Federace s využitím zprostředkovatelů identit SAML/WS-Fed pro uživatele typu host

Poznámka

  • Přímá federace v Azure Active Directory se teď označuje jako federace zprostředkovatele identity SAML/WS-Fed.

Tento článek popisuje, jak nastavit federaci s jakoukoli organizací, jejíž zprostředkovatel identity (IdP) podporuje protokol SAML 2.0 nebo WS-Fed. Když nastavíte federaci pomocí zprostředkovatele identity partnera, můžou se noví uživatelé typu host z této domény přihlásit k vašemu tenantovi Azure AD a začít s vámi spolupracovat pomocí vlastního účtu organizace spravovaného zprostředkovatele identity. Uživatel typu host nemusí vytvářet samostatný účet Azure AD.

Důležité

  • Pro nové federace zprostředkovatele identity SAML/WS-Fed už nepodporujeme seznam povolených zprostředkovatele identity. Při nastavování nové externí federace si přečtěte krok 1: Určení, jestli partner potřebuje aktualizovat svoje textové záznamy DNS.
  • V požadavku SAML odeslaném Azure AD pro externí federace je adresa URL vystavitele koncový bod tenanta. U všech nových federací doporučujeme, aby všichni naši partneři nastavili cílovou skupinu zprostředkovatele identity založeného na SAML nebo WS-Fed na tenanta. Projděte si následující části požadovaných atributů a deklarací identity SAML 2.0 a WS-Fed . Všechny existující federace nakonfigurované s globálním koncovým bodem budou dál fungovat, ale nové federace přestanou fungovat, pokud váš externí zprostředkovatel identity očekává v požadavku SAML adresu URL globálního vystavitele.
  • Odebrali jsme omezení jedné domény. K individuální konfiguraci federace teď můžete přidružit více domén.
  • Odebrali jsme omezení, které vyžadovalo, aby doména adresy URL ověřování odpovídala cílové doméně nebo byla od povoleného zprostředkovatele identity. Podrobnosti najdete v tématu Krok 1: Určení, jestli partner potřebuje aktualizovat svoje textové záznamy DNS.

Kdy je uživatel typu host ověřený pomocí federace IDP SAML/WS-Fed?

Jakmile nastavíte federaci pomocí zprostředkovatele identity SAML/WS-Fed organizace, budou všichni noví uživatelé typu host, které pozvete, ověřeni pomocí zprostředkovatele identity SAML/WS-Fed. Je důležité si uvědomit, že nastavení federace nezmění metodu ověřování pro uživatele typu host, kteří už od vás uplatnili pozvánku. Tady je několik příkladů:

  • Pokud už od vás uživatelé typu host uplatnili pozvánky a vy následně nastavíte federaci s idp SAML/WS-Fed organizace, budou tito uživatelé typu host dál používat stejnou metodu ověřování, kterou použili před nastavením federace.
  • Pokud nastavíte federaci s idp SAML/WS-Fed organizace a pozvete uživatele typu host a partnerská organizace se později přesune do Azure AD, budou uživatelé typu host, kteří už uplatnili pozvánky, dál používat federované idp SAML/WS-Fed, dokud budou existovat zásady federace ve vašem tenantovi.
  • Pokud odstraníte federaci pomocí zprostředkovatele identity SAML/WS-Fed organizace, nebudou se moct přihlásit všichni uživatelé typu host, kteří aktuálně používají zprostředkovatele identity SAML/WS-Fed.

V každém z těchto scénářů můžete aktualizovat metodu ověřování uživatele typu host resetováním stavu uplatnění.

Federace IDP SAML/WS-Fed je svázaná s obory názvů domény, jako jsou contoso.com a fabrikam.com. Při vytváření federace se službou AD FS nebo zprostředkovatele identity třetí strany přidružují organizace k těmto zprostředkovatele identity jeden nebo více oborů názvů domény.

Prostředí koncového uživatele

S federací zprostředkovatele identity SAML/WS-Fed se uživatelé typu host přihlašují k vašemu tenantovi Azure AD pomocí vlastního účtu organizace. Když uživatelé přistupují ke sdíleným prostředkům a jsou vyzváni k přihlášení, přesměrují se na svého zprostředkovatele identity. Po úspěšném přihlášení se uživatelé vrátí do Azure AD pro přístup k prostředkům. Jejich obnovovací tokeny jsou platné 12 hodin, což je výchozí délka předávacího obnovovacího tokenu v Azure AD. Pokud má federovaný zprostředkovatele identity povolené jednotné přihlašování, uživatel uvidí jednotné přihlašování a po počátečním ověření se nezobrazí žádná výzva k přihlášení.

