Přidat federaci s poskytovateli identity SAML/WS-Fed

Platí pro: Zelený kruh se symbolem bílé značky zaškrtnutí, který označuje následující obsah platí pro tenanty pracovních sil. Tenanti pracovních sil zelený kruh se symbolem bílé značky zaškrtnutí, který označuje následující obsah platí pro externí tenanty. Externí tenanti (další informace)

Váš tenant Microsoft Entra může být přímo federován s externími organizacemi, které používají zprostředkovatele identity (IdP) SAML nebo WS-Fed. Uživatelé z externí organizace pak můžou pomocí vlastních účtů spravovaných jejich poskytovatelem identit se přihlásit k vašim aplikacím nebo prostředkům, a to buď během uplatnění pozvánky, nebo samoobslužné registrace, aniž by museli vytvářet nové přihlašovací údaje Microsoft Entra. Uživatel je při registraci nebo přihlášení k vaší aplikaci přesměrován na svého poskytovatele identity a po úspěšném přihlášení je vrácen do Microsoft Entra.

Požadavky

Poznámka:

Hodnota Issuer pro IdP musí být platným URI následujícím formát RFC 3986 (například https://testdev.example.com nebo http://www.example.com/exk10l6w90DHM0yi). Hodnoty jednoslovného nebo jiného typu než URI (například testdev) nejsou podporovány a portál je odmítne. To odpovídá vzorům zabezpečeného identifikátoru Microsoft Entra ID, jak je uvedeno v omezeních identifikátorů URI. U zprostředkovatelů identity SAML musí Issuer jednoznačně identifikovat poskytovatele jako identifikátor URI podle standardů SAML 2.0 a ověřovacích pravidel Microsoft Entra.

Jak nastavit federaci IdP (zprostředkovatele identity) SAML/WS-Fed

Krok 1: Určení, jestli partner potřebuje aktualizovat svoje textové záznamy DNS

Pomocí následujícího postupu zjistěte, jestli partner potřebuje aktualizovat záznamy DNS, aby s vámi povolil federaci.

  1. Zkontrolujte adresu URL pasivního ověřování IdP partnera, abyste zjistili, zda doména odpovídá cílové doméně nebo hostu v cílové doméně. Jinými slovy, při nastavování federace pro fabrikam.com:

    • Pokud je https://fabrikam.com koncový bod pasivního ověřování nebo https://sts.fabrikam.com/adfs (hostitel ve stejné doméně), nejsou potřeba žádné změny DNS.
    • Pokud je https://fabrikamconglomerate.com/adfs koncový bod pasivního ověřování nebo https://fabrikam.co.uk/adfs, doména neodpovídá fabrikam.com doméně, takže partner musí do konfigurace DNS přidat textový záznam pro adresu URL ověřování.

  2. Pokud jsou potřeba změny DNS na základě předchozího kroku, požádejte partnera, aby do záznamů DNS své domény přidal záznam TXT, například v následujícím příkladu:

    fabrikam.com.  IN   TXT   DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs

Krok 2: Konfigurace poskytovatele identity (IdP) partnerské organizace

V dalším kroku musí vaše partnerská organizace nakonfigurovat svého zprostředkovatele identity s požadovanými deklaracemi identity a důvěryhodnými vztahy se spoléhajícími stranami. Aby federace fungovala správně, Microsoft Entra Externí ID vyžaduje, aby externí zprostředkovatel identity odesílal určité atributy a deklarace identity, které musí být nakonfigurovány u externího zprostředkovatele identity.

Poznámka:

K demonstraci, jak nakonfigurovat SAML/WS-Fed IdP pro federaci, používáme jako příklad služby Služby federace Active Directory (AD FS). Podívejte se na článek Konfigurace federace zprostředkovatele identity SAML/WS-Fed se službou AD FS, který uvádí příklady konfigurace služby AD FS jako SAML 2.0 nebo WS-Fed ZPROSTŘEDKOVATELE identity při přípravě na federaci.

