Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a: 
Tenant della forza lavoro Tenant esterni (maggiori informazioni)
Il tenant di Microsoft Entra può essere federato direttamente con organizzazioni esterne che usano un provider di identità SAML o WS-Fed. Gli utenti dell'organizzazione esterna possono quindi usare i propri account gestiti da IdP per accedere alle app o alle risorse, durante il riscatto dell'invito o l'iscrizione self-service, senza dover creare nuove credenziali di Microsoft Entra. L'utente viene reindirizzato al proprio IdP durante l'iscrizione o l'accesso all'app e quindi viene reindirizzato nuovamente a Microsoft Entra dopo l'accesso effettuato con successo.
Prerequisiti
- Rivedere le considerazioni sulla configurazione nei fornitori di identità SAML/WS-Fed.
- Un locatario della forza lavoro o un locatario esterno.
Come configurare la federazione SAML/WS-Fed IdP
Passaggio 1: Determinare se il partner deve aggiornare i record di testo DNS
Usare la procedura seguente per determinare se il partner deve aggiornare i record DNS per abilitare la federazione con l'utente.
Controllare l'URL di autenticazione passiva dell'IdP del partner per verificare se il dominio corrisponde al dominio di destinazione o a un host all'interno del dominio di destinazione. In altre parole, quando si configura la federazione per
fabrikam.com:- Se l'endpoint di autenticazione passiva è
https://fabrikam.comohttps://sts.fabrikam.com/adfs(un host nello stesso dominio), non sono necessarie modifiche DNS. - Se l'endpoint di autenticazione passiva è
https://fabrikamconglomerate.com/adfsohttps://fabrikam.co.uk/adfs, il dominio non corrisponde al dominio fabrikam.com, quindi il partner deve aggiungere un record di testo per l'URL di autenticazione alla configurazione DNS.
- Se l'endpoint di autenticazione passiva è
Se sono necessarie modifiche DNS in base al passaggio precedente, chiedere al partner di aggiungere un record TXT ai record DNS del dominio, come nell'esempio seguente:
fabrikam.com. IN TXT DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs
Passaggio 2: Configurare l'IdP dell'organizzazione partner
Successivamente, l'organizzazione partner deve configurare il loro provider di identità con le attestazioni richieste e i trust della relying party. Per il corretto funzionamento della federazione, Microsoft Entra External ID richiede che il provider di identità esterno invii determinati attributi e attestazioni, che devono essere configurati nel provider di identità esterno.
Nota
Per illustrare come configurare un provider di identità SAML/WS-Fed per la federazione, utilizziamo Active Directory Federation Services (AD FS) come esempio. Consulta l'articolo Configurare la federazione IdP SAML/WS-Fed con AD FS, che mostra esempi su come configurare AD FS come IdP SAML 2.0 o WS-Fed in preparazione per la federazione.
Per configurare un provider di identità SAML 2.0
Microsoft Entra External ID richiede la risposta SAML 2.0 dal provider di identità esterno per includere attributi e attestazioni specifici. Gli attributi e le attestazioni necessari possono essere configurati nel provider di identità esterno in uno dei seguenti modi:
- Collegamento al file XML del servizio token di sicurezza online o
- Immissione manuale dei valori
Per i valori obbligatori, vedere le tabelle seguenti.
Nota
Assicurarsi che il valore corrisponda al cloud per cui si sta configurando la federazione esterna.
Tabella 1. Attributi obbligatori per la risposta SAML 2.0 dall'IdP.