Koncové body přihlašování

Uživatelé typu host federace SAML/WS-Fed IdP se teď můžou přihlásit k vašim aplikacím s více tenanty nebo aplikacím Microsoftu pomocí společného koncového bodu (jinými slovy obecné adresy URL aplikace, která neobsahuje kontext vašeho tenanta). Během procesu přihlašování uživatel typu host zvolí možnosti přihlášení a pak vybere Přihlásit se k organizaci. Uživatel pak zadá název vaší organizace a dál se přihlašuje pomocí svých vlastních přihlašovacích údajů.

Uživatelé typu host federace SAML/WS-Fed IdP můžou také používat koncové body aplikace, které obsahují informace o vašem tenantovi, například:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

Uživatelům typu host můžete také poskytnout přímý odkaz na aplikaci nebo prostředek zahrnutím informací o tenantovi, například https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Nejčastější dotazy

Můžu nastavit federaci zprostředkovatele identity SAML/WS-Fed s Azure AD ověřenými doménami?

Ne, blokujeme federaci zprostředkovatele identity SAML/WS-Fed pro Azure AD ověřené domény ve prospěch nativních možností Azure AD spravovaných domén. Pokud se pokusíte nastavit federaci zprostředkovatele identity SAML/WS-Fed s doménou ověřenou DNS v Azure AD, zobrazí se chyba.

Můžu nastavit federaci zprostředkovatele identity SAML/WS-Fed s doménou, pro kterou existuje nespravovaný tenant (ověřený e-mailem)?

Ano, můžete nastavit federaci IDP SAML/WS-Fed s doménami, které nejsou v Azure AD ověřené DNS, včetně nespravovaných (ověřených e-mailem nebo "virálních") tenantů Azure AD. Tito tenanti se vytvoří, když uživatel uplatní pozvánku B2B nebo provede samoobslužnou registraci pro Azure AD pomocí domény, která aktuálně neexistuje. Pokud doména nebyla ověřena a tenant neprošel převzetím správcem, můžete s danou doménou nastavit federaci.

Kolik federačních vztahů můžu vytvořit?

V současné době se podporuje maximálně 1 000 federačních vztahů. Tento limit zahrnuje interní federace i federace zprostředkovatele identity SAML/WS-Fed.

Můžu nastavit federaci s více doménami ze stejného tenanta?

Ano, teď podporujeme federaci zprostředkovatele identity SAML/WS-Fed s více doménami ze stejného tenanta.

Musím podpisový certifikát obnovit, až vyprší jeho platnost?

Pokud v nastavení zprostředkovatele identity zadáte adresu URL metadat, Azure AD automaticky obnoví podpisový certifikát, jakmile vyprší jeho platnost. Pokud se ale certifikát z nějakého důvodu před vypršením platnosti otočí nebo pokud nezadáte adresu URL metadat, Azure AD ji nebude moct obnovit. V takovém případě budete muset podpisový certifikát aktualizovat ručně.

Pokud je povolená federace zprostředkovatele identity SAML/WS-Fed a ověřování e-mailů s jednorázovým přístupovým kódem, která metoda má přednost?

Když je federace zprostředkovatele identity SAML/WS-Fed vytvořená s partnerskou organizací, má přednost před jednorázovým ověřováním hesla e-mailu pro nové uživatele typu host z této organizace. Pokud uživatel typu host uplatnil pozvánku pomocí jednorázového ověření hesla před nastavením federace IDP SAML/WS-Fed, bude dál používat jednorázové ověřování pomocí hesla.

Řeší federace zprostředkovatele identity SAML/WS-Fed problémy s přihlášením kvůli částečně synchronizované tenantské službě?

