Összevonás SAML/WS-Fed identitásszolgáltatókkal

A következőkre vonatkozik:Munkaerő-bérlők Külső bérlők (további információ)

A Microsoft Entra-bérlő közvetlenül összevonható olyan külső szervezetekkel, amelyek SAML-t vagy WS-Fed identitásszolgáltatót (IdP) használnak. A külső szervezet felhasználói ezután az IdP által felügyelt fiókjukkal bejelentkezhetnek a bérlőbe anélkül, hogy új Microsoft Entra-hitelesítő adatokat kellene létrehozniuk. Az újonnan meghívott felhasználók esetében az SAML/WS-Fed idP-összevonás elsőbbséget élvez az elsődleges bejelentkezési módszerként. A rendszer átirányítja a felhasználót az identitásszolgáltatójához, amikor regisztrál vagy bejelentkezik az alkalmazásba, majd a sikeres bejelentkezés után visszakerül a Microsoft Entra szolgáltatásba.

Több tartományt is társíthat egyetlen összevonási konfigurációhoz. A partner tartománya lehet Microsoft Entra-ellenőrzött vagy nem ellenőrzött.

Az SAML/WS-Fed identitásszolgáltató összevonásának beállításához a bérlőben és a külső szervezet identitásszolgáltatójában is konfigurálva kell lennie. Bizonyos esetekben a partnernek frissítenie kell a DNS-szövegrekordjait. Emellett frissíteniük kell az identitásszolgáltatójukat a szükséges követelésekkel és a felhasználói megbízhatósági kapcsolatokkal.

Mikor hitelesítik a felhasználót SAML/WS-Fed idP-összevonással?

A federáció beállítása után a külső felhasználó bejelentkezési tapasztalata attól függ, hogy a bejelentkezési beállításokat hogyan konfigurálták, és hogy a partner tartománya a Microsoft Entra által ellenőrzött-e.

Összevonás ellenőrzött és nem ellenőrzött tartományokkal

Az SAML/WS-Fed idP-összevonást a következőkkel állíthatja be:

• nem ellenőrzött tartományok: Ezek a tartományok nem dns-ellenőrzés alatt vannak a Microsoft Entra-azonosítóban. A nem ellenőrzött tartományok esetében a külső szervezet felhasználói az összevont SAML/WS-Fed idP használatával lesznek hitelesítve.
• Microsoft Entra ID által ellenőrzött tartományok: Ezek a tartományok a Microsoft Entra-azonosítón belül lettek ellenőrizve, beleértve azokat a tartományokat is, ahol a bérlő rendszergazdai átvételi. Ellenőrzött tartományok esetén a Microsoft Entra ID az elsődleges identitásszolgáltató, amelyet a meghívás beváltásakor használnak. A B2B-együttműködéshez a vállalati bérlőben módosíthatja a beváltási sorrendet, hogy az összevont azonosításszolgáltató legyen az elsődleges módszer.

Kezeltlen (e-mail-alapú) bérlők federációja

Az SAML/WS-Fed identitásszolgáltatói összevonást olyan tartományokkal állíthatja be, amelyek nem dns-ellenőrzéssel szerepelnek a Microsoft Entra-azonosítóban, beleértve a nem felügyelt (e-mailes vagy "vírusos") Microsoft Entra-bérlőket is. Ezek a bérlők akkor jönnek létre, ha egy felhasználó bevált egy B2B-meghívót, vagy önkiszolgáló regisztrációt végez a Microsoft Entra-azonosítóra egy olyan tartomány használatával, amely jelenleg nem létezik.

Az összevonás hatása az aktuális külső felhasználókra

Az összevonás beállítása nem módosítja a hitelesítési módszert azon felhasználók esetében, akik már beváltottak egy meghívót. Például:

• Azok a felhasználók, akik az összevonás beállítása előtt beváltották a meghívókat, továbbra is az eredeti hitelesítési módszert használják. Például azok a felhasználók, akik egyszeri pin-kód-hitelesítéssel beváltották a meghívókat az összevonás beállítása előtt, továbbra is egyszeri pin-kódokat használnak.
• Azok a felhasználók, akik az összevont identitásszolgáltatóval beváltották a meghívókat, továbbra is ezt a módszert használják, még akkor is, ha szervezetük később a Microsoft Entra-ba költözik.
• Az SAML/WS-Fed azonosítót jelenleg használó felhasználók nem léphetnek be az összevonás törlésekor.

