共用方式為

與 SAML/WS-Fed 識別提供者同盟

  • 發行項

適用於具有白色核取符號的綠色圓圈。 員工租用戶 具有白色核取符號的綠色圓圈。 外部租用戶 (深入了解)

您的 Microsoft Entra 租戶可以直接與使用 SAML 或 WS-Fed 識別提供者(IdP)的外部組織進行聯邦。 然後,外部組織的使用者可以使用其 IdP 管理的帳戶登入您的租使用者,而不需要建立新的Microsoft Entra 認證。 對於新邀請的使用者,SAML/WS-Fed IdP 同盟會優先作為主要登入方法。 使用者會在註冊或登入您的應用程式時重新導向至其IdP,然後在成功登入後返回 Microsoft Entra。

您可以將多個網域與單一同盟設定產生關聯。 合作夥伴的網域可以是Microsoft Entra 已驗證或未驗證。

設定 SAML/WS-Fed IdP 同盟需要在租使用者和外部組織的 IdP 中設定。 在某些情況下,合作夥伴必須更新其 DNS 文字記錄。 他們還需要更新其 IdP,以涵蓋所需的宣告和信賴方信任。

注意

此功能目前為外部租用戶預覽狀態,且正式可供員工租使用者使用。

使用者何時向 SAML/WS-Fed IdP 同盟進行驗證?

設定同盟之後,外部使用者的登入體驗取決於您的登入設定,以及合作夥伴的網域是否Microsoft Entra 驗證。

與已驗證和未驗證網域的同盟

您可以設定 SAML/WS-Fed IdP 同盟:

  • 非驗證網域:這些網域不會在 entra ID Microsoft進行 DNS 驗證。 針對非驗證網域,來自外部組織的使用者會使用同盟 SAML/WS-Fed IdP 進行驗證。
  • Microsoft Entra ID 已驗證網域:這些網域已在 Microsoft Entra ID 內驗證,包括租使用者已經歷 系統管理員接管的網域。 對於已驗證的網域,Microsoft Entra ID 是邀請兌換期間使用的主要識別提供者。 針對員工租使用者中的 B2B 共同作業,您可以 變更兌換順序,讓同盟 IdP 成為主要方法。

注意

目前,外部租使用者或跨雲端不支援兌換訂單設定。

與未管理(經電子郵件驗證)租戶的同盟

您可以設定 SAML/WS-Fed IdP 聯合認證,適用於在 Microsoft Entra ID 中未經 DNS 驗證的網域,包括未受管理的(經電子郵件驗證或「病毒式」)Microsoft Entra 租戶。 當使用者兌換 B2B 邀請或使用目前不存在的網域執行自助式 Microsoft Entra ID 註冊時,系統就會建立租用戶。

同盟如何影響目前的外部使用者

設定同盟並不會變更已兌換邀請的用戶驗證方法。 例如:

  • 在同盟設定之前兌換邀請的用戶繼續使用其原始驗證方法。 例如,在設定同盟之前,以單次密碼驗證兌換邀請的用戶繼續使用一次性密碼。
  • 使用同盟 IdP 兌換邀請的使用者仍會繼續使用該方法,即使其組織稍後會移至 Microsoft Entra。
  • 如果刪除同盟,目前使用SAML/WS-Fed IdP的使用者將無法登入。

您不需要傳送新的邀請給現有的用戶,因為他們繼續使用其目前的登入方法。 但對於員工租使用者中的 B2B 共同作業,您可以 重設使用者的兌換狀態。 下次使用者存取您的應用程式時,他們會重複兌換步驟並切換至同盟。 目前,外部租使用者或跨雲端不支援兌換訂單設定。

工作群體租戶的登入端點

在您租用戶工作環境中設定聯盟後,來自聯盟組織的使用者可以使用 通用端點 登入您的多租戶或 Microsoft 第一方應用程式(換句話說,這是一個不包含您租用戶內容的一般應用程式 URL)。 在登入過程中,用戶選擇 [登入選項],然後選取 [登入組織。 他們會輸入組織的名稱,然後使用自己的認證繼續登入。

SAML/WS-Fed IdP 同盟使用者也可以使用包含租使用者資訊的應用程式端點,例如:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

您也可以藉由包含租使用者資訊,為使用者提供應用程式或資源的直接連結,例如 https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>