Ne, v tomto scénáři by se měla použít funkce jednorázového hesla e-mailu . Částečně synchronizovaný tenant odkazuje na tenanta partnera Azure AD, kde se identity místních uživatelů plně nesynchronizují do cloudu. Host, jehož identita ještě v cloudu neexistuje, ale pokusí se uplatnit vaši pozvánku B2B, se nebude moct přihlásit. Funkce jednorázového hesla umožní tomuto hostu přihlásit se. Funkce federace zprostředkovatele identity SAML/WS-Fed řeší scénáře, kdy host má vlastní účet organizace spravovaný zprostředkovatele identity, ale organizace nemá vůbec žádnou Azure AD přítomnost.

Jakmile je federace zprostředkovatele identity SAML/WS-Fed nakonfigurovaná u organizace, je potřeba každému hostovi poslat a uplatnit individuální pozvánku?

Nastavení federace zprostředkovatele identity SAML/WS-Fed nezmění metodu ověřování pro uživatele typu host, kteří už od vás uplatnili pozvánku. Metodu ověřování uživatele typu host můžete aktualizovat resetováním stavu uplatnění.

Existuje způsob, jak odeslat podepsaný požadavek zprostředkovateli identity SAML?

Funkce federace Azure AD SAML/WS-Fed v současné době nepodporuje odesílání podepsaného ověřovacího tokenu zprostředkovateli identity SAML.

Jaká oprávnění se vyžadují ke konfiguraci zprostředkovatele identity SAML/Ws-Fed?

Abyste mohli nakonfigurovat zprostředkovatele identity SAML/Ws-Fed, musíte být správcem externího zprostředkovatele identity nebo globálním správcem v tenantovi Azure AD.

Krok 1: Určení, jestli partner potřebuje aktualizovat svoje textové záznamy DNS

V závislosti na zprostředkovateli identity partnera může partner muset aktualizovat záznamy DNS, aby s vámi povolil federaci. Pomocí následujícího postupu zjistěte, jestli jsou potřeba aktualizace DNS.

Poznámka

Pro nové federace zprostředkovatele identity SAML/WS-Fed už nepodporujeme seznam povolených zprostředkovatele identity.

  1. Zkontrolujte adresu URL pasivního ověřování zprostředkovatele identity partnera a zjistěte, jestli doména odpovídá cílové doméně nebo hostiteli v cílové doméně. Jinými slovy, při nastavování federace pro fabrikam.com:

    • Pokud je https://fabrikam.comhttps://sts.fabrikam.com/adfs koncovým bodem pasivního ověřování nebo (hostitelem ve stejné doméně), nejsou potřeba žádné změny DNS.
    • Pokud je https://fabrikamconglomerate.com/adfs koncový bod pasivního ověřování nebo https://fabrikam.com.uk/adfs, doména neodpovídá fabrikam.com doméně, takže partner bude muset do konfigurace DNS přidat textový záznam pro adresu URL ověřování.
  2. Pokud jsou na základě předchozího kroku potřeba změny DNS, požádejte partnera, aby do záznamů DNS své domény přidal záznam TXT, jako v následujícím příkladu:

    fabrikam.com.  IN   TXT   DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs

Krok 2: Konfigurace zprostředkovatele identity partnerské organizace

V dalším kroku musí vaše partnerské organizace nakonfigurovat svého zprostředkovatele identity s požadovanými deklaracemi identity a vztahy důvěryhodnosti předávající strany.

Poznámka

Abychom si ukázali, jak nakonfigurovat zprostředkovatele identity SAML/WS-Fed pro federaci, použijeme jako příklad Active Directory Federation Services (AD FS) (AD FS). Přečtěte si článek Konfigurace federace zprostředkovatele identity SAML/WS-Fed se službou AD FS, který uvádí příklady konfigurace služby AD FS jako SAML 2.0 nebo WS-Fed zprostředkovatele identity v rámci přípravy na federaci.

Konfigurace SAML 2.0

Azure AD B2B je možné nakonfigurovat tak, aby federovala s poskytovateli identity, kteří používají protokol SAML se specifickými požadavky uvedenými níže. Další informace o nastavení vztahu důvěryhodnosti mezi zprostředkovatele identity SAML a Azure AD najdete v tématu Použití zprostředkovatele identity SAML 2.0 pro jednotné přihlašování.

Poznámka

Cílová doména pro federaci zprostředkovatele identity SAML/WS-Fed nesmí být ověřená dns v Azure AD. Podrobnosti najdete v části Nejčastější dotazy .

