SAML/WS-Fed kimlik sağlayıcılarıyla federasyon

Şunlar için geçerlidir: İş gücü kiracılarıDış kiracılar (daha fazla bilgi edinin)

Microsoft Entra kiracınız doğrudan SAML veya WS-Fed kimlik sağlayıcısı (IdP) kullanan dış kuruluşlarla birleştirilebilir. Dış kuruluştaki kullanıcılar, yeni Microsoft Entra kimlik bilgileri oluşturmak zorunda kalmadan kiracınızda oturum açmak için IdP ile yönetilen hesabını kullanabilir. Yeni davet edilen kullanıcılar için SAML/WS-Fed IdP federasyonu birincil oturum açma yöntemi olarak önceliklidir. Kullanıcı, uygulamanıza kaydolduğunda veya uygulamada oturum açarken IdP'sine yönlendirilir ve başarılı bir şekilde oturum açtıktan sonra Microsoft Entra'ya geri döner.

Birden çok etki alanını tek bir federasyon yapılandırmasıyla ilişkilendirebilirsiniz. İş ortağının etki alanı Microsoft Entra tarafından doğrulanmış veya doğrulanmamış olabilir.

SAML/WS-Fed IdP federasyonunun ayarlanması hem kiracınızda hem de dış kuruluşun IdP'sinde yapılandırma gerektirir. Bazı durumlarda iş ortağının DNS metin kayıtlarını güncelleştirmesi gerekir. Ayrıca IdP'lerini gerekli talepler ve bağlı olan taraf güvenleriyle güncelleştirmeleri gerekir.

Kullanıcının kimliği saml/WS-Fed IdP federasyonu ile ne zaman doğrulanır?

Federasyonu ayarladıktan sonra, dış kullanıcının oturum açma deneyimi oturum açma ayarlarınıza ve iş ortağının etki alanının Microsoft Entra doğrulanmış olup olmadığına bağlıdır.

Doğrulanmış ve doğrulanmamış etki alanlarıyla federasyon

SAML/WS-Fed IdP federasyonu kurabilirsiniz:

• Doğrulanmamış etki alanları: Bu etki alanları Microsoft Entra Id'de DNS tarafından doğrulanmamıştır. Doğrulanmamış etki alanları için, dış kuruluştan kullanıcıların kimliği federe SAML/WS-Fed IdP kullanılarak doğrulanır.
• Microsoft Entra ID doğrulanmış etki alanları: Bu etki alanları, kiracının yönetici devralma geçirdiği etki alanları da dahil olmak üzere Microsoft Entra Id içinde doğrulanmıştır. Doğrulanmış etki alanları için Microsoft Entra ID, davetin kabul edilmesi sırasında kullanılan birincil kimlik sağlayıcısıdır. bir iş gücü kiracısında B2B işbirliği için, federasyon IdP'sini birincil yöntem yapmak için kullanım sırası değiştirebilirsiniz.

Yönetilmeyen (e-postayla doğrulanmış) kiracılarla federasyon

Microsoft Entra ID'de, yönetilmeyen (e-postayla doğrulanmış veya "viral") Microsoft Entra kiracılarının dahil olduğu, DNS ile doğrulanmamış etki alanlarıyla SAML/WS-Fed IdP federasyonu ayarlayabilirsiniz. Bu kiracılar, kullanıcı bir B2B daveti kullandığında veya şu anda mevcut olmayan bir etki alanını kullanarak Microsoft Entra Id için self servis kayıt gerçekleştirdiğinde oluşturulur.

Mevcut dış kullanıcıları federasyon nasıl etkiler?

