Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применяется: 
Клиенты рабочей силы Внешние клиенты (дополнительные сведения)
Клиент Microsoft Entra может быть напрямую федерирован с внешними организациями, которые используют поставщики удостоверений SAML или WS-Fed (IdP). Пользователи из внешней организации могут использовать свои учетные записи, управляемые поставщиком удостоверений, для входа в ваши приложения или ресурсы — при активации приглашения или самостоятельной регистрации, — без необходимости создавать учетные данные Microsoft Entra. Пользователь перенаправляется на своего поставщика идентификационных данных при регистрации или входе в приложение, а затем возвращается в Microsoft Entra после успешного входа.
Предпосылки
- Ознакомьтесь с рекомендациями по настройке в поставщиках удостоверений SAML/WS-Fed.
- Клиент рабочей силы или внешний клиент.
Настройка федерации поставщика удостоверений SAML/WS-Fed
Шаг 1. Определение необходимости обновления текстовых записей DNS для партнера
Выполните следующие действия, чтобы определить, нужно ли партнеру обновить свои записи DNS для установления федерации с вами.
Проверьте URL-адрес пассивной аутентификации IdP поставщика удостоверений партнера, чтобы узнать, соответствует ли домен целевому домену или хосту в пределах целевого домена. Иными словами, при настройке федерации для
fabrikam.com:- Если конечная точка пассивной проверки подлинности —
https://fabrikam.comилиhttps://sts.fabrikam.com/adfs(узел в том же домене), изменения DNS не требуются. - Если конечная точка пассивной проверки подлинности – это
https://fabrikamconglomerate.com/adfsилиhttps://fabrikam.co.uk/adfs, и домен не соответствует домену fabrikam.com, партнеру необходимо добавить текстовую запись для URL-адреса проверки подлинности в конфигурацию DNS.
- Если конечная точка пассивной проверки подлинности —
Если требуются изменения записей DNS в предыдущем шаге, попросите партнера добавить текстовую запись в записи DNS своего домена, как показано в следующем примере.
fabrikam.com. IN TXT DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs
Шаг 2. Настройка IdP партнерской организации
Далее вашей партнерской организации следует настроить своего поставщика удостоверений с необходимыми утверждениями и доверительными отношениями с доверенной стороной. Для правильной работы федерации Microsoft Entra External ID требует, чтобы внешний поставщик удостоверений отправлял определенные атрибуты и утверждения, которые должны быть настроены у внешнего поставщика удостоверений.
Примечание.
Чтобы иллюстрировать настройку SAML/WS-Fed IdP для федерации, мы используем службы федерации Active Directory (AD FS) в качестве примера. См. статью "Настройка федерации поставщика удостоверений SAML/WS-Fed с AD FS", в которой приведены примеры настройки AD FS в качестве SAML 2.0 или WS-Fed поставщика удостоверений при подготовке к федерации.
Настройка поставщика удостоверений SAML 2.0
Внешний идентификатор Microsoft Entra требует, чтобы ответ SAML 2.0 от внешнего удостоверяющего сервера включал определенные атрибуты и утверждения. Необходимые атрибуты и утверждения можно настроить во внешнем поставщике удостоверений одним из следующих способов:
- Связывание с XML-файлом службы токенов безопасности онлайн или
- Ввод значений вручную
Обратитесь к следующим таблицам для получения требуемых значений.
Примечание.
Убедитесь, что параметр соответствует облаку, для которого настраивается внешняя федерация.
Таблица 1. Обязательные атрибуты для ответа SAML 2.0, предоставляемого поставщиком удостоверений.