| Attributo | Valore per un'entità della forza lavoro | Valore per un tenant esterno |
|---|---|---|
| AssertionConsumerService | https://login.microsoftonline.com/login.srf |
https://<tenantID>.ciamlogin.com/login.srf |
| Destinatari |
https://login.microsoftonline.com/<tenant ID>/ (Scelta consigliata) Sostituire <tenant ID> con l'ID tenant del tenant di Microsoft Entra con cui si sta configurando la federazione.Nella richiesta SAML inviata da Microsoft Entra ID per le federazioni esterne, l'URL dell'autorità di certificazione è un endpoint tenant (ad esempio, https://login.microsoftonline.com/<tenant ID>/). Per qualsiasi nuova federazione, consigliamo che tutti i partner impostino l'audience del provider di identità basato su SAML o WS-Fed su un endpoint tenant. Tutte le federazioni esistenti configurate con l'endpoint globale (ad esempio, urn:federation:MicrosoftOnline) continuano a funzionare, ma le nuove federazioni smettono di funzionare se il provider di identità esterno prevede un URL dell'autorità di certificazione globale nella richiesta SAML inviata da Microsoft Entra ID. |
https://login.microsoftonline.com/<tenant ID>/Sostituire <tenant ID> con l'ID tenant del tenant di Microsoft Entra con cui si sta configurando la federazione. |
| Emittente | URI dell'emittente dell'IdP del partner, ad esempio http://www.example.com/exk10l6w90DHM0yi... |
URI dell'emittente dell'IdP del partner, ad esempio http://www.example.com/exk10l6w90DHM0yi... |
Tabella 2. Attestazioni necessarie per il token SAML 2.0 rilasciato dall'IdP.
| Il nome dell'attributo | valore |
|---|---|
| Formato NameID | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
L'indirizzo di posta elettronica dell'utente |
Per configurare un provider di identità WS-Fed
Microsoft Entra External ID richiede che il messaggio di WS-Fed dall'IdP esterno includa attributi e richieste specifici. Gli attributi e le attestazioni necessari possono essere configurati nel provider di identità esterno in uno dei seguenti modi:
- Collegamento al file XML del servizio token di sicurezza online o
- Immissione manuale dei valori
Nota
Attualmente, i due provider di WS-Fed testati per la compatibilità con Microsoft Entra ID sono AD FS e Shibboleth.
Attributi e attestazioni WS-Fed necessari
Le tabelle seguenti illustrano i requisiti per attributi e asserzioni specifici che devono essere configurati nel provider di identità di terze parti WS-Fed. Per configurare la federazione, gli attributi seguenti devono essere ricevuti nel messaggio WS-Fed dal provider di identità. Questi attributi possono essere configurati tramite il collegamento al file XML del servizio token di sicurezza online o mediante immissione manuale.
Per i valori obbligatori, vedere le tabelle seguenti.
Nota
Assicurarsi che il valore corrisponda al cloud per cui si sta configurando la federazione esterna.
Tabella 3. Attributi obbligatori nel messaggio WS-Fed dall'IdP.
| Attributo | Valore per un'entità della forza lavoro | Valore per un tenant esterno |
|---|---|---|
| PuntoFinaleDiRichiestaPassiva | https://login.microsoftonline.com/login.srf |
https://<tenantID>.ciamlogin.com/login.srf |
| Destinatari |
https://login.microsoftonline.com/<tenant ID>/ (Scelta consigliata) Sostituire <tenant ID> con l'ID tenant del tenant di Microsoft Entra con cui si sta configurando la federazione.Nella richiesta SAML inviata da Microsoft Entra ID per le federazioni esterne, l'URL dell'autorità di certificazione è un endpoint tenant (ad esempio, https://login.microsoftonline.com/<tenant ID>/). Per qualsiasi nuova federazione, consigliamo che tutti i partner impostino l'audience del provider di identità basato su SAML o WS-Fed su un endpoint tenant. Tutte le federazioni esistenti configurate con l'endpoint globale (ad esempio, urn:federation:MicrosoftOnline) continuano a funzionare, ma le nuove federazioni smettono di funzionare se il provider di identità esterno prevede un URL dell'autorità di certificazione globale nella richiesta SAML inviata da Microsoft Entra ID. |
https://login.microsoftonline.com/<tenant ID>/ Sostituire <tenant ID> con l'ID tenant del tenant di Microsoft Entra con cui si sta configurando la federazione. |
| Emittente | URI dell'emittente dell'IdP del partner, ad esempio http://www.example.com/exk10l6w90DHM0yi... |
URI dell'emittente dell'IdP del partner, ad esempio http://www.example.com/exk10l6w90DHM0yi... |
Tabella 4. Attestazioni necessarie per il token WS-Fed rilasciato dall'Identity Provider.