Federasyonun ayarlanması, daveti daha önceden kabul eden kullanıcılar için kimlik doğrulama yöntemini değiştirmez. Örneğin:

• Federasyon kurulumundan önce davetleri kullanan kullanıcılar özgün kimlik doğrulama yöntemlerini kullanmaya devam eder. Örneğin, federasyonu ayarlamadan önce davetleri tek kullanımlık kod kimlik doğrulamasıyla kabul eden kullanıcılar, tek kullanımlık kodları kullanmaya devam eder.
• Federasyon IdP'si ile davetleri kullanan kullanıcılar, daha sonra kuruluşu Microsoft Entra'ya geçse bile bu yöntemi kullanmaya devam eder.
• Şu anda SAML/WS-Fed IdP kullanan kullanıcıların federasyon silinirse oturum açması engellenir.

Mevcut oturum açma yöntemlerini kullanmaya devam ettikleri için mevcut kullanıcılara yeni davetler göndermeniz gerekmez. Ancak iş gücü kiracısındaki B2B işbirliği için bir kullanıcının hak kullanım durumunusıfırlayabilirsiniz. Kullanıcı uygulamanıza bir sonraki girişinde, indirim/yararlanma adımlarını tekrarlar ve federasyona geçer. Şu anda, iade sırası ayarları dış kiracılarda veya bulutlar arasında desteklenmemektedir.

İş gücü kiracılarında oturum açma uç noktaları

İş gücü kiracınızda federasyon ayarlandığında, federasyon kuruluşundaki kullanıcılar ortak uç nokta (diğer bir deyişle kiracı bağlamınızı içermeyen genel bir uygulama URL'si) kullanarak çok kiracılı veya Microsoft birinci taraf uygulamalarınızda oturum açabilir. Oturum açma işlemi sırasında, kullanıcı oturum açma seçenekleriniseçer ve ardından bir kuruluşa oturum aç seçeneğiniişaretler. Kuruluşunuzun adını yazar ve kendi kimlik bilgilerini kullanarak oturum açmaya devam eder.

SAML/WS-Fed IdP federasyon kullanıcıları, kiracı bilgilerinizi içeren uygulama uç noktalarını da kullanabilir, örneğin:

• https://myapps.microsoft.com/?tenantid=<your tenant ID>
• https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
• https://portal.azure.com/<your tenant ID>

Ayrıca, kiracı bilgilerinizi (örneğin https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>) ekleyerek kullanıcılara bir uygulama veya kaynağa doğrudan bağlantı verebilirsiniz.

Federasyonu ayarlamayla ilgili dikkat edilmesi gerekenler

Federasyonu ayarlamak hem Microsoft Entra kiracınızı hem de dış kuruluşun IdP'sini yapılandırmayı içerir.

İş Ortağı IdP gereksinimleri

İş ortağının IdP'sine bağlı olarak, iş ortağının sizinle federasyonu etkinleştirmek için DNS kayıtlarını güncelleştirmesi gerekebilir. Bkz. Adım 1: İş ortağının dns metin kayıtlarınıgüncelleştirmesi gerekip gerekmediğini belirleme.

Dış federasyonlar için Microsoft Entra ID tarafından gönderilen SAML isteğindeki Veren URL'si, daha önce genel bir uç noktayken, artık kiracıya özgü bir uç noktaya dönüştü. Genel uç noktaya sahip mevcut federasyonlar çalışmaya devam eder. Ancak yeni federasyonlar için dış SAML veya WS-Fed IdP hedef kitlesini kiracılı bir uç noktaya ayarlayın. Gerekli öznitelikler ve talepler için SAML 2.0 bölümüne ve WS-Fed bölümüne bakın.

İmzalama sertifikası süresinin dolması

IdP ayarlarında meta veri URL'sini belirtirseniz, Microsoft Entra Id süresi dolduğunda imzalama sertifikasını otomatik olarak yeniler. Ancak, sertifika süre sonu tarihinden önce herhangi bir nedenle döndürülürse veya meta veri URL'si sağlamazsanız, Microsoft Entra Kimliği sertifikayı yenileyemez. Bu durumda, imzalama sertifikasını el ile güncelleştirmeniz gerekir.