| Атрибут | Значение для арендатора рабочей силы | Значение внешнего арендатора |
|---|---|---|
| УтвержденияConsumerService | https://login.microsoftonline.com/login.srf |
https://<tenantID>.ciamlogin.com/login.srf |
| Аудитория |
https://login.microsoftonline.com/<tenant ID>/ (Рекомендуется) Замените <tenant ID> идентификатором арендатора Microsoft Entra, с которым вы настраиваете федерацию.В запросе SAML, отправленном идентификатором Microsoft Entra для внешних федераций, URL-адрес издателя — это клиентная конечная точка (например, https://login.microsoftonline.com/<tenant ID>/). Для всех новых федераций мы рекомендуем, чтобы все наши партнеры установили аудиторию для поставщика удостоверений, использующего SAML или WS-Fed, на арендованную конечную точку. Все существующие федерации, настроенные с глобальной конечной точкой (например, urn:federation:MicrosoftOnline), продолжают работать, но новые федерации перестают работать, если внешний поставщик удостоверений ожидает URL-адрес глобального издателя в запросе SAML, отправленном Microsoft Entra ID. |
https://login.microsoftonline.com/<tenant ID>/Замените <tenant ID> идентификатором арендатора Microsoft Entra, с которым вы настраиваете федерацию. |
| Издатель | URI издателя IdP партнера, например http://www.example.com/exk10l6w90DHM0yi... |
URI издателя IdP партнера, например http://www.example.com/exk10l6w90DHM0yi... |
Таблица 2. Обязательные утверждения для токена SAML 2.0, выданного поставщиком удостоверений.
| Имя атрибута | Значение |
|---|---|
| Формат идентификатора имени | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Адрес электронной почты пользователя |
Настроить поставщика удостоверений WS-Fed
Microsoft Entra External ID требует, чтобы сообщение WS-Fed от внешнего поставщика удостоверений включало определенные атрибуты и утверждения. Необходимые атрибуты и утверждения можно настроить во внешнем поставщике удостоверений одним из следующих способов:
- Связывание с XML-файлом службы токенов безопасности онлайн или
- Ввод значений вручную
Примечание.
В настоящее время два поставщика WS-Fed, которые были протестированы для совместимости с идентификатором Microsoft Entra, являются AD FS и Shibboleth.
Обязательные атрибуты и утверждения WS-Fed
В следующих таблицах указаны требования к определенным атрибутам и утверждениям, которые необходимо настроить у стороннего удостоверяющего центра WS-Fed. Чтобы настроить федерацию, в сообщении WS-Fed от поставщика удостоверения личной информации (IdP) должны быть получены указанные ниже атрибуты. Их можно настроить путем связывания с XML-файлом службы токенов безопасности в сети или ввести вручную.
Обратитесь к следующим таблицам для получения требуемых значений.
Примечание.
Убедитесь, что параметр соответствует облаку, для которого настраивается внешняя федерация.
Таблица 3. Обязательные атрибуты в сообщении WS-Fed из провайдера удостоверений.
| Атрибут | Значение для арендатора рабочей силы | Значение внешнего арендатора |
|---|---|---|
| ПассивныйЗапросчикТочкаДоступа | https://login.microsoftonline.com/login.srf |
https://<tenantID>.ciamlogin.com/login.srf |
| Аудитория |
https://login.microsoftonline.com/<tenant ID>/ (Рекомендуется) Замените <tenant ID> идентификатором арендатора Microsoft Entra, с которым вы настраиваете федерацию.В запросе SAML, отправленном идентификатором Microsoft Entra для внешних федераций, URL-адрес издателя — это клиентная конечная точка (например, https://login.microsoftonline.com/<tenant ID>/). Для всех новых федераций мы рекомендуем, чтобы все наши партнеры установили аудиторию для поставщика удостоверений, использующего SAML или WS-Fed, на арендованную конечную точку. Все существующие федерации, настроенные с глобальной конечной точкой (например, urn:federation:MicrosoftOnline), продолжают работать, но новые федерации перестают работать, если внешний поставщик удостоверений ожидает URL-адрес глобального издателя в запросе SAML, отправленном Microsoft Entra ID. |
https://login.microsoftonline.com/<tenant ID>/ Замените <tenant ID> идентификатором арендатора Microsoft Entra, с которым вы настраиваете федерацию. |
| Издатель | URI издателя IdP партнера, например http://www.example.com/exk10l6w90DHM0yi... |
URI издателя IdP партнера, например http://www.example.com/exk10l6w90DHM0yi... |
Таблица 4. Обязательные утверждения для маркера WS-Fed, выданного поставщиком удостоверений.
