Поддержка нескольких доменов для федеративного подключения с идентификатором Microsoft Entra

В этой статье приведены рекомендации по использованию нескольких доменов верхнего уровня и поддоменов при федеративной работе с доменами Microsoft 365 или Microsoft Entra.

Поддержка нескольких доменов верхнего уровня

Для федерации нескольких доменов верхнего уровня с идентификатором Microsoft Entra ID требуется дополнительная конфигурация, которая не требуется при федеративном использовании одного домена верхнего уровня.

Когда домен федеративно связан с Microsoft Entra ID, в Azure задаются несколько свойств для этого домена. Одним из важных свойств является IssuerUri. Это свойство является универсальным кодом ресурса (URI), который используется идентификатором Microsoft Entra для идентификации домена, с которым связан маркер. Универсальный код ресурса (URI) не обязан указывать ни на что конкретное, но он должен быть допустимым URI. По умолчанию Microsoft Entra ID устанавливает URI на значение идентификатора службы федерации в конфигурации локального AD FS.

Для просмотра IssuerUri можно воспользоваться командой PowerShell Get-EntraDomainFederationSettings -DomainName <your domain>.

Проблема возникает при добавлении нескольких доменов верхнего уровня. Например, предположим, что вы настроили федерацию между учетной записью Microsoft Entra и вашей локальной средой. В этом документе используется домен bmcontoso.com. Теперь добавляется второй домен верхнего уровня, bmfabrikam.com.

При попытке федерации домена bmfabrikam.com возникает ошибка. Это происходит, так как идентификатор Microsoft Entra не позволяет свойству IssuerUri иметь одно и то же значение для нескольких доменов.

Параметр SupportMultipleDomain

Обновление доверия между AD FS и идентификатором Microsoft Entra

Если вы добавили новый домен в Центр администрирования Microsoft Entra и изменили сертификат подписи маркера, вы находитесь в одном шаге от обновления информации о федерации в Entra ID.

Выполните следующие действия, чтобы обновить сведения о федерации в идентификаторе Entra:

1. Откройте новый сеанс PowerShell и выполните следующие команды, чтобы установить модуль Microsoft Entra PowerShell:

   Примечание.

   -allowclobber переопределит предупреждения о конфликтах установки и перезапишет существующие команды с одинаковыми именами на те, которые устанавливаются модулем. Используйте это значение, если вы уже установили модуль Microsoft.Graph:

2. • Install-Module -Name Microsoft.Entra -allowClobber
   • Import-Module -Name Microsoft.Entra.DirectoryManagement
   • Connect-Entra -Scopes 'Domain.Read.All'
   • Get-EntraFederationProperty -domainname domain.com

   

После копирования идентификатора, отображаемого во втором столбце из выходных данных, выполните следующую команду:

• Update-MgDomainFederationConfiguration -DomainID domain.com -InternalDomainFederationId 0f6ftrte-xxxx-xxxx-xxxx-19xxxxxxxx23'

Выполните следующие действия, чтобы добавить новый домен верхнего уровня с помощью PowerShell:

1. На компьютере с модулем Azure AD PowerShell, установленным на нем, выполните следующую команду PowerShell: $cred=Get-Credential
2. Введите имя пользователя и пароль администратора гибридной идентификации для домена Microsoft Entra, с которым вы устанавливаете федерацию.
3. В PowerShell введите Connect-Entra -Scopes 'Domain.ReadWrite.All'.
4. Введите все значения в следующем примере, чтобы добавить новый домен:

  New-MgDomainFederationConfiguration -DomainId "contoso.com" -ActiveSigninUri " https://sts.contoso.com/adfs/services/trust/2005/usernamemixed" -DisplayName "Contoso" -IssuerUri " http://contoso.com/adfs/services/trust" -MetadataExchangeUri " https://sts.contoso.com/adfs/services/trust/mex" -PassiveSigninUri " https://sts.contoso.com/adfs/ls/" -SignOutUri " https://sts.contoso.com/adfs/ls/" -SigningCertificate <*Base64 Encoded Format cert*> -FederatedIdpMfaBehavior "acceptIfMfaDoneByFederatedIdp" -PreferredAuthenticationProtocol "wsFed"

Выполните следующие действия, чтобы добавить новый домен верхнего уровня с помощью Microsoft Entra Connect:

1. Запуск Microsoft Entra Connect из классического или начального меню
2. Выберите "Добавить дополнительный домен Microsoft Entra"

1. Введите идентификатор Microsoft Entra и учетные данные Active Directory
2. Выберите второй домен, который вы хотите настроить для федерации

1. Нажмите Установить.

Проверка нового домена верхнего уровня

Используйте команду PowerShell Get-MgDomainFederationConfiguration -DomainName <your domain> для просмотра обновленного IssuerUri. На снимке экрана ниже показано, что параметры федерации были обновлены в исходном домене http://bmcontoso.com/adfs/services/trust.

И для IssuerUri нового домена задано значение https://bmcontoso.com/adfs/services/trust.

Поддержка поддоменов

При добавлении поддомена из-за способа обработки доменов Microsoft Entra ID он наследует настройки родительского домена. Таким образом, issuerUri должен соответствовать родительскому домену.

Например, если у вас есть bmcontoso.com, а затем вы добавите corp.bmcontoso.com, необходимо установить значение http://bmcontoso.com/adfs/services/trust IssuerUri для пользователя из corp.bmcontoso.com. Однако стандартное правило, реализованное выше для Microsoft Entra ID, создает токен с издателем http://corp.bmcontoso.com/adfs/services/trust, который не соответствует требуемому значению домена, и проверка подлинности не проходит.

Включение поддержки поддоменов

Чтобы обойти это поведение, обновите доверие проверяющей стороны AD FS для Microsoft Online. Для этого необходимо настроить пользовательское правило утверждения так, чтобы оно удаляло поддомены из суффикса UPN пользователя при создании настраиваемого значения элемента Issuer.

Используйте следующее утверждение:

c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));

Используйте следующие инструкции для добавления пользовательского утверждения для поддержки поддоменов.

1. Откройте консоль управления AD FS.
2. Щелкните правой кнопкой мыши доверие Microsoft Online RP и выберите пункт "Изменить правила утверждения".
3. Выберите третье правило утверждения и замените

1. Замените текущее утверждение:

c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)","http://${domain}/adfs/services/trust/"));

на

c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));

1. Нажмите кнопку "ОК", а затем нажмите кнопку "Применить" и нажмите кнопку "ОК ". Закройте управление AD FS.

Следующие шаги

После установки Microsoft Entra Connect можно проверить установку и назначить лицензии.

Дополнительные сведения об этих функциях, включенных во время установки: автоматическое обновление, предотвращение случайного удаления и служба Microsoft Entra Connect Health.

Ознакомьтесь с этими общими разделами: планировщик и как активировать синхронизацию.

Прочитайте о интеграции локальных удостоверений с Microsoft Entra ID.