Создание internalDomainFederation

Пространство имен: microsoft.graph

Важно!

API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.

Создайте объект internalDomainFederation .

Этот API доступен в следующих национальных облачных развертываниях.

Глобальная служба	Правительство США L4	Правительство США L5 (DOD)	Китай управляется 21Vianet
✅	✅	✅	✅

Разрешения

Выберите разрешение или разрешения, помеченные как наименее привилегированные для этого API. Используйте более привилегированное разрешение или разрешения только в том случае, если это требуется приложению. Дополнительные сведения о делегированных разрешениях и разрешениях приложений см. в разделе Типы разрешений. Дополнительные сведения об этих разрешениях см. в справочнике по разрешениям.

Тип разрешения	Разрешения с наименьшими привилегиями	Более высокие привилегированные разрешения
Делегированные (рабочая или учебная учетная запись)	Domain-InternalFederation.ReadWrite.All	Domain.ReadWrite.All
Делегированные (личная учетная запись Майкрософт)	Не поддерживается.	Не поддерживается.
Приложение	Domain-InternalFederation.ReadWrite.All	Domain.ReadWrite.All

Важно!

Чтобы обновить свойство authenticationType , вызывающему приложению должно быть назначено разрешение Domain-InternalFederation.ReadWrite.All .

Для делегированного доступа с использованием рабочих или учебных учетных записей пользователю, выполнившего вход, необходимо назначить поддерживаемую роль Microsoft Entra или пользовательскую роль, которая предоставляет разрешения, необходимые для этой операции. Эта операция поддерживает следующие встроенные роли, которые предоставляют только минимальные необходимые привилегии:

Администратор доменных имен
Администратор внешнего поставщика удостоверений
Администратор гибридных удостоверений
Администратор безопасности

HTTP-запрос

POST /domains/{domainsId}/federationConfiguration

Заголовки запросов

Имя	Описание
Авторизация	Bearer {token}. Обязательно. Дополнительные сведения о проверке подлинности и авторизации.
Content-Type	application/json. Обязательно.

Текст запроса

В тексте запроса укажите представление объекта internalDomainFederation в формате JSON.

При создании internalDomainFederation можно указать следующие свойства.

Свойство	Тип	Описание
activeSignInUri	String	URL-адрес конечной точки, используемой активными клиентами при проверке подлинности с федеративными доменами, настроенными для единого входа в Microsoft Entra ID. Соответствует свойству ActiveLogOnUriкомандлета PowerShell Set-EntraDomainFederationSettings.
displayName	String	Отображаемое имя федеративного поставщика удостоверений.
federatedIdpMfaBehavior	federatedIdpMfaBehavior	Определяет, принимает ли Microsoft Entra ID MFA, выполняемую федеративным поставщиком удостоверений, когда федеративный пользователь обращается к приложению, управляемому политикой условного доступа, требующей многофакторной проверки подлинности. Допустимые значения: `acceptIfMfaDoneByFederatedIdp`, `enforceMfaByFederatedIdp`, `rejectMfaByFederatedIdp`, `unknownFutureValue`. Дополнительные сведения см. в разделе Значения federatedIdpMfaBehavior.
isSignedAuthenticationRequestRequired	Логический	Если задано значение true, то при отправке запросов на проверку подлинности SAML федеративной поставщику удостоверений SAML Microsoft Entra ID подписывает эти запросы с помощью ключа подписи OrgID. Если задано значение false (по умолчанию), запросы проверки подлинности SAML, отправленные федеративным поставщику удостоверений, не подписываются.
issuerUri	String	URI издателя сервера федерации.
metadataExchangeUri	String	URI конечной точки обмена метаданными, используемой для проверки подлинности из расширенных клиентских приложений.
nextSigningCertificate	String	Резервный сертификат для подписи маркеров, который используется для подписи маркеров по истечении срока действия основного сертификата подписи. Отформатированные как строки в кодировке Base 64 общедоступной части сертификата подписи маркера федеративного поставщика удостоверений. Должен быть совместим с классом X509Certificate2. Как и в случае с подписьюCertificate, свойство nextSigningCertificate используется, если требуется откат вне обновления автоматической перенаправки, настраивается новая служба федерации или если новый сертификат подписи маркера отсутствует в свойствах федерации после обновления сертификата службы федерации.
passiveSignInUri	String	URI, на который направляются веб-клиенты при входе в службы Microsoft Entra.
passwordResetUri	String	URI, на который перенаправляются клиенты для сброса пароля.
preferredAuthenticationProtocol	authenticationProtocol	Предпочтительный протокол проверки подлинности. Этот параметр должен быть явно настроен, чтобы поток пассивной проверки подлинности федерации работал. Допустимые значения: `wsFed`, `saml`, `unknownFutureValue`.
promptLoginBehavior	promptLoginBehavior	Задает предпочтительное поведение для запроса на вход. Допустимые значения: `translateToFreshPasswordAuthentication`, `nativeSupport`, `disabled`, `unknownFutureValue`.
signingCertificate	String	Текущий сертификат, используемый для подписывания маркеров, переданных платформа удостоверений Майкрософт. Сертификат имеет формат строки в кодировке Base 64 общедоступной части сертификата подписи маркера федеративного поставщика удостоверений и должен быть совместим с классом X509Certificate2. Это свойство используется в следующих сценариях: Если требуется откат за пределами автоматического обновления Настраивается новая служба федерации Если новый сертификат подписи маркера отсутствует в свойствах федерации после обновления сертификата службы федерации. Microsoft Entra ID обновляет сертификаты с помощью процесса автоматической переключения, в котором пытается получить новый сертификат из метаданных службы федерации за 30 дней до истечения срока действия текущего сертификата. Если новый сертификат недоступен, Microsoft Entra ID ежедневно отслеживает метаданные и обновляет параметры федерации для домена при появлении нового сертификата.
signOutUri	String	URI, на который перенаправляются клиенты при выходе из Microsoft Entra служб. Соответствует свойству LogOffUriкомандлета PowerShell Set-EntraDomainFederationSettings.
signingCertificateUpdateStatus	signingCertificateUpdateStatus	Предоставляет состояние и метку времени последнего обновления сертификата подписи.