Nem kell új meghívókat küldenie a meglévő felhasználóknak, mert továbbra is az aktuális bejelentkezési módszert használják. A B2B-együttműködéshez azonban egy munkaterület bérlőjében alaphelyzetbe állíthatja a felhasználó visszaállítási állapotát. Amikor a felhasználó legközelebb hozzáfér az alkalmazáshoz, végrehajtja újra a beváltási lépéseket, és átvált a federációra. A beváltás megrendelési beállításai jelenleg nem támogatottak külső bérlőkben vagy felhőkben.

Bejelentkezési végpontok a munkaerő-bérlőkben

Ha a federáció be van állítva a munkaterületi bérlőben, az összevont szervezet felhasználói egy közös végpontot (vagyis egy általános alkalmazás URL-t, amely nem tartalmazza a bérlői környezetet) használhatnak a több-bérlős vagy a Microsoft elsődleges alkalmazásaiba való bejelentkezéshez. A bejelentkezési folyamat során a felhasználó kiválasztja bejelentkezési beállításokat, majd kiválasztja bejelentkezés szervezetbe. Beírják a szervezet nevét, és továbbra is a saját hitelesítő adataikkal jelentkeznek be.

AZ SAML/WS-Fed identitásszolgáltató összevonási felhasználói olyan alkalmazásvégpontokat is használhatnak, amelyek tartalmazzák a bérlő adatait, például:

• https://myapps.microsoft.com/?tenantid=<your tenant ID>
• https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
• https://portal.azure.com/<your tenant ID>

A felhasználóknak közvetlen hivatkozást is adhat egy alkalmazáshoz vagy erőforráshoz, ha hozzáadja a bérlői információkat, például https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>formában.

A szövetség létrehozásának szempontjai

A federáció beállítása magában foglalja a Microsoft Entra-bérlő és a külső szervezet identitásszolgáltatójának konfigurálását.

Partner IdP követelmények

A partner identitásszolgáltatójától függően előfordulhat, hogy a partnernek frissítenie kell a DNS-rekordjait, hogy lehetővé tegye az összevonást Önnel. Lásd 1. lépés: Annak meghatározása, hogy a partnernek frissítenie kell-e a DNS-szövegrekordjait.

A külső szövetségekhez a Microsoft Entra ID által küldött SAML-kérelem Kibocsátói URL-je mostantól bérlői végpont, míg korábban globális végpont volt. A globális végponttal rendelkező meglévő összevonások továbbra is működnek. Új összevonások esetén azonban állítsa a külső SAML vagy WS-Fed idP célközönségét egy bérlői végpontra. Lásd a szükséges attribútumokért és jogcímekért a SAML 2.0 szakasz-et és a WS-Fed szakasz-et.

Aláíró tanúsítvány lejárata

Ha megadja a metaadatok URL-címét az idP-beállításokban, a Microsoft Entra ID automatikusan megújítja az aláíró tanúsítványt, amikor lejár. Ha azonban a tanúsítvány a lejárati idő előtt bármilyen okból el van forgatva, vagy ha nem ad meg metaadat-URL-címet, a Microsoft Entra-azonosító nem tudja megújítani. Ebben az esetben manuálisan kell frissítenie az aláíró tanúsítványt.

Munkamenet lejárata

Ha a Microsoft Entra munkamenet lejár vagy érvénytelenné válik, és az összevont identitásszolgáltatónál engedélyezve van az egyszeri bejelentkezés, a felhasználó élvezheti az egyszeri bejelentkezést. Ha az összevont felhasználó munkamenete érvényes, a rendszer nem kéri újra a bejelentkezést. Ellenkező esetben a rendszer átirányítja a felhasználót az identitásszolgáltatójához a bejelentkezéshez.

Egyéb szempontok

Az alábbiakban további szempontokat is figyelembe kell venni az SAML/WS-Fed identitásszolgáltatóval való összevonáskor.

• A szövetség nem oldja meg a részlegesen szinkronizált bérlettel kapcsolatos bejelentkezési problémákat, amikor a partner helyszíni felhasználói identitásai nem szinkronizálódnak teljes mértékben a felhőben található Microsoft Entra szolgáltatásba. Ezek a felhasználók nem tudnak B2B-meghívóval bejelentkezni, ezért a e-mail egyszeri pin-kód funkciót kell használniuk. Az SAML/WS-Fed idP összevonási funkció olyan partnerek számára érhető el, akik saját, IdP által felügyelt szervezeti fiókokkal rendelkeznek, de nem rendelkeznek Microsoft Entra-jelenléttel.

