Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: 
арендаторы рабочей силы внешние арендаторы (узнать больше)
В Microsoft Entra для работников и внешних арендаторов можно настроить федерацию с другими организациями, использующими поставщика удостоверений SAML или WS-Fed (IdP). Пользователи из внешней организации могут использовать свои учетные записи, управляемые поставщиком удостоверений, для входа в ваши приложения или ресурсы — при активации приглашения или самостоятельной регистрации, — без необходимости создавать учетные данные Microsoft Entra. Пользователь перенаправляется на своего поставщика идентификационных данных при регистрации или входе в приложение, а затем возвращается в Microsoft Entra после успешного входа.
Можно связать несколько доменов с одной конфигурацией федерации. Домен партнера может быть либо проверенным, либо непроверенным в системе Microsoft Entra.
Настройка SAML/WS-Fed федерации поставщика удостоверений требует настройки как в клиенте, так и в поставщике удостоверений внешней организации. В некоторых случаях партнеру необходимо обновить текстовые записи DNS. Они также должны обновить своего поставщика удостоверяющей стороны с необходимыми утверждениями и доверительными отношениями с доверяющей стороной.
Проверка подлинности пользователей с помощью федерации поставщика удостоверений SAML/WS-Fed
После настройки федерации с SAML /WS-Fed поставщиком удостоверений партнера пользователи могут зарегистрироваться или войти в систему, выбрав опцию Регистрация с помощью или Вход с помощью. Пользователи перенаправляются к поставщику идентификации, а затем возвращаются в Microsoft Entra после успешной авторизации.
Для внешних арендаторов адрес электронной почты для входа пользователя не должен соответствовать предопределенным доменам, настроенным во время федерации SAML. Если у пользователя нет учетной записи во внешнем клиенте и он вводит адрес электронной почты на странице входа, соответствующий предварительно определённому домену в каком-либо внешнем поставщике удостоверений, его перенаправляют для проверки подлинности с помощью этого поставщика удостоверений.
Проверенные и непроверенные домены
Опыт входа пользователя зависит от того, проверен ли домен этого партнера Microsoft Entra.
Непроверенные домены — это домены , которые не проверены DNS в идентификаторе Microsoft Entra. После федерации пользователи могут войти с помощью учетных данных из неподтвержденного домена.
Неуправляемые (проверенные по электронной почте или "вирусные") клиенты создаются, когда пользователь активирует приглашение или выполняет самостоятельную регистрацию для идентификатора Microsoft Entra с помощью домена, который в настоящее время не существует. После федерации пользователи могут войти с помощью учетных данных из неуправляемого клиента.
Проверенные домены Microsoft Entra ID — это домены, которые прошли проверку DNS с помощью Microsoft Entra, включая домены, где арендатор прошел переход администратора. После федерации:
- Для самостоятельной регистрации пользователи могут использовать собственные учетные данные домена.
- Для использования приглашения ID Microsoft Entra остается основным удостоверяющим центром. В клиенте рабочей силы можно определить приоритет федеративного поставщика удостоверений для активации приглашения, изменив заказ на активацию.
Замечание
Изменение заказа на активацию в настоящее время не поддерживается во внешних клиентах или в облаках.
Влияние федерации на текущих внешних пользователей
Если внешний пользователь уже воспользовался приглашением или использовал самостоятельную регистрацию, его метод аутентификации не изменяется при настройке федерации. Они продолжают использовать свой исходный метод проверки подлинности (например, одноразовый секретный код). Даже если пользователь из непроверенного домена использует федерацию, а их организация позже переходит в Microsoft Entra, они продолжают использовать федерацию.
Для совместной работы B2B в арендаторе рабочей среды вам не нужно отправлять новые приглашения существующим пользователям, так как они продолжают использовать текущий способ входа. Но вы можете сбросить состояние активации пользователя. В следующий раз, когда пользователь запустит приложение, он повторит шаги погашения и может переключиться на федеративную аутентификацию.