Значения federatedIdpMfaBehavior

Member	Описание
acceptIfMfaDoneByFederatedIdp	Microsoft Entra ID принимает MFA, выполняемую федеративными поставщиками удостоверений. Если федеративный поставщик удостоверений не выполнил MFA, Microsoft Entra ID выполняет MFA.
enforceMfaByFederatedIdp	Microsoft Entra ID принимает MFA, выполняемую федеративными поставщиками удостоверений. Если федеративный поставщик удостоверений не выполнил MFA, он перенаправляет запрос федеративного поставщика удостоверений для выполнения MFA.
rejectMfaByFederatedIdp	Microsoft Entra ID всегда выполняет MFA и отклоняет MFA, выполняемую поставщиком федеративных удостоверений.

Примечание.FederatedIdpMfaBehavior — это усовершенствованая версия свойства SupportsMfaкомандлета PowerShell Set-EntraDomainFederationSettings.

Переключение между federatedIdpMfaBehavior и SupportsMfa не поддерживается.
После установки свойства federatedIdpMfaBehavior Microsoft Entra ID игнорирует параметр SupportsMfa.
Если свойство federatedIdpMfaBehavior никогда не задано, Microsoft Entra ID продолжает учитывать параметр SupportsMfa.
Если ни federatedIdpMfaBehavior, ни SupportsMfa не заданы, Microsoft Entra ID по умолчанию используется acceptIfMfaDoneByFederatedIdp поведение.

Отклик

В случае успешного выполнения этот метод возвращает код отклика 201 Created и объект internalDomainFederation в теле отклика.

Примеры

Запрос

POST https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration
Content-Type: application/json

{
  "@odata.type": "#microsoft.graph.internalDomainFederation",
  "displayName": "Contoso",
  "issuerUri": "http://contoso.com/adfs/services/trust",
  "metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
  "signingCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
  "passiveSignInUri": "https://sts.contoso.com/adfs/ls",
  "preferredAuthenticationProtocol": "wsFed",
  "activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
  "signOutUri": "https://sts.contoso.com/adfs/ls",
  "promptLoginBehavior": "nativeSupport",
  "isSignedAuthenticationRequestRequired": true,
  "nextSigningCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
  "federatedIdpMfaBehavior": "rejectMfaByFederatedIdp",
  "passwordResetUri": "https://sts.contoso.com/adfs/passwordReset"
}


// Code snippets are only available for the latest version. Current version is 5.x

