Пример. Настройка федерации поставщика удостоверений SAML/WS-Fed с AD FS для совместной работы B2B

Область применения: арендаторы рабочей силы внешние арендаторы (узнать больше)

В этой статье описывается, как настроить федерацию SAML/WS-Fed IdP с помощью служб федерации Active Directory (AD FS) в качестве SAML 2.0 или WS-Fed IdP. Для поддержки федерации на стороне поставщика удостоверений необходимо настроить определенные атрибуты и утверждения. Для того чтобы проиллюстрировать настройку поставщика удостоверений для федерации, мы используем службы федерации Active Directory (AD FS) в качестве примера. Мы покажем, как настроить AD FS как в качестве поставщика удостоверений SAML, так и в качестве WS-Fed поставщика удостоверений.

Настройка AD FS для федерации SAML 2.0

Microsoft Entra B2B можно настроить для федерации с поставщиками удостоверений, использующих протокол SAML с определенными требованиями, перечисленными ниже. Чтобы проиллюстрировать действия по настройке SAML, в этом разделе показано, как настроить AD FS для SAML 2.0.

Чтобы настроить федерацию, необходимо, чтобы в ответе SAML 2.0 от поставщика удостоверений были получены следующие атрибуты. Их можно настроить путем связывания с XML-файлом службы токенов безопасности в сети или ввести вручную. Шаг 12 в разделе "Создание тестового экземпляра AD FS" описывает, как найти конечные точки AD FS или как создать URL-адрес метаданных, например https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.

Следующие утверждения необходимо настроить в токене SAML 2.0, выданном провайдером удостоверения:

В следующем разделе показано, как настроить необходимые атрибуты и утверждения с помощью AD FS на примере поставщика удостоверений SAML 2.0.

Перед тем как начать

Прежде чем начать эту процедуру, необходимо настроить и функционировать сервер AD FS.

Добавление описания утверждения

1. На сервере AD FS выберите "Сервис>управления AD FS".

2. В области навигации выберите службы>"Описания утверждений".

3. В разделе "Действия" выберите "Добавить описание утверждения".

4. В окне "Добавление описания утверждения " укажите следующие значения:

   • Отображаемое имя: постоянный идентификатор
   • Идентификатор запроса: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
   • Установите флажок для публикации этого описания утверждения в метаданных федерации в качестве типа утверждения, который может принять эта служба федерации.
   • Установите флажок для публикации описания этого утверждения в метаданных федерации в качестве типа утверждения, который может отправлять эта служба федерации.

5. Нажмите OK.

Добавление доверия проверяющей стороны

1. На сервере AD FS перейдите в раздел "Сервис>управления AD FS".

2. В области навигации выберите Доверяющие стороны.

3. В разделе "Действия" выберите "Добавить доверие проверяющей стороны".

4. В мастере Добавление доверия проверяющей стороне выберите Поддержка утверждений, а затем выберите Начать.

5. В разделе "Выбор источника данных " установите флажок импорта данных о проверяющей стороне, опубликованной в Интернете или локальной сети. Введите этот URL-адрес метаданных федерации: https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml Нажмите кнопку Далее.

6. Оставьте другие параметры в параметрах по умолчанию. Перейдите к кнопке "Далее" и нажмите кнопку "Закрыть ", чтобы закрыть мастер.

7. В разделе "Управление AD FS" в разделе "Доверие проверяющей стороны" щелкните правой кнопкой мыши только что созданное доверие проверяющей стороны и выберите "Свойства".

8. На вкладке "Мониторинг" снимите флажок "Мониторинг доверяющей стороны".

9. На вкладке "Идентификаторы" в текстовом поле https://login.microsoftonline.com/<tenant ID>/ введите , используя идентификатор арендатора партнера службы Microsoft Entra. Нажмите кнопку "Добавить".

   Замечание

   Обязательно включите косую черту (/) после идентификатора клиента, например: https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/

10. Нажмите ОК.

Создание правил утверждений

1. Щелкните правой кнопкой мыши на созданное доверие участвующей стороны, а затем выберите Изменить политику выдачи утверждений.

2. В мастере редактирования правил утверждений выберите "Добавить правило".

3. В шаблоне правила утверждения выберите "Отправить атрибуты LDAP в качестве утверждений".

4. В разделе "Настройка правила утверждений" укажите следующие значения:

   • Имя правила утверждения: Правило утверждения электронной почты
   • Хранилище атрибутов: Active Directory
   • Атрибут LDAP: E-Mail-Addresses
   • Тип исходящего утверждения: адрес электронной почты

5. Нажмите Готово.

6. Выберите "Добавить правило".

7. В шаблоне правила утверждения выберите "Преобразовать входящее утверждение" и нажмите кнопку "Далее".

8. В разделе "Настройка правила утверждений" укажите следующие значения:

   • Имя правила утверждения: правило преобразования электронной почты
   • Тип входящего утверждения: адрес электронной почты
   • Тип исходящего утверждения: идентификатор имени
   • Формат идентификатора исходящего имени: постоянный идентификатор
   • Выберите Просмотреть все значения утверждений.

9. Нажмите Готово.