Oturum süre sonu

Microsoft Entra oturumunun süresi dolarsa veya geçersiz olursa ve federasyon IdP'sinde SSO etkinse, kullanıcı SSO deneyimi yaşar. Federasyon kullanıcısının oturumu geçerliyse, kullanıcıdan yeniden oturum açması istenmez. Aksi takdirde, kullanıcı oturum açmak için IdP'sine yönlendirilir.

Dikkat edilmesi gereken diğer noktalar

SamL/WS-Fed kimlik sağlayıcısıyla federasyon yaparken dikkat edilmesi gereken diğer noktalar aşağıda belirtilmiştir.

• Federasyon, bir iş ortağının şirket içi kullanıcı kimliklerinin buluttaki Microsoft Entra ile tam olarak senkronize edilmediği, bu sebeple ortaya çıkan oturum açma sorunlarını çözmez. Bu kullanıcılar B2B davetiyle oturum açamaz, bu nedenle bunun yerine tek seferlik e-posta geçiş kodu özelliğini kullanmaları gerekir. SAML/WS-Fed IdP federasyon özelliği, kendi IdP tarafından yönetilen kuruluş hesaplarına sahip ancak Microsoft Entra iletişim durumu olmayan iş ortaklarına yöneliktir.

• Federasyon, dizininizdeki B2B konuk hesapları gereksiniminin yerini almaz. B2B işbirliğiyle, kullanılan kimlik doğrulaması veya federasyon yöntemi ne olursa olsun iş gücü kiracı dizininizdeki kullanıcı için bir konuk hesabı oluşturulur. Bu kullanıcı nesnesi uygulamalara erişim vermenizi, rol atamanızı ve güvenlik gruplarında üyelik tanımlamanızı sağlar.

• Şu anda Microsoft Entra SAML/WS-Fed federasyon özelliği SAML kimlik sağlayıcısına imzalı kimlik doğrulama belirteci göndermeyi desteklememektedir.

SAML/WS-Fed IdP federasyonunu yapılandırın.

1. Adım: İş ortağının DNS metin kayıtlarını güncelleştirmesi gerekip gerekmediğini belirleme

İş ortağının sizinle federasyonu etkinleştirmek için DNS kayıtlarını güncelleştirmesinin gerekip gerekmediğini belirlemek için aşağıdaki adımları kullanın.

1. Etki alanının hedef etki alanıyla mı yoksa hedef etki alanındaki bir konakla mı eşleşip eşleşmediğini görmek için iş ortağının IdP pasif kimlik doğrulama URL'sini denetleyin. Başka bir deyişle, için fabrikam.comfederasyon ayarlanırken:

   • Pasif kimlik doğrulama uç noktası https://fabrikam.com veya https://sts.fabrikam.com/adfs (aynı etki alanındaki bir konak) ise, DNS değişikliği gerekmez.
   • Pasif kimlik doğrulama uç noktası veya https://fabrikamconglomerate.com/adfsisehttps://fabrikam.co.uk/adfs, etki alanı fabrikam.com etki alanıyla eşleşmiyorsa, iş ortağının dns yapılandırmasına kimlik doğrulama URL'si için bir metin kaydı eklemesi gerekir.

2. Önceki adıma göre DNS değişiklikleri gerekiyorsa, aşağıdaki örnekte olduğu gibi iş ortağından etki alanının DNS kayıtlarına bir TXT kaydı eklemesini isteyin:

   fabrikam.com.  IN   TXT   DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs

2. Adım: İş ortağı kuruluşun IdP'sini yapılandırma

Ardından, iş ortağı kuruluşunuzun IdP'sini gerekli talepler ve bağlı olan taraf güvenleriyle yapılandırması gerekir.

SAML 2.0 yapılandırması

Microsoft Entra B2B, bu bölümde listelenen belirli gereksinimlerle SAML protokolunu kullanan IdP'ler ile federasyon oluşturacak şekilde yapılandırılabilir. SAML IdP'niz ile Microsoft Entra Kimliği arasında güven ayarlama hakkında daha fazla bilgi için bkz . SSO için SAML 2.0 Kimlik Sağlayıcısı (IdP) kullanma.