Požadované atributy SAML 2.0 a deklarace identity

Následující tabulky ukazují požadavky na konkrétní atributy a deklarace identity, které musí být nakonfigurované u zprostředkovatele identity třetí strany. Pokud chcete nastavit federaci, musí být v odpovědi SAML 2.0 od zprostředkovatele identity přijaty následující atributy. Tyto atributy lze nakonfigurovat propojením se souborem XML služby tokenů zabezpečení online nebo jejich ručním zadáním.

Poznámka

Ujistěte se, že následující hodnota odpovídá cloudu, pro který nastavujete externí federaci.

Požadované atributy pro odpověď SAML 2.0 od zprostředkovatele identity:

Atribut Hodnota
AssertionConsumerService https://login.microsoftonline.com/login.srf
Cílová skupina https://login.microsoftonline.com/<tenant ID>/(Doporučeno) Nahraďte <tenant ID> ID tenanta Azure AD tenanta, se kterým nastavujete federaci.

V požadavku SAML odeslaném Azure AD pro externí federace je adresa URL vystavitele koncový bod tenanta (například https://login.microsoftonline.com/<tenant ID>/). U všech nových federací doporučujeme, aby všichni naši partneři nastavili cílovou skupinu zprostředkovatele identity založeného na SAML nebo WS-Fed na koncový bod tenanta. Všechny existující federace nakonfigurované s globálním koncovým bodem (například ) budou i nadále fungovat, ale nové federace přestanou fungovat, urn:federation:MicrosoftOnlinepokud váš externí federační server očekává adresu URL globálního vystavitele v požadavku SAML odeslaném Azure AD.
Vystavitel Identifikátor URI vystavitele zprostředkovatele identity partnera, například http://www.example.com/exk10l6w90DHM0yi...

Požadované deklarace identity pro token SAML 2.0 vystavený zprostředkovatelem identity:

Název atributu Hodnota
Formát NameID urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress Emailaddress

konfigurace WS-Fed

Azure AD B2B je možné nakonfigurovat tak, aby se federovala pomocí zprostředkovatele identity, kteří používají protokol WS-Fed, s některými konkrétními požadavky uvedenými níže. V současné době jsou oba poskytovatelé WS-Fed testováni na kompatibilitu s Azure AD zahrnují služby AD FS a Shibboleth. Další informace o vytvoření vztahu důvěryhodnosti předávající strany mezi WS-Fed kompatibilním zprostředkovatelem s Azure AD naleznete v dokumentu o integraci STS pomocí protokolů WS, který je k dispozici v dokumentaci k kompatibilitě zprostředkovatele identity Azure AD.

Poznámka

Cílová doména pro federaci nesmí být na Azure AD ověřená dns. Podrobnosti najdete v části Nejčastější dotazy .

Požadované atributy WS-Fed a deklarace identity

Následující tabulky ukazují požadavky na konkrétní atributy a deklarace identity, které je potřeba nakonfigurovat u zprostředkovatele identity WS-Fed třetí strany. Pokud chcete nastavit federaci, musí být ve zprávě WS-Fed od zprostředkovatele identity přijaty následující atributy. Tyto atributy je možné nakonfigurovat propojením se souborem XML služby tokenů zabezpečení online nebo jejich ručním zadáním.

Poznámka

Ujistěte se, že následující hodnota odpovídá cloudu, pro který nastavujete externí federaci.

Požadované atributy ve zprávě WS-Fed od zprostředkovatele identity:

Atribut Hodnota
PassiveRequestorEndpoint https://login.microsoftonline.com/login.srf
Cílová skupina https://login.microsoftonline.com/<tenant ID>/(Doporučeno) Nahraďte <tenant ID> ID tenanta Azure AD tenanta, se kterým nastavujete federaci.

V požadavku SAML odeslaném Azure AD pro externí federace je adresa URL vystavitele koncový bod tenanta (například https://login.microsoftonline.com/<tenant ID>/). U všech nových federací doporučujeme, aby všichni naši partneři nastavili cílovou skupinu zprostředkovatele identity založeného na SAML nebo WS-Fed na koncový bod tenanta. Všechny existující federace nakonfigurované s globálním koncovým bodem (například ) budou i nadále fungovat, ale nové federace přestanou fungovat, urn:federation:MicrosoftOnlinepokud váš externí federační server očekává adresu URL globálního vystavitele v požadavku SAML odeslaném Azure AD.
Vystavitel Identifikátor URI vystavitele zprostředkovatele identity partnera, například http://www.example.com/exk10l6w90DHM0yi...