10. В области "Изменить правила утверждений " отображаются новые правила. Нажмите кнопку "Применить".

11. Нажмите ОК. Сервер AD FS теперь настроен для федерации с помощью протокола SAML 2.0.

Настройка AD FS для федерации WS-Fed

Microsoft Entra B2B можно настроить для федерации с поставщиками идентификационных данных, которые используют протокол WS-Fed с определенными требованиями, перечисленными ниже. В настоящее время два поставщика WS-Fed были протестированы для совместимости с внешним идентификатором Microsoft Entra, включая AD FS и Shibboleth. Здесь мы используем службы федерации Active Directory (AD FS) в качестве примера поставщика идентификаций WS-Fed. Для получения дополнительной информации о создании доверительных отношений между поставщиком, совместимым с WS-Fed, и внешним идентификатором Microsoft Entra, загрузите документы о совместимости поставщика удостоверений Microsoft Entra.

Чтобы настроить федерацию, в сообщении WS-Fed от поставщика удостоверения личной информации (IdP) должны быть получены указанные ниже атрибуты. Их можно настроить путем связывания с XML-файлом службы токенов безопасности в сети или ввести вручную. Шаг 12 в разделе "Создание тестового экземпляра AD FS" описывает, как найти конечные точки AD FS или как создать URL-адрес метаданных, например https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.

Обязательные утверждения для токена WS-Fed, выданного IdP:

В следующем разделе показано, как настроить необходимые атрибуты и утверждения, используя AD FS в качестве примера поставщика удостоверений WS-Fed.

Перед тем как начать

Прежде чем начать эту процедуру, необходимо настроить и функционировать сервер AD FS.

Добавление доверия проверяющей стороны

1. На сервере AD FS перейдите к средствам>управления AD FS.

2. В области навигации> выберитеотношения доверия проверяющей стороны.

3. В разделе "Действия" выберите "Добавить доверие проверяющей стороны".

4. В мастере добавления доверяющей стороны выберите Осведомленный об утверждениях, а затем нажмите кнопку "Начать".

5. В разделе "Выбор источника данных " выберите "Ввести данные о проверяющей стороне" вручную, а затем нажмите кнопку "Далее".

6. На странице Specify Display Name введите имя в поле Display Name. При необходимости можно ввести описание для доверяющей стороны в разделе Заметки. Нажмите кнопку Далее.

7. При необходимости на странице Настроить сертификат, если у вас есть сертификат шифрования токенов, нажмите Обзор, чтобы найти файл сертификата. Нажмите кнопку Далее.

8. На странице "Настройка URL-адреса" установите флажок "Включить поддержку для WS-Federation пассивного протокола ". В разделе "Доверяющая сторона" WS-Federation URL-адрес пассивного протокола введите следующий URL-адрес: https://login.microsoftonline.com/login.srf

9. Нажмите кнопку Далее.

10. На странице "Настройка идентификаторов" введите следующие URL-адреса и нажмите кнопку "Добавить". Во втором URL-адресе введите идентификатор клиента клиента партнера службы Microsoft Entra.

    • urn:federation:MicrosoftOnline
    • https://login.microsoftonline.com/<tenant ID>/

    Замечание

    Обязательно включите косую черту (/) после идентификатора клиента, например: https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/

11. Нажмите кнопку Далее.

12. На странице "Выбор политики управления доступом " выберите политику и нажмите кнопку "Далее".

13. На странице "Готово к добавлению доверия " просмотрите параметры и нажмите кнопку "Далее ", чтобы сохранить сведения о доверии проверяющей стороны.

14. На странице "Готово " нажмите кнопку "Закрыть". выберите "Доверие проверяющей стороны" и выберите "Изменить политику выдачи утверждений".

Создание правил утверждений

1. Выберите только что созданное доверие доверяющей стороны, а затем выберите Изменить политику выдачи утверждений.

2. Выберите Добавить правило.

3. Выберите "Отправить атрибуты LDAP в качестве утверждений" и нажмите кнопку "Далее".

4. В разделе "Настройка правила утверждений" укажите следующие значения:

   • Имя правила утверждения: Правило утверждения электронной почты
   • Хранилище атрибутов: Active Directory
   • Атрибут LDAP: E-Mail-Addresses
   • Тип исходящего утверждения: адрес электронной почты

5. Нажмите Готово.

6. В том же мастере редактирования правил утверждений выберите "Добавить правило".

7. Выберите "Отправить утверждения с помощью настраиваемого правила" и нажмите кнопку "Далее".

8. В разделе "Настройка правила утверждений" укажите следующие значения:

   • Имя правила утверждения: выдать неизменяемый идентификатор
   • Настраиваемое правило: c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), query = "samAccountName={0};objectGUID;{1}", param = regexreplace(c.Value, "(?<domain>[^\\]+)\\(?<user>.+)", "${user}"), param = c.Value);

9. Нажмите Готово.

10. Нажмите ОК. Сервер AD FS теперь настроен для федерации с помощью WS-Fed.

Дальнейшие шаги

Затем вы настроите федерацию SAML/WS-Fed IdP в Microsoft Entra External ID на портале Azure или с помощью API Microsoft Graph.