• A szövetség nem helyettesíti a címtárban lévő B2B vendégfiókok szükségességét. A B2B-együttműködéssel egy vendégfiók jön létre a felhasználó számára a munkaerő-bérlői címtárban, függetlenül a használt hitelesítési vagy összevonási módszertől. Ez a felhasználói objektum lehetővé teszi az alkalmazásokhoz való hozzáférést, a szerepkörök hozzárendelését és a tagság megadását a biztonsági csoportokban.

• A Microsoft Entra SAML/WS-Fed összevonási funkció jelenleg nem támogatja az aláírt hitelesítési jogkivonat küldését az SAML-identitásszolgáltatónak.

SAML/WS-Fed IdP federáció konfigurálása

1. lépés: Annak meghatározása, hogy a partnernek frissítenie kell-e a DNS-szövegrekordjait

Az alábbi lépésekkel megállapíthatja, hogy a partnernek frissítenie kell-e a DNS-rekordjait az önnel való összevonás engedélyezéséhez.

1. Ellenőrizze a partner idP passzív hitelesítési URL-címét, és ellenőrizze, hogy a tartomány megfelel-e a céltartománynak vagy a céltartományon belüli gazdagépnek. Más szóval, ha összevonást állít be a következőhöz fabrikam.com:

   • Ha a passzív hitelesítési végpont vagy https://fabrikam.comhttps://sts.fabrikam.com/adfs (ugyanabban a tartományban lévő gazdagép), nincs szükség DNS-módosításokra.
   • Ha a passzív hitelesítési végpont vagy https://fabrikamconglomerate.com/adfshttps://fabrikam.co.uk/adfsa tartomány nem egyezik a fabrikam.com tartományával, a partnernek hozzá kell adnia egy szöveges rekordot a hitelesítési URL-címhez a DNS-konfigurációhoz.

2. Ha az előző lépés alapján DNS-módosításokra van szükség, kérje meg a partnert, hogy adjon hozzá egy TXT rekordot a tartomány DNS-rekordjaihoz, például az alábbi példában:

   fabrikam.com.  IN   TXT   DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs

2. lépés: A partnerszervezet identitásszolgáltatójának konfigurálása

Ezután a partnerszervezetnek konfigurálnia kell az identitásszolgáltatót a szükséges jogcímekkel és a függő entitások megbízhatóságával.

SAML 2.0-konfiguráció

A Microsoft Entra B2B konfigurálható úgy, hogy egyesítse az SAML protokollt használó azonosítókkal az ebben a szakaszban felsorolt konkrét követelményekkel. Az SAML-identitásszolgáltató és a Microsoft Entra-azonosító közötti megbízhatóság beállításáról további információt az SAML 2.0 identitásszolgáltató használata egyszeri bejelentkezéshez című témakörben talál.

Kötelező SAML 2.0-attribútumok és jogcímek

Az alábbi táblázatok a külső identitásszolgáltatónál konfigurálandó konkrét attribútumokra és jogcímekre vonatkozó követelményeket mutatják be. Az összevonás beállításához a következő attribútumokat kell megkapni az SAML 2.0 válaszában az idP-től. Ezek az attribútumok konfigurálhatók az online biztonsági jogkivonat szolgáltatás XML-fájljának csatolásával vagy manuálisan történő beírásával.

1. táblázat. Az saml 2.0 válaszhoz szükséges attribútumok az idP-ből.

2. táblázat. Az identitásszolgáltató által kibocsátott SAML 2.0-jogkivonathoz szükséges jogcímek.

WS-Fed konfiguráció

A Microsoft Entra B2B konfigurálható úgy, hogy összevonja a WS-Fed protokollt használó azonosítókkal. Ez a szakasz a követelményeket ismerteti. Jelenleg a Microsoft Entra ID-val való kompatibilitásra tesztelt két WS-Fed szolgáltató az AD FS és a Shibboleth. A WS-Fed-kompatibilis, Microsoft Entra-azonosítóval rendelkező szolgáltató közötti függő entitás megbízhatóságának létrehozásáról a Microsoft Entra identitásszolgáltató kompatibilitási dokumentációjában elérhető "STS integrációs dokumentum WS-protokollok használatával" című cikkben talál további információt.

Szükséges WS-Fed attribútumok és jogcímek

Az alábbi táblázatok a külső WS-Fed idP-n konfigurálni kívánt attribútumokra és jogcímekre vonatkozó követelményeket mutatják be. Az összevonás beállításához a következő attribútumokat kell megkapni a WS-Fed üzenetben az idP-től. Ezek az attribútumok konfigurálhatók az online biztonsági jogkivonat szolgáltatás XML-fájljának csatolásával vagy manuálisan történő beírásával.