設定同盟的考慮

設定聯邦牽涉到設定您的 Microsoft Entra 租戶和外部組織的「IdP」。

合作夥伴 IdP 要求

根據合作夥伴的 IdP,合作夥伴可能需要更新其 DNS 記錄,以啟用與您的同盟。 請參閱 步驟 1:判斷合作夥伴是否需要更新其 DNS 文字記錄

外部同盟Microsoft Entra ID 所傳送的 SAML 要求中的簽發者 URL 現在是租用戶端點,而先前則是全域端點。 與全域端點的現有同盟會繼續運作。 但對於新的聯邦,請將外部 SAML 或 WS-Fed IdP 的對象設定為租使用者端點。 請參閱 SAML 2.0 一節WS-Fed 一節 ,以獲取必要的屬性和宣告。

簽署憑證到期

如果您在 IdP 設定中指定中繼資料 URL,Microsoft Entra ID 便會在簽署憑證到期時自動予以更新。 不過,如果憑證因任何原因而在到期之前輪替,或如果您未提供中繼資料 URL,Microsoft Entra ID 便無法加以更新。 在此情況下,您必須手動更新簽署憑證。

會話到期

如果 Microsoft Entra 會話過期或變得無效,且同盟身份提供者 (IdP) 已啟用單一登入 (SSO),則用戶將經歷單一登入 (SSO) 體驗。 如果同盟使用者的工作階段有效,則不會提示使用者再次登入。 否則,系統會將使用者重新導向至其 IdP 以進行登入。

其他考慮

以下是與 SAML/WS-Fed 識別提供者同盟時的其他考慮。

  • 同盟無法解決部分同步租用所造成的登入問題,其中合作夥伴的內部部署使用者身分識別不會完全同步至雲端中的 Microsoft Entra。 這些使用者無法使用 B2B 邀請登入,因此他們需要改用 電子郵件單次密碼 功能。 SAML/WS-Fed IdP 聯盟功能適用於擁有自己 IdP 管理的組織帳戶但沒有 Microsoft Entra 存在的合作夥伴。

  • 同盟不會取代目錄中 B2B 來賓帳戶的需求。 使用 B2B 共同作業時,不論使用的驗證或同盟方法為何,都會為員工租用戶目錄中的使用者建立來賓帳戶。 此使用者物件可讓您授與應用程式存取權、指派角色,以及定義安全性群組的成員資格。

  • 目前,Microsoft Entra SAML/WS-Fed IdP 同盟功能不支援將已簽署的驗證權杖傳送至 SAML 識別提供者。

設定 SAML/WS-Fed IdP 同盟

步驟 1:判斷夥伴是否需要更新其 DNS 文字記錄

使用下列步驟來判斷合作夥伴是否需要更新其 DNS 記錄,以啟用與您同盟。

  1. 請檢查合作夥伴的 IdP 被動驗證 URL,以查看網域是否符合目標網域或目標網域中的主機。 換句話說,設定 fabrikam.com 同盟時:

    • 如果被動驗證端點是 https://fabrikam.comhttps://sts.fabrikam.com/adfs (相同網域中的主機),則不需要進行任何 DNS 變更。
    • 如果被動驗證端點為 https://fabrikamconglomerate.com/adfshttps://fabrikam.co.uk/adfs,則網域與 fabrikam.com 網域不相符,因此合作夥伴必須將驗證 URL 的文字記錄新增至其 DNS 設定。

  2. 如果根據上一個步驟需要進行 DNS 變更,請要求合作夥伴將 TXT 記錄新增至其網域的 DNS 記錄,如下列範例所示:

    fabrikam.com.  IN   TXT   DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs

步驟 2:設定夥伴組織的 IdP

接著,夥伴組織需要使用所需的宣告和信賴憑證者的信任來設定其 IdP。

注意

為了說明如何設定 SAML/WS-Fed IdP 以進行同盟,我們使用 Active Directory 同盟服務 (AD FS) 作為範例。 請參閱透過 AD FS 設定 SAML/WS-Fed IdP 同盟一文,以取得如何將 AD FS 設定為 SAML 2.0 或 WS-Fed IdP 的範例,來為同盟預做準備。