| Атрибут | Значение |
|---|---|
| ImmutableID (неизменяемый идентификатор) | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
| адрес электронной почты | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Шаг 3. Настройка федерации поставщика удостоверений SAML/WS-Fed в Microsoft Entra External ID
Затем настройте федерацию с поставщиком удостоверений, настроенным на шаге 1, в Microsoft Entra External ID. Вы можете использовать центр администрирования Microsoft Entra или API Microsoft Graph. Для вступления в силу политики федерации может потребоваться 5–10 минут. В течение этого времени не пытайтесь выполнить самостоятельную регистрацию или использовать приглашение для федерального домена. Ниже приведены обязательные атрибуты.
- URI издателя поставщика удостоверений партнера
- Конечная точка пассивной проверки подлинности IdP партнера (поддерживается только протокол HTTPS)
- Сертификат
Чтобы добавить поставщика удостоверений в вашу учетную запись в Центре администрирования Microsoft Entra
Войдите в
Центр администрирования Microsoft Entra как минимум в роли администраторавнешнего поставщика удостоверений. Если у вас есть доступ к нескольким арендаторам, используйте значок Settings в верхнем меню и переключитесь на вашего арендатора из меню
Directories.Перейдите к Entra ID>Внешние удостоверения>Все поставщики удостоверений.
Выберите вкладку "Настраиваемый " и нажмите кнопку "Добавить новый>SAML/WS-Fed".
На странице New SAML/WS-Fed IdP введите следующее:
- Отображаемое имя — введите имя, которое поможет вам определить идентификатор поставщика удостоверений партнера.
- Протокол поставщика удостоверений — выберите SAML или WS-Fed.
- Доменное имя федеративного поставщика удостоверений - Введите целевое доменное имя поставщика удостоверений вашего партнера для федерации. Во время этой начальной конфигурации введите только одно доменное имя. Вы можете добавить дополнительные домены позже.
Выбор метода для заполнения метаданных. Если у вас есть файл, содержащий метаданные, вы можете автоматически заполнить поля, выбрав разбор файла метаданных и найдя нужный файл. Кроме того, можно вручную выбрать метаданные ввода и ввести следующие сведения:
URI издателя SAML поставщика удостоверений партнера или <с1>идентификатор сущности WS-Fed поставщика удостоверений партнера.- Конечная точка пассивной проверки подлинности партнера SAML IdP или конечная точка пассивного запросчика IdP партнера WS-Fed.
- Сертификат — идентификатор сертификата подписи.
- URL-адрес метаданных — расположение метаданных поставщика удостоверений (IdP) для автоматического продления сертификата подписи.
Примечание.
URL-адрес метаданных необязателен. Однако мы настоятельно рекомендуем это. Если указать URL-адрес метаданных, идентификатор Microsoft Entra может автоматически продлить сертификат подписи после истечения срока его действия. Если происходит замена сертификата по какой-либо причине до истечения срока его действия или если вы не предоставляете URL-адрес метаданных, Microsoft Entra ID не сможет его продлить. В этом случае необходимо вручную обновить сертификат подписи.
Нажмите кнопку "Сохранить". Поставщик идентификации добавляется в список поставщиков идентификации SAML/WS-Fed.
(Необязательно) Чтобы добавить дополнительные доменные имена к этому федеративному поставщику удостоверений, выполните указанные ниже действия.
Выберите ссылку в столбце "Домены".
Рядом с доменным именем федеративного поставщика удостоверений введите доменное имя и нажмите кнопку "Добавить". Повторите для каждого домена, который требуется добавить. По завершении нажмите кнопку "Готово".
Настройка федерации с помощью API Microsoft Graph
Вы можете использовать тип ресурса API Microsoft Graph samlOrWsFedExternalDomainFederation для настройки федерации с поставщиком удостоверений, поддерживающим протокол SAML или WS-Fed.
Шаг 4. Настройка порядка на использование (B2B сотрудничество с арендаторами в области трудовых ресурсов)
Если вы настраиваете федерацию в тенанте корпоративной среды для совместной работы B2B с проверенным доменом, убедитесь, что федеративный поставщик удостоверений используется первым при принятии приглашения. Настройте параметры заказа активации в параметрах доступа между клиентами для входящего взаимодействия B2B. Переместите поставщиков удостоверений SAML/WS-Fed в начало списка основных поставщиков удостоверений, чтобы приоритетно использовать федеративного поставщика удостоверений.