Nastavit poskytovatele identity SAML 2.0

Externí ID Microsoft Entra vyžaduje, aby odpověď SAML 2.0 z externího zprostředkovatele identity zahrnovala konkrétní atributy a nároky. Na externím zprostředkovateli identity je možné nakonfigurovat nezbytné atributy a deklarace identity:

  • Odkaz na soubor XML služby online bezpečnostních tokenů nebo
  • Ruční zadání hodnot

Požadované hodnoty najdete v následujících tabulkách.

Poznámka:

Ujistěte se, že hodnota odpovídá cloudu, pro který nastavujete externí federaci.

Tabulka 1. Požadované atributy pro odpověď SAML 2.0 od zprostředkovatele identity.

Atribut Hodnota nájemce pracovní síly Hodnota externího tenanta
AssertionConsumerService https://login.microsoftonline.com/login.srf https://<tenantID>.ciamlogin.com/login.srf Přidejte https://<tenantID>.ciamlogin.com/login.srf jako callback/ACS URL v externím poskytovateli identity, pokud to vyžaduje tento poskytovatel.
Cílová skupina https://login.microsoftonline.com/<tenant ID>/ (Doporučeno) Nahraďte <tenant ID> ID tenanta Microsoft Entra, se kterým nastavujete federaci.

V požadavku SAML odeslaném Microsoft Entra ID pro externí federace je adresa URL vystavitele tenanted endpoint (například https://login.microsoftonline.com/<tenant ID>/). U všech nových federací doporučujeme, aby všichni naši partneri nastavili cílové publikum zprostředkovatele identity založeného na SAML nebo WS-Fed na tenantovaný koncový bod. Všechny existující federace nakonfigurované s globálním koncovým bodem (například urn:federation:MicrosoftOnline) budou dál fungovat, ale nové federace přestanou být funkční, pokud váš externí poskytovatel identity očekává adresu URL globálního vystavitele v SAML požadavku odeslaném od Microsoft Entra ID.		 https://login.microsoftonline.com/<tenant ID>/
Nahraďte <tenant ID> ID tenanta Microsoft Entra, se kterým nastavujete federaci.
Emitent Identifikátor URI poskytovatele zprostředkovatele identity partnera, například http://www.example.com/exk10l6w90DHM0yi... Identifikátor URI poskytovatele zprostředkovatele identity partnera, například http://www.example.com/exk10l6w90DHM0yi...

Tabulka 2. Požadované identitní deklarace pro token SAML 2.0 vydaný poskytovatelem identity (IdP).

Název atributu Hodnota
Formát NameID urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress E-mailová adresa uživatele

Jak nakonfigurovat zprostředkovatele identity WS-Fed

Microsoft Entra Externí ID vyžaduje, aby zpráva WS-Fed od externího poskytovatele identity obsahovala konkrétní atributy a nároky. Na externím zprostředkovateli identity je možné nakonfigurovat nezbytné atributy a deklarace identity:

  • Odkaz na soubor XML služby online bezpečnostních tokenů nebo
  • Ruční zadání hodnot

Poznámka:

V současné době dva poskytovatelé WS-Fed, kteří byli testováni pro kompatibilitu s Microsoft Entra ID, jsou AD FS a Shibboleth.

Požadované atributy a nároky WS-Fed

V následujících tabulkách jsou uvedené požadavky na konkrétní atributy a deklarace identity, které musí být nakonfigurované u poskytovatele identity třetí strany WS-Fed. Chcete-li nastavit federaci, musí být následující atributy přijaty ve zprávě WS-Fed od zprostředkovatele identity. Tyto atributy lze nakonfigurovat propojením se souborem XML služby tokenů zabezpečení online nebo ručním zadáním.

Požadované hodnoty najdete v následujících tabulkách.

Poznámka:

Ujistěte se, že hodnota odpovídá cloudu, pro který nastavujete externí federaci.

Tabulka 3. Požadované atributy ve zprávě WS-Fed od zprostředkovatele identity.