SAML 2.0 設定

Microsoft Entra B2B 可設為與使用 SAML 通訊協定的 IdP 同盟,但須符合本節列出的特定需求。 如需如何在 SAML IdP 與 Microsoft Entra ID 之間設定信任的詳細資訊,請參閱使用 SAML 2.0 識別提供者 (IdP) 來進行 SSO

注意

您現在可以使用其他 Microsoft Entra ID 驗證網域來設定 SAML/WS-Fed IdP 同盟。 了解更多

所需的 SAML 2.0 屬性和宣告

下表顯示必須於第三方 IdP 設定的特定屬性和宣告需求。 若要設定同盟,則必須在來自 IdP 的 SAML 2.0 回應中收到下列屬性。 這定這些屬性的方式可以是連結至線上安全性權杖服務 XML 檔案,或手動輸入。

注意

請確定該值與您要設定外部同盟的雲端相符。

表格 1. IdP 中 SAML 2.0 回應的必要屬性。

屬性
AssertionConsumerService https://login.microsoftonline.com/login.srf
適用對象 https://login.microsoftonline.com/<tenant ID>/ (建議) 使用您要設定同盟的 Microsoft Entra 租用戶的租用戶識別碼取代 <tenant ID>

在 Microsoft Entra ID 對外部同盟傳送的 SAML 要求中,簽發者 URL 為租用戶端點 (例如 https://login.microsoftonline.com/<tenant ID>/)。 針對任何新的同盟,我們建議所有合作夥伴將 SAML 或 IdP (以 WS-Fed 為基礎) 的對象設定為租用戶端點。 使用全域端點設定的任何現有同盟(例如,urn:federation:MicrosoftOnline)會繼續運作,但如果您的外部 IdP 預期Microsoft Entra ID 所傳送的 SAML 要求中有全域簽發者 URL,新的同盟就會停止運作。
Issuer 合作夥伴 IdP 的簽發者 URI,例如 http://www.example.com/exk10l6w90DHM0yi...

表 2. IdP 所發出 SAML 2.0 令牌的所需宣告。

屬性名稱
NameID Format urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress emailaddress

WS-Fed 設定

Microsoft Entra B2B 可設為與使用 WS-Fed 通訊協定的 IdP 同盟。 本節討論相關要求。 目前,已測試與 Microsoft Entra 識別符相容性的兩個 WS-Fed 提供者為 AD FS 和 Shibboleth。 如需如何在 WS-Fed 相容提供者與 Microsoft Entra ID 之間建立信賴憑證者信任的詳細資訊,請參閱 Microsoft Entra 識別提供者相容性文件 (英文) 中的〈使用 WS 通訊協定的 STS 整合論文〉。

注意

您現在可以使用其他 Microsoft Entra ID 驗證網域來設定 SAML/WS-Fed IdP 同盟。 了解更多

所需的 WS-Fed 屬性和宣告

下表顯示必須於第三方 WS-Fed IdP 設定的特定屬性和宣告需求。 若要設定同盟,則必須在來自 IdP 的 WS-Fed 訊息中收到下列屬性。 這定這些屬性的方式可以是連結至線上安全性權杖服務 XML 檔案,或手動輸入。

注意

請確定該值與您要設定外部同盟的雲端相符。

表 3. 由 IdP 發送的 WS-Fed 訊息中的必要屬性。

屬性
PassiveRequestorEndpoint https://login.microsoftonline.com/login.srf
適用對象 https://login.microsoftonline.com/<tenant ID>/ (建議) 使用您要設定同盟的 Microsoft Entra 租用戶的租用戶識別碼取代 <tenant ID>

在 Microsoft Entra ID 對外部同盟傳送的 SAML 要求中,簽發者 URL 為租用戶端點 (例如 https://login.microsoftonline.com/<tenant ID>/)。 針對任何新的同盟,我們建議所有合作夥伴將 SAML 或 IdP (以 WS-Fed 為基礎) 的對象設定為租用戶端點。 使用全域端點設定的任何現有同盟(例如,urn:federation:MicrosoftOnline)會繼續運作,但如果您的外部 IdP 預期Microsoft Entra ID 所傳送的 SAML 要求中有全域簽發者 URL,新的同盟就會停止運作。
Issuer 合作夥伴 IdP 的簽發者 URI,例如 http://www.example.com/exk10l6w90DHM0yi...