// Dependencies
using Microsoft.Graph.Beta.Models;

var requestBody = new InternalDomainFederation
{
	OdataType = "#microsoft.graph.internalDomainFederation",
	DisplayName = "Contoso",
	IssuerUri = "http://contoso.com/adfs/services/trust",
	MetadataExchangeUri = "https://sts.contoso.com/adfs/services/trust/mex",
	SigningCertificate = "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
	PassiveSignInUri = "https://sts.contoso.com/adfs/ls",
	PreferredAuthenticationProtocol = AuthenticationProtocol.WsFed,
	ActiveSignInUri = "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
	SignOutUri = "https://sts.contoso.com/adfs/ls",
	PromptLoginBehavior = PromptLoginBehavior.NativeSupport,
	IsSignedAuthenticationRequestRequired = true,
	NextSigningCertificate = "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
	FederatedIdpMfaBehavior = FederatedIdpMfaBehavior.RejectMfaByFederatedIdp,
	PasswordResetUri = "https://sts.contoso.com/adfs/passwordReset",
};

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=csharp
var result = await graphClient.Domains["{domain-id}"].FederationConfiguration.PostAsync(requestBody);

Важно!

Пакеты SDK для Microsoft Graph по умолчанию используют версию API версии 1.0 и поддерживают не все типы, свойства и API, доступные в бета-версии. Дополнительные сведения о доступе к бета-API с помощью SDK см. в статье Использование пакетов Microsoft Graph SDK с бета-API.

Подробнее о том, как добавить SDK в свой проект и создать экземпляр authProvider, см. в документации по SDK.



// Code snippets are only available for the latest major version. Current major version is $v0.*

// Dependencies
import (
	  "context"
	  msgraphsdk "github.com/microsoftgraph/msgraph-beta-sdk-go"
	  graphmodels "github.com/microsoftgraph/msgraph-beta-sdk-go/models"
	  //other-imports
)

requestBody := graphmodels.NewInternalDomainFederation()
displayName := "Contoso"
requestBody.SetDisplayName(&displayName) 
issuerUri := "http://contoso.com/adfs/services/trust"
requestBody.SetIssuerUri(&issuerUri) 
metadataExchangeUri := "https://sts.contoso.com/adfs/services/trust/mex"
requestBody.SetMetadataExchangeUri(&metadataExchangeUri) 
signingCertificate := "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI"
requestBody.SetSigningCertificate(&signingCertificate) 
passiveSignInUri := "https://sts.contoso.com/adfs/ls"
requestBody.SetPassiveSignInUri(&passiveSignInUri) 
preferredAuthenticationProtocol := graphmodels.WSFED_AUTHENTICATIONPROTOCOL 
requestBody.SetPreferredAuthenticationProtocol(&preferredAuthenticationProtocol) 
activeSignInUri := "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed"
requestBody.SetActiveSignInUri(&activeSignInUri) 
signOutUri := "https://sts.contoso.com/adfs/ls"
requestBody.SetSignOutUri(&signOutUri) 
promptLoginBehavior := graphmodels.NATIVESUPPORT_PROMPTLOGINBEHAVIOR 
requestBody.SetPromptLoginBehavior(&promptLoginBehavior) 
isSignedAuthenticationRequestRequired := true
requestBody.SetIsSignedAuthenticationRequestRequired(&isSignedAuthenticationRequestRequired) 
nextSigningCertificate := "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI"
requestBody.SetNextSigningCertificate(&nextSigningCertificate) 
federatedIdpMfaBehavior := graphmodels.REJECTMFABYFEDERATEDIDP_FEDERATEDIDPMFABEHAVIOR 
requestBody.SetFederatedIdpMfaBehavior(&federatedIdpMfaBehavior) 
passwordResetUri := "https://sts.contoso.com/adfs/passwordReset"
requestBody.SetPasswordResetUri(&passwordResetUri) 

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=go
federationConfiguration, err := graphClient.Domains().ByDomainId("domain-id").FederationConfiguration().Post(context.Background(), requestBody, nil)

Важно!

Подробнее о том, как добавить SDK в свой проект и создать экземпляр authProvider, см. в документации по SDK.