Atribut Hodnota nájemce pracovní síly Hodnota externího tenanta
Pasivní bod pro žadatele https://login.microsoftonline.com/login.srf https://<tenantID>.ciamlogin.com/login.srf
Cílová skupina https://login.microsoftonline.com/<tenant ID>/ (Doporučeno) Nahraďte <tenant ID> ID tenanta Microsoft Entra, se kterým nastavujete federaci.

V požadavku SAML odeslaném Microsoft Entra ID pro externí federace je adresa URL vystavitele tenanted endpoint (například https://login.microsoftonline.com/<tenant ID>/). U všech nových federací doporučujeme, aby všichni naši partneri nastavili cílové publikum zprostředkovatele identity založeného na SAML nebo WS-Fed na tenantovaný koncový bod. Všechny existující federace nakonfigurované s globálním koncovým bodem (například urn:federation:MicrosoftOnline) budou dál fungovat, ale nové federace přestanou být funkční, pokud váš externí poskytovatel identity očekává adresu URL globálního vystavitele v SAML požadavku odeslaném od Microsoft Entra ID.		 https://login.microsoftonline.com/<tenant ID>/
Nahraďte <tenant ID> ID tenanta Microsoft Entra, se kterým nastavujete federaci.
Emitent Identifikátor URI poskytovatele zprostředkovatele identity partnera, například http://www.example.com/exk10l6w90DHM0yi... Identifikátor URI poskytovatele zprostředkovatele identity partnera, například http://www.example.com/exk10l6w90DHM0yi...

Tabulka 4. Požadované nároky pro token WS-Fed vydaný zprostředkovatelem identity.

Atribut Hodnota
ImmutableID (neměnný identifikátor) http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
e-mailová adresa http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Krok 3: Konfigurace federace poskytovatele identity SAML/WS-Fed v Microsoft Entra Externí ID

Dále nakonfigurujte federaci s poskytovatelem identit nakonfigurovaným v kroku 1 v Microsoft Entra Externí ID. Můžete použít centrum pro správu Microsoft Entra nebo rozhraní Microsoft Graph API. Než se zásady federace projeví, může to trvat 5 až 10 minut. Během této doby se nepokoušejte dokončit samoobslužnou registraci nebo uplatnit pozvánku pro federační doménu. Jsou vyžadovány následující atributy:

  • URI vydavatele IdP partnera
  • Koncový bod pro pasivní autentizaci IdP partnera (je podporováno pouze https)
  • Certifikát

Chcete-li přidat IdP do vašeho tenanta v Centru pro správu Microsoft Entra

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce externího zprostředkovatele identity.

  2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do svého tenanta z nabídky Adresáře.

  3. Přejděte kexterním identitám>Microsoft Entra ID>Všechny zprostředkovatele identity.

  4. Vyberte kartu Vlastní a pak vyberte Přidat nový>SAML/WS-Fed.

    Snímek obrazovky s tlačítkem pro přidání nového IdP SAML nebo WS-Fed

  5. Na stránce New SAML/WS-Fed IdP zadejte následující:

    • Zobrazovaný název – Zadejte jméno, které vám pomůže identifikovat poskytovatele identity (IdP) partnera.
    • Protokol zprostředkovatele identity – Vyberte SAML nebo WS-Fed.
    • Bezdoménová – Výběr bezdoménového vynucuje kontrolu e-mailové adresy uživatele bez domény. Další informace naleznete v části Federace SAML IdP bez domény.
    • Název domény poskytovatele identit pro federaci – Zadejte cílový název domény poskytovatele identit vašeho partnera pro federaci. Během této počáteční konfigurace zadejte pouze jeden název domény. Další domény můžete přidat později.

    Snímek obrazovky znázorňující novou stránku IdP pro SAML nebo WS-Fed

  6. Vyberte metodu pro naplnění metadat. Pokud máte soubor, který obsahuje metadata, můžete pole automaticky naplnit výběrem souboru parsovat metadata a procházením souboru. Můžete také vybrat vstupní metadata ručně a zadat následující informace:

    • Identifikátor URI vystavitele poskytovatele identit partnera SAML nebo ID entity WS-Fed poskytovatele identit partnera.
    • Koncový bod pasivního ověřování zprostředkovatele identity partnera SAML nebo koncový bod pasivního žadatele IDP partnera WS-Fed.
    • Certifikát – ID podpisového certifikátu.
    • Adresa URL metadat – umístění metadat poskytovatele identity pro automatické obnovení podpisového certifikátu.