表 4. IdP 所發行之 WS-Fed 令牌的必要要求。

屬性
ImmutableID http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
emailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

步驟 3:在 Microsoft Entra External ID 中設定 SAML/WS-Fed IdP 聯盟

接下來,在 Microsoft Entra 外部 ID 中,設定與步驟 1 中所設定的 IdP 的同盟。 您可以使用 Microsoft Entra 系統管理中心或 Microsoft Graph API (英文)。 可能需要 5 到 10 分鐘的時間,同盟原則才會生效。 在這段時間內,請勿嘗試兌換同盟網域的邀請。 以下為必要屬性:

  • 合作夥伴 IdP 的簽發者 URI
  • 合作夥伴 IdP 的被動驗證端點 (僅支援 https)
  • [MSSQLSERVER 的通訊協定內容]

在 Microsoft Entra 系統管理中心設定同盟

  1. 登入 Microsoft Entra 系統管理中心, 至少 外部識別提供者管理員

  2. 如果您有多個租使用者的存取權,請使用頂端功能表中的 [設定] 圖示 ,然後從 [目錄] 功能表切換至您的租使用者。

  3. 瀏覽至 [身分識別]> [外部身分識別]> [所有識別提供者]

  4. 選取 [自訂] 索引標籤,然後選取 [新增]> [SAML/WS-Fed]

    此螢幕擷取畫面顯示用來新增 SAML 或 WS-Fed IdP 的按鈕。

  5. 在 [新增 SAML/WS-Fed IdP] 頁面上,輸入下列內容:

    • 顯示名稱 - 輸入名稱,可協助您識別合作夥伴的 IdP。
    • 識別提供者通訊協定 - 選取 [SAML] 或 [WS-Fed]
    • 同盟 IdP 的網域名稱 - 輸入合作夥伴 IdP 的目標網域名稱以進行同盟。 在此初始設定期間,只輸入一個網域名稱。 您稍後可以新增更多網域。

    顯示新的 SAML 或 WS-Fed IdP 頁面的螢幕擷取畫面。

  6. 選取填入中繼資料的方法。 如果您有包含中繼資料的檔案,則可以藉由選取 [剖析中繼資料檔案] 並瀏覽檔案來自動填入欄位。 您也可以選取 [手動輸入中繼資料],然後輸入下列資訊:

    • 合作夥伴 SAML IdP 的 [簽發者 URI],或合作夥伴 WS-Fed IdP 的 [實體識別碼]
    • 合作夥伴 SAML IdP 的 [被動驗證端點],或合作夥伴 WS-Fed IdP 的 [被動要求者端點]
    • 憑證 - 簽署憑證的識別碼。
    • 中繼資料 URL - IdP 中繼資料的位置,該資料會用於簽署憑證的自動更新。

    顯示中繼資料欄位的螢幕擷取畫面。

    注意

    元數據 URL 是選擇性的。 不過,我們強烈建議。 如果您提供中繼資料 URL,Microsoft Entra ID 就可以在簽署憑證到期時自動予以更新。 如果憑證在到期時間之前因任何原因而被更新,或您未提供中繼資料 URL,Microsoft Entra ID 將無法進行更新。 在此情況下,您必須手動更新簽署憑證。

  7. 選取 [儲存]。 識別提供者會新增至 SAML/WS-Fed 識別提供者清單。

    此螢幕擷取畫面顯示 SAML/WS-Fed 識別提供者清單與新項目。

  8. (選用) 若要將更多網域名稱新增至此同盟識別提供者:

    1. 選取 [動作] 資料行中的連結。

      此螢幕擷取畫面顯示將網域新增至 SAML/WS-Fed 識別提供者的連結。

    2. 在 [同盟 IdP 的網域名稱] 旁,輸入網域名稱,然後選取 [新增]。 針對您要新增的每個網域重複執行。 完成之後,選取 [完成]

      此螢幕擷取畫面顯示 [網域詳細資料] 窗格中的 [新增] 按鈕。

使用 Microsoft Graph API 設定同盟

您可以使用 Microsoft Graph API samlOrWsFedExternalDomainFederation 資源類型來設定同盟,且該同盟具有支援 SAML 或 WS-Fed 通訊協定的識別提供者。

設定贖回訂單(企業工作環境中的企業對企業合作)