Požadované deklarace identity pro token WS-Fed vystavený zprostředkovatelem identity:

Atribut Hodnota
ImmutableID http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
Emailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Krok 3: Konfigurace federace zprostředkovatele identity SAML/WS-Fed v Azure AD

Dále nakonfigurujete federaci pomocí zprostředkovatele identity nakonfigurovaného v kroku 1 v Azure AD. Můžete použít portál Azure AD nebo microsoft Graph API. Než se zásady federace projeví, může to trvat 5 až 10 minut. Během této doby se nepokoušejte uplatnit pozvánku pro doménu federace. Vyžadují se následující atributy:

  • Identifikátor URI vystavitele zprostředkovatele identity partnera
  • Koncový bod pasivního ověřování zprostředkovatele identity partnera (podporuje se pouze https)
  • Certifikát

Konfigurace federace na portálu Azure AD Portal

  1. Přihlaste se k Azure Portal jako správce externího zprostředkovatele identity nebo globální správce.

  2. V levém podokně vyberte Azure Active Directory.

  3. Vyberte Externí identity Všichni>zprostředkovatelé identity.

  4. Vyberte New SAML/WS-Fed IdP (Nový zprostředkovatele identity SAML/WS-Fed).

    Snímek obrazovky s tlačítkem pro přidání nového zprostředkovatele identity SAML nebo WS-Fed

  5. Na stránce New SAML/WS-Fed IdP (Nový zprostředkovatele identity SAML/WS-Fed ) zadejte následující:

    • Zobrazovaný název – Zadejte název, který vám pomůže identifikovat zprostředkovatele identity partnera.
    • Protokol zprostředkovatele identity – vyberte SAML nebo WS-Fed.
    • Název domény federačního zprostředkovatele identity – Zadejte název cílové domény zprostředkovatele identity vašeho partnera pro federaci. Během této počáteční konfigurace zadejte jenom jeden název domény. Později budete moct přidat další domény.

    Snímek obrazovky s novou stránkou zprostředkovatele identity SAML nebo WS-Fed

  6. Vyberte metodu pro naplnění metadat. Metadata můžete zadat ručně, nebo pokud máte soubor, který obsahuje metadata, můžete pole automaticky naplnit výběrem možnosti Analyzovat soubor metadat a vyhledáním souboru.

    • Identifikátor URI vystavitele – identifikátor URI vystavitele zprostředkovatele identity partnera.
    • Koncový bod pasivního ověřování – pasivní koncový bod žadatele zprostředkovatele identity partnera.
    • Certifikát – ID podpisového certifikátu.
    • Adresa URL metadat – umístění metadat zprostředkovatele identity pro automatické obnovení podpisového certifikátu.

    Snímek obrazovky zobrazující pole metadat

    Poznámka

    Adresa URL metadat je volitelná, ale důrazně ji doporučujeme. Pokud zadáte adresu URL metadat, Azure AD můžou podpisový certifikát po vypršení jeho platnosti automaticky obnovit. Pokud dojde k obměně certifikátu z nějakého důvodu před vypršením platnosti nebo pokud nezadáte adresu URL metadat, Azure AD ho nebude moct obnovit. V takovém případě budete muset podpisový certifikát aktualizovat ručně.

  7. Vyberte Uložit. Zprostředkovatel identity se přidá do seznamu zprostředkovatelů identit SAML/WS-Fed .

    Snímek obrazovky se seznamem zprostředkovatelů identity SAML/WS-Fed s novou položkou

  8. (Volitelné) Přidání dalších názvů domén k tomuto federovacímu zprostředkovateli identity:

    a. Vyberte odkaz ve sloupci Domény .

    Snímek obrazovky s odkazem na přidání domén ke zprostředkovateli identity SAML/WS-Fed

    b. Do pole Název domény federovaného zprostředkovatele identity zadejte název domény a pak vyberte Přidat. Tento postup opakujte pro každou doménu, kterou chcete přidat. Jakmile budete hotovi, vyberte Hotovo.

    Snímek obrazovky s tlačítkem Přidat v podokně podrobností domény

Konfigurace federace pomocí Microsoft Graph API

Typ prostředku Microsoft Graph API samlOrWsFedExternalDomainFederation můžete použít k nastavení federace se zprostředkovatelem identity, který podporuje protokol SAML nebo WS-Fed.

