequired": "Boolean",
      "nextSigningCertificate": "String",
      "signingCertificateUpdateStatus": {
        "certificateUpdateResult": "String",
        "@odata.type": "microsoft.graph.signingCertificateUpdateStatus"
      },
      "federatedIdpMfaBehavior": "String",
      "passwordResetUri": "String"
    }