Gerekli SAML 2.0 öznitelikleri ve talepleri

Aşağıdaki tablolarda, üçüncü taraf IdP'de yapılandırılması gereken belirli öznitelikler ve talepler için gereksinimler gösterilmektedir. Federasyonu ayarlamak için, IDP'den SAML 2.0 yanıtında aşağıdaki özniteliklerin alınması gerekir. Bu öznitelikler, çevrimiçi güvenlik belirteci hizmeti XML dosyasına bağlanarak veya el ile girilerek yapılandırılabilir.

Tablo 1. IdP'den SAML 2.0 yanıtı için gerekli öznitelikler.

Tablo 2. IdP tarafından verilen SAML 2.0 belirteci için gerekli talepler.

WS-Fed yapılandırması

Microsoft Entra B2B, WS-Fed protokolunu kullanan IdP'lerle federasyon oluşturacak şekilde yapılandırılabilir. Bu bölümde gereksinimler ele alınmaktadır. Şu anda, Microsoft Entra ID ile uyumluluk testi yapılmış olan iki WS-Fed sağlayıcısı AD FS ve Shibboleth'tir. Microsoft Entra ID ile WS-Fed uyumlu sağlayıcı arasında bağlı taraf güveni oluşturma hakkında daha fazla bilgi için, Microsoft Entra kimlik Sağlayıcısı Uyumluluk Belgeleri'nde bulunan "WS Protokollerini Kullanan STS Tümleştirme Belgesi" bölümüne bakın.

Gerekli WS-Fed öznitelikleri ve talepleri

Aşağıdaki tablolarda, üçüncü taraf WS-Fed IdP'sinde yapılandırılması gereken belirli öznitelikler ve talepler için gereksinimler gösterilmektedir. Federasyonu ayarlamak için WS-Fed iletisinde IdP'den aşağıdaki özniteliklerin alınması gerekir. Bu öznitelikler, çevrimiçi güvenlik belirteci hizmeti XML dosyasına bağlanarak veya el ile girilerek yapılandırılabilir.

Tablo 3. IdP'den gelen WS-Fed iletisinde gerekli öznitelikler.

Tablo 4. IdP tarafından verilen WS-Fed belirteci için gerekli talepler.

3. Adım: Microsoft Entra Dış Kimliği'nde SAML/WS-Fed IdP federasyonu yapılandırma

Ardından, Microsoft Entra Harici Kimlik'te 1. adımda yapılandırılan IdP ile federasyonu ayarlayın. Microsoft Entra yönetim merkezini veya Microsoft Graph API'sini kullanabilirsiniz. Federasyon ilkesinin geçerlilik kazanması 5-10 dakika sürebilir. Bu süre boyunca, federasyon etki alanı için daveti kullanmaya çalışma. Aşağıdaki öznitelikler gereklidir:

• İş ortağının IdP'sinin veren URI'si
• İş ortağı IdP'sinin pasif kimlik doğrulama uç noktası (yalnızca https desteklenir)
• Sertifika

Microsoft Entra yönetim merkezinde federasyonu yapılandırmak için

1. Microsoft Entra yönetim merkezinde en az Dış Kimlik Sağlayıcısı Yöneticisiolarak oturum açın.

2. Birden çok kiracıya erişiminiz varsa üst menüdeki Ayarlar simgesini kullanın ve Dizinleri menüsünden kiracınıza geçin.

3. Kimlik> göz atın.

4. Özel sekmesini ve ardından Yeni>.