3. táblázat Az idP WS-Fed üzenetében szereplő szükséges attribútumok.

4. táblázat. Az azonosításszolgáltató által kibocsátott WS-Fed tokenhez szükséges jogcímek.

3. lépés: SAML/WS-Fed idP-összevonás konfigurálása a Microsoft Entra külső azonosítójában

Ezután konfigurálja az összevonást a Microsoft Entra Külső azonosító 1. lépésében konfigurált identitásszolgáltatóval. Használhatja a Microsoft Entra felügyeleti központot vagy a Microsoft Graph API-t. Az összevonási szabályzat érvénybe lépése 5–10 percet is igénybe vehet. Ez idő alatt ne kíséreljen meg meghívót beváltani az összevonási tartományra. A következő attribútumokra van szükség:

• A partner identitásszolgáltatójának kiállítói URI-ja
• Partner idP passzív hitelesítési végpontja (csak a https támogatott)
• Tanúsítvány

Összevonás konfigurálása a Microsoft Entra felügyeleti központban

1. Jelentkezzen be a Microsoft Entra felügyeleti központba, mint legalább egy külső identitásszolgáltató-rendszergazda.

2. Ha több bérlőhöz is hozzáfér, használja a Beállítások ikont a felső menüben, és váltson a bérlőre a Címtárak menüből.

3. Tallózással keresse meg az >minden identitásszolgáltatót.

4. Válassza az Egyéni lap, majd az Új>SAML/WS-Fed hozzáadása lehetőséget.

   

5. Az Új SAML/WS-Fed idP lapon adja meg a következőket:

   • Megjelenítendő név – Adjon meg egy nevet a partner identitásszolgáltatójának azonosításához.
   • Identitásszolgáltatói protokoll – Válassza az SAML vagy a WS-Fed lehetőséget.
   • Az összevonási azonosító tartományneve – Adja meg a partner idP-céltartománynevét az összevonáshoz. A kezdeti konfiguráció során csak egy tartománynevet adjon meg. Később további tartományokat is hozzáadhat.

   

6. Válasszon egy metódust a metaadatok feltöltéséhez. Ha rendelkezik metaadatokat tartalmazó fájllal, automatikusan kitöltheti a mezőket a metaadat-elemzési fájl kiválasztásával és a fájl böngészésével. Vagy manuálisan is kiválaszthatja a Bemeneti metaadatokat , és megadhatja a következő adatokat:

   • A partner SAML-azonosítójának kiállítói URI-ja vagy a partner WS-Fed idP-jének entitásazonosítója .
   • A partner SAML-identitásszolgáltatójának passzív hitelesítési végpontja vagy a partner WS-Fed idP-jének passzív kérelmező végpontja .
   • Tanúsítvány – Az aláíró tanúsítvány azonosítója.
   • Metaadatok URL-címe – Az identitásszolgáltató metaadatainak helye az aláíró tanúsítvány automatikus megújításához.

   

   Feljegyzés

   A metaadatok URL-címe nem kötelező. Azonban erősen ajánljuk. Ha megadja a metaadatok URL-címét, a Microsoft Entra-azonosító automatikusan megújíthatja az aláíró tanúsítványt, amikor lejár. Ha a tanúsítvány a lejárati idő előtt bármilyen okból el van forgatva, vagy ha nem ad meg metaadat-URL-címet, a Microsoft Entra-azonosító nem tudja megújítani. Ebben az esetben manuálisan kell frissítenie az aláíró tanúsítványt.

7. Válassza a Mentés lehetőséget. Az identitásszolgáltató hozzá lesz adva az SAML/WS-Fed identitásszolgáltatók listájához.

   

8. (Nem kötelező) További tartománynevek hozzáadása ehhez az összevont identitásszolgáltatóhoz:

   1. Válassza ki a hivatkozást a Tartományok oszlopban.

      

   2. Az összevont identitásszolgáltató tartományneve mellett írja be a tartománynevet, majd válassza a Hozzáadás lehetőséget. Ismételje meg a műveletet minden hozzáadni kívánt tartomány esetében. Ha elkészült, válassza a Kész lehetőséget.

      

Összevonás konfigurálása a Microsoft Graph API használatával

A Microsoft Graph API samlOrWsFedExternalDomainFederation erőforrástípusával összevonást állíthat be egy olyan identitásszolgáltatóval, amely támogatja az SAML vagy a WS-Fed protokollt.