    Snímek obrazovky s poli metadat

    Poznámka:

    Adresa URL metadat je volitelná. Důrazně ho však doporučujeme. Pokud zadáte adresu URL metadat, může id Microsoft Entra automaticky obnovit podpisový certifikát, jakmile vyprší jeho platnost. Pokud se certifikát obměňuje z nějakého důvodu před vypršením platnosti nebo pokud nezadáte adresu URL metadat, microsoft Entra ID ho nemůže obnovit. V takovém případě potřebujete podpisový certifikát aktualizovat ručně.

  7. Vyberte Uložit. Poskytovatel identity je přidán do seznamu poskytovatelů identity SAML/WS-Fed.

    Snímek obrazovky zobrazující seznam zprostředkovatelů identity SAML/WS-Fed s novou položkou

  8. (Optional) Chcete-li přidat další názvy domén k tomuto poskytovateli federující identity:

    1. Vyberte odkaz ve sloupci Domény .

      Snímek obrazovky znázorňující odkaz pro přidání domén do zprostředkovatele identity SAML/WS-Fed

    2. Zadejte název domény vedle názvu domény federovaného zprostředkovatele identity a poté vyberte Přidat. Opakujte pro každou doménu, kterou chcete přidat. Až budete hotovi, vyberte Hotovo.

      Snímek obrazovky s tlačítkem Přidat v podokně podrobností domény

Konfigurace federace pomocí rozhraní Microsoft Graph API

Pomocí prostředku typu SamlOrWsFedExternalDomainFederation ve službě Microsoft Graph API můžete nastavit federaci se zprostředkovatelem identity, který podporuje protokol SAML nebo WS-Fed.

Krok 4: Konfigurace objednávky vyrovnání (B2B spolupráce v nájemcích pracovních sil)

Pokud konfigurujete federaci ve vašem pracovním tenantovi pro spolupráci B2B s ověřenou doménou, ujistěte se, že se při uplatnění pozvánky nejprve použije federovaný zprostředkovatel identity. Nakonfigurujte nastavení pořadí uplatnění v nastavení přístupu mezi tenanty pro příchozí spolupráci B2B. Přesuňte poskytovatele identity SAML/WS-Fed na začátek seznamu primárních poskytovatelů identity, aby bylo upřednostněno uplatnění u federovaného poskytovatele identity.

Nastavení federace můžete otestovat pozváním nového uživatele typu host B2B. Podrobnosti najdete v tématu Přidání uživatelů spolupráce Microsoft Entra B2B v Centru pro správu Microsoft Entra.

Poznámka:

Pořadí uplatnění pozvánky můžete nakonfigurovat pomocí rozhraní Microsoft Graph REST API (beta verze). Viz příklad 2: Aktualizace výchozí konfigurace uplatnění pozvánky v referenční dokumentaci k Microsoft Graphu.

Federace zprostředkovatele identity SAML bez domény (Preview)

Tradiční federace v Microsoft Entra ID vyžaduje, abyste ověřili vlastní doménu (například contoso.com) a tuto doménu nakonfigurovali tak, aby přesměrovává požadavky na ověřování externímu zprostředkovateli identity SAML .IDP. V této konfiguraci se doména deklarace e-mailu poskytnuté externím zprostředkovatelem identity po ověření ověřuje vůči doméně přidružené ke konfigurovanému zprostředkovateli identity SAML v Microsoft Entra ID.

Pokud se e-mailová doména uživatele liší od domény nakonfigurované v sadě SAML IdP (například yahoo.com nebo gmail.com), můžou se uživatelům při přihlašování zobrazit následující chyba:

AADSTS5000819: Tvrzení SAML je neplatné. Deklarace e-mailové adresy chybí nebo neodpovídá doméně z externí sféry.