   

5. Yeni SAML/WS-Fed IdP sayfasında aşağıdakileri girin:

   • Görünen ad - İş ortağının IdP'sini tanımlamanıza yardımcı olacak bir ad girin.
   • Kimlik sağlayıcısı protokolü - SAML veya WS-Fed'i seçin.
   • Federasyon IdP'sinin etki alanı adı - Federasyon için iş ortağınızın IdP hedef etki alanı adını girin. Bu ilk yapılandırma sırasında yalnızca bir etki alanı adı girin. Daha sonra daha fazla etki alanı ekleyebilirsiniz.

   

6. Meta verileri doldurma yöntemi seçin. Meta verileri içeren bir dosyanız varsa, Meta veri dosyasını ayrıştır'ı seçip dosyaya göz atarak alanları otomatik olarak doldurabilirsiniz. Alternatif olarak, Giriş meta verilerini el ile seçip aşağıdaki bilgileri girebilirsiniz:

   • İş ortağının SAML IdP'sinin Veren URI'si veya iş ortağının WS-Fed IdP'sinin Varlık Kimliği .
   • İş ortağının SAML IdP'sinin Pasif kimlik doğrulama uç noktası veya iş ortağının WS-Fed IdP'sinin Pasif istekte bulunan uç noktası .
   • Sertifika - İmzalama sertifikası kimliği.
   • Meta Veri URL'si - İmzalama sertifikasının otomatik olarak yenilenmesi için IdP'nin meta verilerinin konumu.

   

   Not

   Meta veri URL'si isteğe bağlıdır. Ancak bunu kesinlikle öneririz. Meta veri URL'sini sağlarsanız, Microsoft Entra Id süresi dolduğunda imzalama sertifikasını otomatik olarak yenileyebilir. Sertifika süre sonu tarihinden önce herhangi bir nedenle döndürülürse veya meta veri URL'si sağlamazsanız, Microsoft Entra Kimliği sertifikayı yenileyemez. Bu durumda, imzalama sertifikasını el ile güncelleştirmeniz gerekir.

7. Kaydet'i seçin. Kimlik sağlayıcısı SAML/WS-Fed kimlik sağlayıcıları listesine eklenir.

   

8. (İsteğe bağlı) Bu federasyon kimlik sağlayıcısına daha fazla etki alanı adı eklemek için:

   1. Etki Alanları sütununda bağlantıyı seçin.

      

   2. Federasyon IdP'sinin etki alanı adı'nın yanına etki alanı adını yazın ve Ekle'yi seçin. Eklemek istediğiniz her etki alanı için bu işlemi yineleyin. İşiniz bittiğinde Bitti'yi seçin.

      

Microsoft Graph API'sini kullanarak federasyonu yapılandırmak için

SamlOrWsFedExternalDomainFederation kaynak türünü kullanarak SAML veya WS-Fed protokollerini destekleyen bir kimlik sağlayıcısıyla federasyon ayarlayabilirsiniz.

Geri alma sırasını yapılandırma (iş gücü kiracılarında B2B işbirliği)

İş gücü kiracınızda doğrulanmış bir etki alanıyla B2B işbirliği için federasyonu yapılandırıyorsanız, davet kullanım sırasında ilk olarak federasyon IdP'sinin kullanıldığından emin olun. Gelen B2B işbirliği için kiracılar arası erişim ayarlarında Kullanım siparişi ayarlarını yapılandırın. Federasyon IdP'si ile kullanım önceliğini ayarlamak için SAML/WS-Fed kimlik sağlayıcılarını Birincil kimlik sağlayıcıları listesinin en üstüne taşıyın. Doğrulanmış bir etki alanıyla B2B işbirliği için federasyon IdP'sini davet kullanım için birincil kimlik sağlayıcısı yapın. davet kullanım sırasında diğer kimlik sağlayıcıları üzerinden.

Yeni bir B2B konuk kullanıcı davet ederek federasyon kurulumunuzu test edebilirsiniz. Ayrıntılar için bkz . Microsoft Entra yönetim merkezinde Microsoft Entra B2B işbirliği kullanıcıları ekleme.