Visszaváltási sorrend konfigurálása (B2B-együttműködés a munkaerő-bérlőkben)

Ha a vállalati bérlőben konfigurálja a federációt B2B-együttműködéshez egy ellenőrzött tartománnyal, győződjön meg arról, hogy a szövetséges identitásszolgáltatót használja először a meghívás elfogadásakor. Konfigurálja a visszaváltási rendelés beállításait, a bérlők közötti hozzáférési beállításokban a bejövő B2B-együttműködéshez. Helyezze át az SAML/WS-Fed identitásszolgáltatókat az elsődleges identitásszolgáltatók listájának elejére, hogy rangsorolja a beváltást az összevont identitásszolgáltatóval. Az ellenőrzött tartományhoz való B2B-együttműködéshez tegye a federált identitásszolgáltatót az elsődleges identitásszolgáltatóvá a meghívások beváltásához. az egyéb identitásszolgáltatókkal szemben a meghívás beváltásakor.

Az összevonás beállítását egy új B2B-vendégfelhasználó meghívásával tesztelheti. További részletekért lásd : Microsoft Entra B2B együttműködési felhasználók hozzáadása a Microsoft Entra felügyeleti központban.

Hogyan frissíteni a tanúsítvány vagy a konfiguráció részleteit?

A Minden identitásszolgáltató lapon megtekintheti a konfigurált SAML/WS-Fed identitásszolgáltatók listáját és a tanúsítvány lejárati dátumát. Ezen a listán megújíthatja a tanúsítványokat, és módosíthatja a konfiguráció egyéb részleteit.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba, mint legalább egy külső identitásszolgáltató-rendszergazda.

2. Tallózással keresse meg az >minden identitásszolgáltatót.

3. Válassza az Egyéni lapfület.

4. Görgessen egy identitásszolgáltatóhoz a listában, vagy használja a keresőmezőt.

5. A tanúsítvány frissítése vagy a konfiguráció részleteinek módosítása:

   • Az identitásszolgáltató Konfiguráció oszlopában válassza a Szerkesztés hivatkozást.
   • A konfigurációs lapon módosítsa az alábbi részleteket:
     • Megjelenítendő név – A partner szervezetének megjelenítendő neve.
     • Identitásszolgáltatói protokoll – Válassza az SAML vagy a WS-Fed lehetőséget.
     • Passzív hitelesítési végpont – A partner idP passzív kérelmező végpontja.
     • Tanúsítvány – Az aláíró tanúsítvány azonosítója. A megújításhoz adjon meg egy új tanúsítványazonosítót.
     • Metaadatok URL-címe – A partner metaadatait tartalmazó URL-cím, amely az aláíró tanúsítvány automatikus megújításához használatos.
   • Válassza a Mentés lehetőséget.

   

6. A partnerhez társított tartományok szerkesztéséhez jelölje ki a hivatkozást a Tartományok oszlopban. A tartomány részletei panelen:

   • Tartomány hozzáadásához írja be az összevont identitásszolgáltató tartományneve melletti tartománynevet, majd válassza a Hozzáadás lehetőséget. Ismételje meg a műveletet minden hozzáadni kívánt tartomány esetében.
   • Tartomány törléséhez válassza a tartomány melletti törlés ikont.
   • Ha elkészült, válassza a Kész lehetőséget.

   

   Feljegyzés

   A partnerrel való összevonás eltávolításához először törölje az összes tartományt, kivéve egyet, majd kövesse a következő szakaszlépéseit.

Hogyan az összevonást?

Eltávolíthatja az összevonási konfigurációt. Ha igen, azok a federációs vendégfelhasználók, akik már beváltották meghívóikat, többé nem jelentkezhetnek be. A visszaváltási állapot visszaállításával azonban ismét hozzáférést adhat nekik az erőforrásokhoz. IdP-konfiguráció eltávolítása a Microsoft Entra felügyeleti központban:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba, mint legalább egy külső identitásszolgáltató-rendszergazda.

2. Tallózással keresse meg az >minden identitásszolgáltatót.

3. Válassza az Egyéni lapot, majd görgessen a lista identitásszolgáltatója felé, vagy használja a keresőmezőt.

4. A Tartomány oszlopban található hivatkozásra kattintva megtekintheti az identitásszolgáltató tartományadatait.

5. Törölje az összes tartományt a Tartománynév listában.

6. Válassza a Konfiguráció törlése, majd a Kész elemet.

   

7. A törlés megerősítéséhez válassza az OK gombot .

Az összevonást a Microsoft Graph API samlOrWsFedExternalDomainFederation erőforrástípusával is eltávolíthatja.

Következő lépések

További információ a meghívó beváltásáról, amikor külső felhasználók jelentkeznek be különböző identitásszolgáltatókkal.