// Code snippets are only available for the latest version. Current version is 6.x

GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);

InternalDomainFederation internalDomainFederation = new InternalDomainFederation();
internalDomainFederation.setOdataType("#microsoft.graph.internalDomainFederation");
internalDomainFederation.setDisplayName("Contoso");
internalDomainFederation.setIssuerUri("http://contoso.com/adfs/services/trust");
internalDomainFederation.setMetadataExchangeUri("https://sts.contoso.com/adfs/services/trust/mex");
internalDomainFederation.setSigningCertificate("MIIE3jCCAsagAwIBAgIQQcyDaZz3MI");
internalDomainFederation.setPassiveSignInUri("https://sts.contoso.com/adfs/ls");
internalDomainFederation.setPreferredAuthenticationProtocol(AuthenticationProtocol.WsFed);
internalDomainFederation.setActiveSignInUri("https://sts.contoso.com/adfs/services/trust/2005/usernamemixed");
internalDomainFederation.setSignOutUri("https://sts.contoso.com/adfs/ls");
internalDomainFederation.setPromptLoginBehavior(PromptLoginBehavior.NativeSupport);
internalDomainFederation.setIsSignedAuthenticationRequestRequired(true);
internalDomainFederation.setNextSigningCertificate("MIIE3jCCAsagAwIBAgIQQcyDaZz3MI");
internalDomainFederation.setFederatedIdpMfaBehavior(FederatedIdpMfaBehavior.RejectMfaByFederatedIdp);
internalDomainFederation.setPasswordResetUri("https://sts.contoso.com/adfs/passwordReset");
InternalDomainFederation result = graphClient.domains().byDomainId("{domain-id}").federationConfiguration().post(internalDomainFederation);

Важно!

Подробнее о том, как добавить SDK в свой проект и создать экземпляр authProvider, см. в документации по SDK.


const options = {
	authProvider,
};

const client = Client.init(options);

const internalDomainFederation = {
  '@odata.type': '#microsoft.graph.internalDomainFederation',
  displayName: 'Contoso',
  issuerUri: 'http://contoso.com/adfs/services/trust',
  metadataExchangeUri: 'https://sts.contoso.com/adfs/services/trust/mex',
  signingCertificate: 'MIIE3jCCAsagAwIBAgIQQcyDaZz3MI',
  passiveSignInUri: 'https://sts.contoso.com/adfs/ls',
  preferredAuthenticationProtocol: 'wsFed',
  activeSignInUri: 'https://sts.contoso.com/adfs/services/trust/2005/usernamemixed',
  signOutUri: 'https://sts.contoso.com/adfs/ls',
  promptLoginBehavior: 'nativeSupport',
  isSignedAuthenticationRequestRequired: true,
  nextSigningCertificate: 'MIIE3jCCAsagAwIBAgIQQcyDaZz3MI',
  federatedIdpMfaBehavior: 'rejectMfaByFederatedIdp',
  passwordResetUri: 'https://sts.contoso.com/adfs/passwordReset'
};

await client.api('/domains/contoso.com/federationConfiguration')
	.version('beta')
	.post(internalDomainFederation);

Важно!

Подробнее о том, как добавить SDK в свой проект и создать экземпляр authProvider, см. в документации по SDK.


<?php
use Microsoft\Graph\Beta\GraphServiceClient;
use Microsoft\Graph\Beta\Generated\Models\InternalDomainFederation;
use Microsoft\Graph\Beta\Generated\Models\AuthenticationProtocol;
use Microsoft\Graph\Beta\Generated\Models\PromptLoginBehavior;
use Microsoft\Graph\Beta\Generated\Models\FederatedIdpMfaBehavior;


$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);

$requestBody = new InternalDomainFederation();
$requestBody->setOdataType('#microsoft.graph.internalDomainFederation');
$requestBody->setDisplayName('Contoso');
$requestBody->setIssuerUri('http://contoso.com/adfs/services/trust');
$requestBody->setMetadataExchangeUri('https://sts.contoso.com/adfs/services/trust/mex');
$requestBody->setSigningCertificate('MIIE3jCCAsagAwIBAgIQQcyDaZz3MI');
$requestBody->setPassiveSignInUri('https://sts.contoso.com/adfs/ls');
$requestBody->setPreferredAuthenticationProtocol(new AuthenticationProtocol('wsFed'));
$requestBody->setActiveSignInUri('https://sts.contoso.com/adfs/services/trust/2005/usernamemixed');
$requestBody->setSignOutUri('https://sts.contoso.com/adfs/ls');
$requestBody->setPromptLoginBehavior(new PromptLoginBehavior('nativeSupport'));
$requestBody->setIsSignedAuthenticationRequestRequired(true);
$requestBody->setNextSigningCertificate('MIIE3jCCAsagAwIBAgIQQcyDaZz3MI');
$requestBody->setFederatedIdpMfaBehavior(new FederatedIdpMfaBehavior('rejectMfaByFederatedIdp'));
$requestBody->setPasswordResetUri('https://sts.contoso.com/adfs/passwordReset');

$result = $graphServiceClient->domains()->byDomainId('domain-id')->federationConfiguration()->post($requestBody)->wait();

Важно!