K této chybě obvykle dochází v těchto případech:

  • Externí zprostředkovatele identity SAML neodesílá e-mailovou deklaraci identity nebo
  • Doména e-mailové adresy poskytnutá zprostředkovatelem identity (IdP) neodpovídá doméně nakonfigurované u externího zprostředkovatele identity (IdP) v Microsoft Entra ID

I když je atribut e-mailu přítomen, ověřování může stále selhat, pokud e-mailová doména není v souladu s doménou nakonfigurovaného IdP kvůli požadavkům na porovnávání podle domény.

Federace SAML bez domény s zprostředkovatelem identity SAML umožňuje externím uživatelům ověřovat se ve vašich aplikacích nebo prostředcích pracovníků pomocí přihlašovacích údajů spravovaných zprostředkovatelem identity bez ohledu na jejich e-mailovou doménu. Federace bez domény eliminuje potřebu párování domén mezi e-mailem uživatele a předem nakonfigurovanou doménou zprostředkovatele identity během přihlášení nebo uplatnění pozvánky.

Konfigurace federace bezdoménového zprostředkovatele identity SAML (IdP)

Pokud chcete vyřešit omezení párování domén, můžete nakonfigurovat zprostředkovatele identity SAML jako bezdoménového. Pokud je povolená federace bez domény:

  • Microsoft Entra ID směruje požadavky na autentizaci do nakonfigurovaného poskytovatele identity SAML na základě vazby na identifikátor URI vystavitele.
  • Doména e-mailové adresy uživatele neodpovídá doméně nakonfigurované pro IdP.

Uživatelé se pak můžou úspěšně ověřit pomocí e-mailových adres z libovolné domény (například yahoo.com nebo gmail.com) při přihlašování pomocí externího zprostředkovatele identity SAML.

Pokud chcete povolit federaci bez domény pro nového poskytovatele identity SAML, postupujte takto:

  • Na stránce New SAML/WS-Fed IdP vyberte Domainless. Výběr možnosti Domainless nevynucuje žádnou kontrolu domény e-mailové adresy uživatele.

    Snímek obrazovky zobrazující seznam zprostředkovatele identity SAML/WS-Fed s konfigurací bez domény

Important

Když je vybrané pole Bezdoménové , federace se nakonfiguruje jako bezdoménová. Microsoft Entra ID používá k přiřazení příchozích požadavků na ověřování URI vydavatele namísto směrování podle domény. V současné době lze pro jednotlivé tenanty nakonfigurovat pouze jeden zprostředkovatele identity se zástupným znakem.

Tok uživatelů pro federaci SAML IdP bez domény

Po konfiguraci federace bez domény můžete pozvat uživatele typu host z partnerské organizace pomocí následujícího postupu:

  1. V Centrum pro správu Microsoft Entra přejděte na Identity>Users>Všechny uživatelé.
  2. Vyberte + Nový uživatel a zvolte Pozvat externího uživatele.
  3. Zadejte e-mailovou adresu hostujícího uživatele. E-mailová doména se nemusí shodovat s ověřenou doménou ve vašem tenantovi.
  4. Do adresy URL přesměrování pozvánky zahrňte parametr domain_hint, aby se zajistilo, že uživatel bude přesměrován k příslušnému poskytovateli identity na základě nakonfigurovaného URI vydavatele. Hodnota domain_hint musí odpovídat hodnotě URI vydavatele definované v konfiguraci poskytovatele identity SAML.
  5. Dokončete pozvánku a odešlete ji.
  6. Když pozvaný uživatel přijme pozvánku, Microsoft Entra ID směruje požadavek na ověření na nakonfigurovaného zprostředkovatele identity SAML pomocí identifikátoru URI vydavatele v parametru domain_hint.
  7. Uživatel se ověřuje u externího poskytovatele identity SAML. Doména e-mailové adresy uživatele není porovnávána s doménou nakonfigurovanou pro IdP a uživatel má přístup k tenantovi prostředku.
  8. Při dalších přihlášeních může uživatel po ověření pomocí externího zprostředkovatele identity (IdP) SAML získat přímý přístup k aplikaci tenanta prostředku, protože objekt uživatele je aktualizován o přidružení k externímu poskytovateli identity.