Krok 4: Testování federace zprostředkovatele identity SAML/WS-Fed v Azure AD

Teď otestujte nastavení federace tím, že pozvete nového uživatele typu host B2B. Podrobnosti najdete v tématu Přidání uživatelů spolupráce B2B Azure AD v Azure Portal.

Návody aktualizovat podrobnosti o certifikátu nebo konfiguraci?

Na stránce Všichni zprostředkovatelé identit můžete zobrazit seznam zprostředkovatelů identity SAML/WS-Fed, které jste nakonfigurovali, a data vypršení platnosti jejich certifikátů. V tomto seznamu můžete obnovit certifikáty a upravit další podrobnosti o konfiguraci.

Snímek obrazovky znázorňující zprostředkovatele identity v seznamu WS-Fed SAML

  1. Přihlaste se k Azure Portal jako správce externího zprostředkovatele identity nebo globální správce.

  2. V levém podokně vyberte Azure Active Directory.

  3. Vyberte Externí identity.

  4. Vyberte Všichni zprostředkovatelé identity.

  5. V části Zprostředkovatelé identity SAML/WS-Fed se posuňte na zprostředkovatele identity v seznamu nebo použijte vyhledávací pole.

  6. Aktualizace certifikátu nebo úprava podrobností konfigurace:

    • Ve sloupci Konfigurace pro zprostředkovatele identity vyberte odkaz Upravit .
    • Na stránce konfigurace upravte některé z následujících podrobností:
      • Zobrazovaný název – zobrazovaný název organizace partnera.
      • Protokol zprostředkovatele identity – vyberte SAML nebo WS-Fed.
      • Koncový bod pasivního ověřování – pasivní koncový bod žadatele zprostředkovatele identity partnera.
      • Certifikát – ID podpisového certifikátu. Pokud ho chcete obnovit, zadejte nové ID certifikátu.
      • Adresa URL metadat – adresa URL obsahující metadata partnera, která se používá k automatickému obnovení podpisového certifikátu.
    • Vyberte Uložit.

    Snímek obrazovky s podrobnostmi o konfiguraci ZDP

  7. Pokud chcete upravit domény přidružené k partnerovi, vyberte odkaz ve sloupci Domény . V podokně podrobností domény:

    • Pokud chcete přidat doménu, zadejte název domény do pole Název domény federujícího zprostředkovatele identity a pak vyberte Přidat. Tento postup opakujte pro každou doménu, kterou chcete přidat.
    • Pokud chcete odstranit doménu, vyberte ikonu odstranění vedle domény.
    • Jakmile budete hotovi, vyberte Hotovo.

    Snímek obrazovky se stránkou konfigurace domény

    Poznámka

    Pokud chcete odebrat federaci s partnerem, odstraňte všechny domény kromě jedné a postupujte podle kroků v další části.

Návody odebrat federaci?

Konfiguraci federace můžete odebrat. Pokud to uděláte, uživatelé typu host federace, kteří už uplatnili pozvánky, se nebudou moct přihlásit. Můžete jim ale znovu udělit přístup k vašim prostředkům tak, že resetujete jejich stav uplatnění. Odebrání konfigurace zprostředkovatele identity na portálu Azure AD:

  1. Přejděte na Azure Portal. V levém podokně vyberte Azure Active Directory.

  2. Vyberte Externí identity.

  3. Vyberte Všichni zprostředkovatelé identity.

  4. V části Zprostředkovatelé identity SAML/WS-Fed se posuňte na zprostředkovatele identity v seznamu nebo použijte vyhledávací pole.

  5. Výběrem odkazu ve sloupci Domény zobrazte podrobnosti o doméně zprostředkovatele identity.

  6. V seznamu Název domény odstraňte všechny domény kromě jedné.

  7. Vyberte Odstranit konfiguraci a pak vyberte Hotovo.

    Snímek obrazovky s odstraněním konfigurace

  8. Výběrem OK potvrďte odstranění.

Federaci můžete také odebrat pomocí typu prostředku Microsoft Graph API samlOrWsFedExternalDomainFederation.

Další kroky

Přečtěte si další informace o prostředí pro uplatnění pozvánky , když se externí uživatelé přihlašují pomocí různých zprostředkovatelů identity.