如果您要在員工租使用者中為 B2B 與已驗證網域共同作業設定同盟,請確定在邀請兌換期間會先使用同盟 IdP。 在輸入 B2B 共同作業的跨租使用者存取 設定中,設定 兌換訂單 設定。 將 SAML/WS-Fed 識別提供者移至主要識別提供者清單頂端,以優先使用同盟 IdP 進行兌換。 針對與已驗證網域的 B2B 共同作業,讓同盟 IdP 成為邀請兌換的主要識別提供者。 在邀請兌換期間,優先於其他身份提供者。

您可以邀請新的 B2B 來賓用戶來測試同盟設定。 如需詳細資料,請參閱在 Microsoft Entra 系統管理中心中新增 Microsoft Entra B2B 共同作業使用者 (部分機器翻譯)。

注意

我們目前正在推出可設定兌換功能的 Microsoft Entra 系統管理中心設定,以供客戶使用。 在系統管理中心提供相關設定之前,您可以使用 Microsoft Graph REST API 搶鮮版 (Beta) 來設定邀請兌換順序。 請參閱 Microsoft Graph 參考文件中的範例 2:更新預設邀請兌換設定 (英文)。

如何更新憑證或設定的詳細資料?

在 [所有識別提供者 頁面上,您可以檢視已設定的 SAML/WS-Fed 識別提供者清單及其憑證到期日。 在此清單中,您可以更新憑證並修改其他設定詳細資料。

  1. 登入 Microsoft Entra 系統管理中心, 至少 外部識別提供者管理員

  2. 瀏覽至 [身分識別]> [外部身分識別]> [所有識別提供者]

  3. 選取 [自訂] 索引標籤。

  4. 捲動至清單中的識別提供者,或使用搜尋方塊。

  5. 若要更新憑證或修改設定詳細資料:

    • 在識別提供者的 [設定] 資料行中,選取 [編輯] 連結。
    • 在設定頁面中,修改任何下列詳細資料:
      • 顯示名稱 - 合作夥伴組織的顯示名稱。
      • 識別提供者通訊協定 - 選取 [SAML] 或 [WS-Fed]
      • 被動驗證端點 - 合作夥伴 IdP 的被動要求者端點。
      • 憑證 - 簽署憑證的識別碼。 若要將其更新,請輸入新的憑證識別碼。
      • 中繼資料 URL - 包含了合作夥伴中繼資料的 URL,用於簽署憑證的自動更新。
    • 選取 [儲存]。

    IDP 設定詳細資料的螢幕擷取畫面。

  6. 若要編輯與合作夥伴相關聯的網域,請選取 [網域] 資料行中的連結。 在 [網域詳細資料] 窗格中:

    • 若要新增網域,在 [同盟 IdP 的網域名稱] 旁輸入網域名稱,然後選取 [新增]。 針對您要新增的每個網域重複執行。
    • 若要刪除網域,請選取網域旁的刪除圖示。
    • 完成之後,選取 [完成]

    [網域設定] 頁面的螢幕擷取畫面。

    注意

    若要移除與夥伴的同盟,請先刪除除了一個網域以外的所有網域,然後遵循 下一節中的步驟

如何移除同盟?

您可以移除同盟設定。 如果您這麼做,已兌換其邀請的同盟來賓用戶無法再登入。 但是,您可以藉由重設其兌換狀態,讓他們再次存取您的資源。 若要在 Microsoft Entra 系統管理中心移除 IdP 的設定:

  1. 登入 Microsoft Entra 系統管理中心, 至少 外部識別提供者管理員

  2. 瀏覽至 [身分識別]> [外部身分識別]> [所有識別提供者]

  3. 選取 [自訂] 索引標籤,然後捲動至清單中的識別提供者,或使用搜尋方塊。

  4. 選取 [網域] 資料行中的連結以檢視 IdP 的網域詳細資料。

  5. 刪除 [網域名稱] 清單中的其中一個網域。

  6. 選取 [刪除設定],然後選取 [完成]

    刪除設定的螢幕擷取畫面。

  7. 選取 [確定] 以確認刪除。

您也可以使用 Microsoft Graph API samlOrWsFedExternalDomainFederation 資源類型來移除同盟。

下一步

深入瞭解當外部使用者以各種身分識別提供者登入時的邀請兌換體驗