| Attributo | valore |
|---|---|
| ImmutableID | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
| indirizzo email | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Passaggio 3: Configurare la federazione SAML/WS-Fed IdP in Microsoft Entra External ID
Configurare quindi la federazione con l'IdP configurato nel passaggio 1 in Microsoft Entra External ID. È possibile usare l'Interfaccia di amministrazione di Microsoft Entra o l'API di Microsoft Graph. Potrebbero essere necessari da 5 a 10 minuti prima che i criteri di federazione abbiano effetto. Durante questo periodo di tempo, non tentare di completare la registrazione self-service o riscattare un invito per il dominio federato. Gli attributi seguenti sono obbligatori:
- URI dell'emittente dell'IdP del partner
- Endpoint di autenticazione passiva del fornitore di identità partner (è supportato solo https)
- Certificato
Per aggiungere l'IdP (provider di identità) al tenant nell'interfaccia di amministrazione di Microsoft Entra
Accedi al centro di amministrazione di Microsoft Entra come almeno un amministratore del provider di identità esterno .
Se si ha accesso a più tenant, usare l'icona Impostazioni
nel menu in alto e passare al proprio tenant dal menu Directory.Passare a Entra ID>Identità Esterne>Tutti i provider di identità.
Selezionare la scheda Personalizzata e quindi selezionare Aggiungi nuovo>SAML/WS-Fed.
Nella sezione Nuovo provider di identità SAML/WS-Fed, immettere quanto segue:
- Nome visualizzato: inserisci un nome che ti aiuti a identificare il provider di identità del partner.
- Protocollo del provider di identità: selezionare SAML o WS-Fed.
- Nome di dominio dell'IdP federativo - Inserire il nome di dominio di destinazione dell'IdP del partner per la federazione. Durante questa configurazione iniziale immettere un solo nome di dominio. È possibile aggiungere altri domini in un secondo momento.
Selezionare un metodo per il popolamento dei metadati. Se si dispone di un file che contiene i metadati, è possibile popolare automaticamente i campi selezionando Analizza file di metadati e ricercando il file. In alternativa, è possibile selezionare Immetti metadati manualmente e immettere le informazioni seguenti:
- L'URI dell'emittente del provider di identità SAML del partner o l'ID dell'entità del provider di identità WS-Fed del partner.
- L’endpoint di autenticazione passiva dell'IdP SAML del partner o l’endpoint passivo del richiedente dell'IdP WS-Fed del partner.
- Certificato: ID del certificato di firma.
- URL dei metadati: percorso dei metadati del provider di identità per il rinnovo automatico del certificato di firma.
Nota
L'URL dei metadati è facoltativo. Tuttavia, lo consigliamo vivamente. Se si specifica l'URL dei metadati, Microsoft Entra ID può rinnovare automaticamente il certificato di firma alla scadenza. Se il certificato viene ruotato per qualsiasi motivo prima della scadenza o se non si specifica un URL di metadati, Microsoft Entra ID non è in grado di rinnovarlo. In questo caso, sarà necessario aggiornare manualmente il certificato di firma.
Seleziona Salva. Il provider di identità viene aggiunto all'elenco Provider di identità SAML/WS-Fed.
(Facoltativo) Per aggiungere altri nomi di dominio a questo provider di identità di federazione:
Selezionare il collegamento nella colonna Domini.
Accanto a Nome di dominio del provider di identità di federazione digitare il nome di dominio e quindi selezionare Aggiungi. Ripetere questa procedura per ogni dominio che si desidera aggiungere. Al termine selezionare Fine.
Per configurare la federazione tramite l'API di Microsoft Graph
È possibile usare il tipo di risorsa samlOrWsFedExternalDomainFederation dell’API di Microsoft Graph per configurare la federazione con un provider di identità che supporti il protocollo SAML o WS-Fed.
Passaggio 4: Configurare l'ordine di riscossione (Collaborazione B2B nei tenant per la gestione della forza lavoro)
Se stai configurando la federazione nel tenant della forza lavoro per la collaborazione B2B con un dominio verificato, assicurati che l'IdP federato sia utilizzato per primo durante il riscatto dell'invito. Configura le impostazioni dell'ordine di riscatto nelle impostazioni di accesso tra tenant per la collaborazione B2B in ingresso. Spostare i provider di identità SAML/WS-Fed all'inizio dell'elenco Provider di identità primari per dare priorità alla riscossione con l'IdP federato.