Конечные точки аутентификации в корпоративных арендаторах.
Когда федерация настроена в клиенте рабочей силы, пользователи из федеративной организации могут входить в мультитенантные или сторонние приложения Майкрософт с помощью общих конечных точек (другими словами, общий URL-адрес приложения, который не включает контекст клиента). Во время процесса входа пользователь выбирает параметры входа, а затем выбирает войти в организацию. Они вводят имя вашей организации и продолжают выполнять вход с помощью собственных учетных данных.
Пользователи федерации SAML/WS-Fed IdP могут также использовать конечные точки приложения, включающие информацию о вашем арендаторе, например:
https://myapps.microsoft.com/?tenantid=<your tenant ID>https://myapps.microsoft.com/<your verified domain>.onmicrosoft.comhttps://portal.azure.com/<your tenant ID>
Вы также можете предоставить пользователям прямую ссылку на приложение или ресурс, включив сведения о клиенте, например https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>.
Основные рекомендации по федерации SAML/WS-Fed
Требования поставщика удостоверений партнеров
Настройка SAML/WS-Fed федерации поставщика удостоверений требует настройки как в клиенте, так и в поставщике удостоверений внешней организации. В зависимости от используемого IdP партнеру может потребоваться обновить свои записи DNS, чтобы включить федерацию с вами. См. шаге 1. Определите, нужно ли партнеру обновить текстовые записи DNS.
Партнер должен обновить свой поставщик удостоверений с необходимыми утверждениями и доверием проверяющей стороны. URL-адрес издателя в запросе SAML, отправленном идентификатором Microsoft Entra ID для внешних федераций, теперь является конечной точкой, специфичной для арендатора, тогда как ранее это была глобальная конечная точка. Существующие федерации с глобальной конечной точкой продолжают работать. Но для новых федераций настройте аудиторию внешнего SAML или WS-Fed поставщика удостоверений в клиентную конечную точку. См. раздел SAML 2.0 и раздел WS-Fed для обязательных атрибутов и утверждений.
Срок действия сертификата подписи
Если указать URL-адрес метаданных в параметрах поставщика удостоверений, идентификатор Microsoft Entra автоматически обновляет сертификат подписи после истечения срока действия. Однако если сертификат поворачивается по какой-либо причине до истечения срока действия или если вы не предоставляете URL-адрес метаданных, идентификатор Microsoft Entra ID не может продлить его. В этом случае необходимо вручную обновить сертификат подписи.
Срок действия сеанса
Если срок действия сеанса Microsoft Entra истекает или становится недопустимым, а в федеративном поставщике удостоверений включена функция единого входа, пользователь пользуется единым входом. Если сеанс федеративного пользователя действителен, пользователю не будет предложено войти снова. В противном случае пользователь перенаправляется на идентификатор поставщика удостоверений для входа.
Частично синхронизированная аренда
Федерация не устраняет проблемы входа, вызванные частично синхронизированным тенантством, где локальные идентификации пользователей партнера не полностью синхронизированы с Microsoft Entra в облаке. Эти пользователи не могут войти с помощью приглашения B2B, поэтому вместо этого им нужно использовать функцию однократного секретного кода электронной почты. Функция федерации поставщика удостоверений SAML/WS-Fed предназначена для партнеров с собственными учетными записями организации, управляемыми поставщиком удостоверений, но отсутствие присутствия Microsoft Entra.
Гостевые учетные записи B2B
Федерация не заменяет потребность в гостевых учетных записях B2B в вашей директории. При B2B сотрудничестве гостевая учетная запись создается для пользователя в каталоге арендатора вашей рабочей группы независимо от используемого метода проверки подлинности или федерации. Этот объект пользователя позволяет предоставлять доступ к приложениям, назначать роли и определять членство в группах безопасности.
Подписанные токены аутентификации
В настоящее время функция федерации Microsoft Entra SAML/WS-Fed не поддерживает отправку подписанного маркера проверки подлинности поставщику удостоверений SAML.