Подробнее о том, как добавить SDK в свой проект и создать экземпляр authProvider, см. в документации по SDK.


Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement

$params = @{
	"@odata.type" = "#microsoft.graph.internalDomainFederation"
	displayName = "Contoso"
	issuerUri = "http://contoso.com/adfs/services/trust"
	metadataExchangeUri = "https://sts.contoso.com/adfs/services/trust/mex"
	signingCertificate = "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI"
	passiveSignInUri = "https://sts.contoso.com/adfs/ls"
	preferredAuthenticationProtocol = "wsFed"
	activeSignInUri = "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed"
	signOutUri = "https://sts.contoso.com/adfs/ls"
	promptLoginBehavior = "nativeSupport"
	isSignedAuthenticationRequestRequired = $true
	nextSigningCertificate = "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI"
	federatedIdpMfaBehavior = "rejectMfaByFederatedIdp"
	passwordResetUri = "https://sts.contoso.com/adfs/passwordReset"
}

New-MgBetaDomainFederationConfiguration -DomainId $domainId -BodyParameter $params

Важно!

Подробнее о том, как добавить SDK в свой проект и создать экземпляр authProvider, см. в документации по SDK.


# Code snippets are only available for the latest version. Current version is 1.x
from msgraph_beta import GraphServiceClient
from msgraph_beta.generated.models.internal_domain_federation import InternalDomainFederation
from msgraph_beta.generated.models.authentication_protocol import AuthenticationProtocol
from msgraph_beta.generated.models.prompt_login_behavior import PromptLoginBehavior
from msgraph_beta.generated.models.federated_idp_mfa_behavior import FederatedIdpMfaBehavior
# To initialize your graph_client, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=python
request_body = InternalDomainFederation(
	odata_type = "#microsoft.graph.internalDomainFederation",
	display_name = "Contoso",
	issuer_uri = "http://contoso.com/adfs/services/trust",
	metadata_exchange_uri = "https://sts.contoso.com/adfs/services/trust/mex",
	signing_certificate = "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
	passive_sign_in_uri = "https://sts.contoso.com/adfs/ls",
	preferred_authentication_protocol = AuthenticationProtocol.WsFed,
	active_sign_in_uri = "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
	sign_out_uri = "https://sts.contoso.com/adfs/ls",
	prompt_login_behavior = PromptLoginBehavior.NativeSupport,
	is_signed_authentication_request_required = True,
	next_signing_certificate = "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
	federated_idp_mfa_behavior = FederatedIdpMfaBehavior.RejectMfaByFederatedIdp,
	password_reset_uri = "https://sts.contoso.com/adfs/passwordReset",
)

result = await graph_client.domains.by_domain_id('domain-id').federation_configuration.post(request_body)

Важно!

Подробнее о том, как добавить SDK в свой проект и создать экземпляр authProvider, см. в документации по SDK.

Отклик

Примечание. Объект отклика, показанный здесь, может быть сокращен для удобочитаемости.

HTTP/1.1 201 Created
Content-Type: application/json

{
  "@odata.type": "#microsoft.graph.internalDomainFederation",
  "id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
   "displayName": "Contoso",
   "issuerUri": "http://contoso.com/adfs/services/trust",
   "metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
   "signingCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
   "passiveSignInUri": "https://sts.contoso.com/adfs/ls",
   "preferredAuthenticationProtocol": "wsFed",
   "activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
   "signOutUri": "https://sts.contoso.com/adfs/ls",
   "promptLoginBehavior": "nativeSupport",
   "isSignedAuthenticationRequestRequired": true,
   "nextSigningCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
   "signingCertificateUpdateStatus": {
        "certificateUpdateResult": "Success",
        "lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
    },
   "federatedIdpMfaBehavior": "rejectMfaByFederatedIdp",
   "passwordResetUri": "https://sts.contoso.com/adfs/passwordReset"
}

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-12-05

Создание internalDomainFederation

Разрешения

HTTP-запрос

Заголовки запросов

Текст запроса

Значения federatedIdpMfaBehavior

Отклик

Примеры

Запрос

Отклик

Обратная связь

Дополнительные ресурсы