Вы можете протестировать настройку федерации, пригласив нового гостевого пользователя B2B. Дополнительные сведения см. в разделе "Добавление пользователей совместной работы Microsoft Entra B2B" в Центре администрирования Microsoft Entra.
Примечание.
Вы можете настроить заказ на активацию приглашений с помощью REST API Microsoft Graph (бета-версия). См . пример 2. Обновление конфигурации активации приглашения по умолчанию в справочной документации по Microsoft Graph.
Обновление сведений о сертификате или конфигурации
На странице "Все поставщики удостоверений" вы можете просмотреть список настроенных поставщиков удостоверений SAML/WS-Fed и даты истечения их сертификатов. В этом списке можно обновить сертификаты и изменить другие сведения о конфигурации.
Войдите в
Центр администрирования Microsoft Entra как минимум в роли администраторавнешнего поставщика удостоверений. Перейдите к Entra ID>Внешние удостоверения>Все поставщики удостоверений.
Выберите вкладку "Пользовательский ".
Пролистайте до поставщика удостоверений в списке или используйте строку поиска.
Чтобы обновить сертификат или изменить сведения о конфигурации:
- В столбце Конфигурации поставщика удостоверений выберите ссылку "Изменить".
- На странице конфигурации измените любые из следующих сведений:
- Отображаемое имя — имя, отображаемое для организации партнера.
- Протокол поставщика удостоверений — выберите SAML или WS-Fed.
- Конечная точка пассивной проверки подлинности — конечная точка пассивного запроса партнёрского поставщика удостоверений.
- Сертификат — идентификатор сертификата подписи. Чтобы продлить его, введите новый идентификатор сертификата.
- URL-адрес метаданных — URL-адрес , содержащий метаданные партнера, используемый для автоматического продления сертификата подписи.
- Нажмите кнопку "Сохранить".
Чтобы изменить домены, связанные с партнером, выберите ссылку в столбце "Домены ". В области сведений о домене:
- Чтобы добавить домен, введите доменное имя рядом с доменным именем федеративного поставщика удостоверений и нажмите кнопку "Добавить". Повторите для каждого домена, который требуется добавить.
- Чтобы удалить домен, щелкните значок удаления рядом с доменом.
- По завершении нажмите кнопку "Готово".
Примечание.
Чтобы удалить федерацию с партнером, сначала удалите все домены, кроме одного, а затем выполните действия, описанные в следующем разделе.
Как удалить федерацию
Настройку федерации можно удалить. Если вы это сделаете, гостевые пользователи федерации, которые уже активировали свои приглашения, больше не смогут войти. Но вы можете предоставить им доступ к ресурсам снова, сбросив их статус погашения. Чтобы удалить конфигурацию IdP (поставщика удостоверений) в администраторском центре Microsoft Entra, выполните следующие действия.
Войдите в
Центр администрирования Microsoft Entra как минимум в роли администраторавнешнего поставщика удостоверений. Перейдите к Entra ID>Внешние удостоверения>Все поставщики удостоверений.
Выберите вкладку "Пользовательская ", а затем прокрутите страницу поставщика удостоверений в списке или используйте поле поиска.
Выберите ссылку в столбце «Домены», чтобы просмотреть сведения о домене поставщика удостоверений (IdP).
Удалите все домены, кроме одного из доменов в списке доменных имен .
Выберите "Удалить конфигурацию" и нажмите кнопку "Готово".
Нажмите кнопку "ОК ", чтобы подтвердить удаление.
Вы также можете удалить федерацию, используя ресурс типа SAMlOrWsFedExternalDomainFederation в API Microsoft Graph.
Следующие шаги
- Внешние клиенты:добавьте поставщика удостоверений SAML/WS-Fed в поток пользователя.
- Клиенты рабочей силы: Дополнительные сведения об активации приглашений при входе внешних пользователей с помощью различных поставщиков удостоверений.