Známé problémy

Následující známý problém se aktivně řeší a po zpřístupnění opravy se tato část aktualizuje.

  • Konfigurace zprostředkovatele identity se odstraní, pokud je zadán neplatný název domény, i když konfigurace zprostředkovatele identity není uložena.

Postup aktualizace podrobností o certifikátu nebo konfiguraci

Na stránce Všichni zprostředkovatelé identity můžete zobrazit seznam zprostředkovatelů identity SAML/WS-Fed nakonfigurovaných a jejich dat vypršení platnosti certifikátu. V tomto seznamu můžete obnovit certifikáty a upravit další podrobnosti konfigurace.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce externího zprostředkovatele identity.

  2. Přejděte kexterním identitám>Microsoft Entra ID>Všechny zprostředkovatele identity.

  3. Vyberte kartu Vlastní.

  4. Posuňte se na zprostředkovatele identity v seznamu nebo použijte vyhledávací pole.

  5. Aktualizace certifikátu nebo úprava podrobností konfigurace:

    • Ve sloupci Konfigurace pro zprostředkovatele identity vyberte odkaz Upravit .
    • Na stránce konfigurace upravte některé z následujících podrobností:
      • Zobrazovaný název – zobrazovaný název pro organizaci partnera.
      • Protokol zprostředkovatele identity – Vyberte SAML nebo WS-Fed.
      • Koncový bod pasivního ověřování – koncový bod pasivního požadavkového partnera (IdP) zprostředkovatele identity.
      • Certifikát – ID podpisového certifikátu. Pokud ho chcete obnovit, zadejte nové ID certifikátu.
      • Adresa URL metadat – adresa URL obsahující metadata partnera, která slouží k automatickému prodlužování podpisového certifikátu.
    • Vyberte Uložit.

    Snímek obrazovky s podrobnostmi o konfiguraci ZDP

  6. Pokud chcete upravit domény přidružené k partnerovi, vyberte odkaz ve sloupci Domény . V panelu podrobností domény:

    • Pokud chcete přidat doménu, zadejte název domény vedle federovaného IdP a pak vyberte Přidat. Opakujte pro každou doménu, kterou chcete přidat.
    • Pokud chcete odstranit doménu, vyberte ikonu odstranění vedle domény.
    • Až budete hotovi, vyberte Hotovo.

    Snímek obrazovky se stránkou konfigurace domény

  7. Pokud chcete přepnout na federaci bez domény, zaškrtněte políčko Bezdoménové a pak vyberte Hotovo.

    Snímek obrazovky se stránkou konfigurace domény pro bezdoménovou doménu

    Poznámka:

    Pokud chcete odebrat federaci s partnerem, nejprve odstraňte všechny domény kromě jedné a pak postupujte podle kroků v další části.

Odebrání federace

Konfiguraci federace můžete odebrat. Pokud to uděláte, federovaní hostující uživatelé, kteří už uplatnili své pozvánky, se už nemohou přihlásit. Můžete jim znovu udělit přístup k vašim prostředkům tím, že resetujete jejich stav vykoupení. Jak odebrat konfiguraci pro poskytovatele identity v centru pro správu Microsoft Entra:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce externího zprostředkovatele identity.

  2. Přejděte kexterním identitám>Microsoft Entra ID>Všechny zprostředkovatele identity.

  3. Vyberte kartu Vlastní a pak se posuňte na zprostředkovatele identity v seznamu nebo použijte vyhledávací pole.

  4. Chcete-li zobrazit podrobnosti domén IdP, vyberte odkaz ve sloupci Domény.

  5. Odstraňte všechny domény kromě jedné z domén v seznamu názvů domén .

  6. Vyberte Odstranit konfiguraci a pak vyberte Hotovo.

    Snímek obrazovky mazání konfigurace

  7. Odstranění potvrďte tak, že vyberete OK .

Federaci můžete také odebrat pomocí rozhraní Microsoft Graph API typu prostředku SamlOrWsFedExternalDomainFederation.

Další kroky

  • Last updated on