È possibile testare la configurazione della federazione invitando un nuovo utente guest B2B. Per informazioni dettagliate, vedere Aggiungere utenti di Collaborazione B2B di Microsoft Entra nell’Interfaccia di amministrazione di Microsoft Entra.
Nota
È possibile configurare l'ordine di riscatto dell'invito usando l'API REST Microsoft Graph (versione beta). Vedere Esempio 2: Aggiornare la configurazione del riscatto dell'invito predefinito nella documentazione di riferimento di Microsoft Graph.
Come aggiornare i dettagli del certificato o della configurazione
Nella pagina Tutti i provider di identità è possibile visualizzare l'elenco dei provider di identità SAML/WS-Fed configurati e le relative date di scadenza del certificato. Da questo elenco è possibile rinnovare i certificati e modificare altri dettagli della configurazione.
Accedi al centro di amministrazione di Microsoft Entra come almeno un amministratore del provider di identità esterno .
Passare a Entra ID>Identità Esterne>Tutti i provider di identità.
Selezionare la scheda Personalizzato.
Scorrere verso un provider di identità nell'elenco o usare la casella di ricerca.
Per aggiornare il certificato o modificare i dettagli della configurazione:
- Nella colonna Configurazione corrispondente al provider di identità selezionare il collegamento Modifica.
- Nella pagina di configurazione modificare uno dei dettagli seguenti:
- Nome visualizzato: nome visualizzato dell'organizzazione del partner.
- Protocollo del provider di identità: selezionare SAML o WS-Fed.
- Endpoint di autenticazione passiva: endpoint per richieste passive del provider di identità del partner.
- Certificato: ID del certificato di firma. Per rinnovarlo, immettere un nuovo ID certificato.
- URL dei metadati: URL contenente i metadati del partner, usato per il rinnovo automatico del certificato di firma.
- Seleziona Salva.
Per modificare i domini associati al partner, selezionare il collegamento nella colonna Domini. Nel riquadro dei dettagli del dominio:
- Per aggiungere un dominio, digitare il nome di dominio accanto a Nome di dominio del provider di identità di federazione e quindi selezionare Aggiungi. Ripetere questa procedura per ogni dominio che si desidera aggiungere.
- Per eliminare un dominio, selezionare l'icona di eliminazione accanto al dominio.
- Al termine selezionare Fine.
Nota
Per rimuovere la federazione con un partner, eliminare prima tutti i domini ad eccezione di uno e quindi seguire la procedura descritta nella sezione successiva.
Come rimuovere la federazione
È possibile rimuovere la configurazione della federazione. In tal caso, gli utenti federati esterni che hanno già riscattato gli inviti non potranno più accedere. Tuttavia, è possibile concedere loro di nuovo l'accesso alle risorse reimpostando lo stato di riscatto. Per rimuovere una configurazione di un provider di identità nell'Interfaccia di amministrazione di Microsoft Entra:
Accedi al centro di amministrazione di Microsoft Entra come almeno un amministratore del provider di identità esterno .
Passare a Entra ID>Identità Esterne>Tutti i provider di identità.
Selezionare la scheda Personalizzata, successivamente scorrere fino al fornitore di identità nell'elenco o usare la casella di ricerca.
Selezionare il collegamento nella colonna Domini per visualizzare i dettagli del dominio dell'IdP.
Eliminare tutti i domini meno un nell'elenco Nome di dominio.
Selezionare Elimina configurazione e quindi Operazione completata.
Scegliere OK per confermare l'eliminazione.
È anche possibile rimuovere la federazione usando il tipo di risorsa samlOrWsFedExternalDomainFederation dell'API di Microsoft Graph.
Passaggi successivi
- Tenant esterni:Aggiungere il provider di identità SAML/WS-Fed a un flusso utente.
- Tenant della forza lavoro: Altre informazioni sull'esperienza di riscatto dell'invito quando gli utenti esterni accedono con diversi provider di identità.