Sertifika veya yapılandırma ayrıntıları Nasıl yaparım? güncelleştirildi?

Tüm kimlik sağlayıcıları sayfasında, yapılandırılan SAML/WS-Fed kimlik sağlayıcılarının listesini ve sertifika süre sonu tarihlerini görüntüleyebilirsiniz. Bu listeden sertifikaları yenileyebilir ve diğer yapılandırma ayrıntılarını değiştirebilirsiniz.

1. Microsoft Entra yönetim merkezinde en az Dış Kimlik Sağlayıcısı Yöneticisiolarak oturum açın.

2. Kimlik> göz atın.

3. Özel sekmesini seçin.

4. Listede bir kimlik sağlayıcısına gidin veya arama kutusunu kullanın.

5. Sertifikayı güncelleştirmek veya yapılandırma ayrıntılarını değiştirmek için:

   • Kimlik sağlayıcısının Yapılandırma sütununda Düzenle bağlantısını seçin.
   • Yapılandırma sayfasında, aşağıdaki ayrıntılardan herhangi birini değiştirin:
     • Görünen ad - İş ortağının kuruluşunun görünen adı.
     • Kimlik sağlayıcısı protokolü - SAML veya WS-Fed'i seçin.
     • Pasif kimlik doğrulama uç noktası - İş ortağı IdP'sinin pasif istek sahibi uç noktası.
     • Sertifika - İmzalama sertifikasının kimliği. Yenilemek için yeni bir sertifika kimliği girin.
     • Meta Veri URL'si - İmzalama sertifikasının otomatik olarak yenilenmesi için kullanılan iş ortağının meta verilerini içeren URL.
   • Kaydet'i seçin.

   

6. İş ortağıyla ilişkili etki alanlarını düzenlemek için Etki Alanları sütunundaki bağlantıyı seçin. Etki alanı ayrıntıları bölmesinde:

   • Etki alanı eklemek için, Federasyon IdP'sinin Etki alanı adı'nın yanına etki alanı adını yazın ve Ekle'yi seçin. Eklemek istediğiniz her etki alanı için bu işlemi yineleyin.
   • Bir etki alanını silmek için etki alanının yanındaki sil simgesini seçin.
   • İşiniz bittiğinde Bitti'yi seçin.

   

   Not

   Bir iş ortağıyla federasyonu kaldırmak için, önce biri dışındaki tüm etki alanlarını silin ve ardından sonrakibölümündeki adımları izleyin.

Federasyon Nasıl yaparım? kaldırılsın mı?

Federasyon yapılandırmanızı kaldırabilirsiniz. Bunu yaparsanız, davetlerini kullanan federasyon konuk kullanıcıları artık oturum açamaz. Ancak kullanım durumlarını sıfırlayarak kaynaklarınıza yeniden erişim verebilirsiniz. Microsoft Entra yönetim merkezinde bir IdP yapılandırmasını kaldırmak için:

1. Microsoft Entra yönetim merkezinde en az Dış Kimlik Sağlayıcısı Yöneticisiolarak oturum açın.

2. Kimlik> göz atın.

3. Özel sekmesini seçin ve listeden kimlik sağlayıcısına gidin veya arama kutusunu kullanın.

4. IdP'nin etki alanı ayrıntılarını görüntülemek için Etki Alanları sütunundaki bağlantıyı seçin.

5. Etki alanı adı listesindeki etki alanlarından biri dışında tümünü silin.

6. Yapılandırmayı Sil'i ve ardından Bitti'yi seçin.

   

7. Silme işlemini onaylamak için Tamam'ı seçin.

Microsoft Graph API samlOrWsFedExternalDomainFederation kaynak türünü kullanarak da federasyonu kaldırabilirsiniz.

Sonraki adımlar

Dış kullanıcılar çeşitli kimlik sağlayıcılarıyla oturum açarken davet kullanım deneyimi hakkında daha fazla bilgi edinin.