Verbund mit SAML/WS-Fed-Identitätsanbietern für Gastbenutzer

Hinweis

  • Ein Direkter Verbund in Azure Active Directory wird jetzt als SAML/WS-Fed-Identitätsanbieter-Verbund (IdP) bezeichnet.

Dieser Artikel beschreibt, wie Sie einen Verbund mit jedem Unternehmen einrichten können, deren Identitätsanbieter (IdP) das SAML 2.0- oder WS-Fed-Protokoll unterstützt. Wenn Sie einen Verbund mit dem IdP eines Partners einrichten, können neue Gastbenutzer aus dieser Domäne ihr eigenes, vom IdP verwaltetes Unternehmenskonto verwenden, um sich bei Ihrem Azure AD-Mandanten anzumelden und mit Ihnen zusammenzuarbeiten. Es ist nicht erforderlich, dass der Gastbenutzer ein separates Azure AD-Konto erstellt.

Wichtig

  • Eine Positivliste von IdPs wird für neue SAML-/WS-Fed-IdP-Verbunde nicht mehr unterstützt. Wenn Sie einen neuen externen Verbund einrichten, lesen Sie Schritt 1: Ermitteln, ob der Partner seine DNS-Texteinträge aktualisieren muss.
  • In der SAML-Anforderung, die von Azure AD für externe Verbunde gesendet wird, ist die Aussteller-URL ein Mandantenendpunkt. Für alle neuen Verbunde wird empfohlen, dass alle unsere Partner die Zielgruppe des SAML- oder WS-Fed-basierten IdP auf einen mandantenbasierten Endpunkt festlegen. Weitere Informationen finden Sie weiter unten in den Abschnitten zu den erforderlichen SAML 2.0 und WS-Fed-Attributen und -Ansprüchen. Alle vorhandenen Verbunde, die mit dem globalen Endpunkt konfiguriert sind, funktionieren weiterhin. Neue Verbunde funktionieren jedoch nicht mehr, wenn Ihr externer IdP eine globale Aussteller-URL in der SAML-Anforderung erwartet.
  • Derzeit können Sie ihrem externen Verbund nur eine Domäne hinzufügen. Wir arbeiten aktiv daran, weitere Domänen zu ermöglichen.
  • Wir haben die Einschränkung entfernt, die erforderte, dass die Authentifizierungs-URL-Domäne der Zieldomäne entspricht oder von einem zulässigen IdP stammt. Weitere Informationen finden Sie unter Schritt 1: Ermitteln, ob der Partner seine DNS-Textdatensätze aktualisieren muss.

Wann wird ein Gastbenutzer mit einem SAML/WS-Fed-Identitätsanbieter-Verbund authentifiziert?

Nachdem Sie den Verbund mit dem SAML/WS-Fed-Identitätsprovider eines Unternehmens eingerichtet haben, werden alle neuen Gastbenutzer, die Sie einladen, mithilfe des SAML/WS-Fed-Identitätsproviders authentifiziert. Es ist wichtig zu beachten, dass durch das Einrichten des Verbunds nicht die Authentifizierungsmethode für Gastbenutzer geändert wird, die bereits eine Einladung von Ihnen eingelöst haben. Im Folgenden finden Sie einige Beispiele:

  • Wenn Gastbenutzer bereits Einladungen von Ihnen eingelöst haben und Sie anschließend den Verbund mit deren Unternehmen einrichten, verwenden diese Gastbenutzer weiterhin dieselbe Authentifizierungsmethode, die sie vor dem Einrichten des Verbunds verwendet haben.
  • Wenn Sie den Verbund mit einem SAML/WS-Fed IdP des Unternehmens einrichten und Gastbenutzer einladen und das Partnerunternehmen dann später zu Azure AD wechselt, verwenden die Gastbenutzer, die bereits Einladungen eingelöst haben, weiterhin den SAML/WS-Fed IdP. Und zwar solange, wie die Verbundrichtlinie in Ihrem Mandanten vorhanden ist.
  • Wenn Sie den Verbund mit dem SAML/WS-Fed IdP eines Unternehmens löschen, können sich alle Gastbenutzer, die derzeit den SAML/WS-Fed IdP verwenden, nicht anmelden.

In jedem dieser Szenarien können Sie die Authentifizierungsmethode eines Gastbenutzers aktualisieren, indem Sie seinen Einlösungsstatus zurücksetzen.

Der SAML/WS-Fed IdP-Verbund ist an Domänen-Namespaces, z. B. „contoso.com“ und „fabrikam.com“, gebunden. Wenn Sie einen Verbund mit AD FS oder einem Drittanbieter-IdP einrichten, ordnen Unternehmen diesem IdP einen oder mehrere Domänen-Namespaces zu.

Endbenutzererfahrung

Mit dem SAML/WS-Fed Identitätsprovider-Verbund melden sich Gastbenutzer mit ihrem eigenen Unternehmenskonto bei Ihrem Azure AD-Mandanten an. Wenn sie auf freigegebene Ressourcen zugreifen und zur Anmeldung aufgefordert werden, werden Benutzer zu ihrem IdP umgeleitet. Nach erfolgreicher Anmeldung werden sie an Azure AD zurückgeleitet, um auf Ressourcen zuzugreifen. Ihre Aktualisierungstoken sind 12 Stunden lang gültig, wobei es sich um die Standarddauer für Pass-Through-Aktualisierungstoken in Azure AD handelt. Wenn der Verbundidentitätsanbieter einmaliges Anmelden (SSO) aktiviert hat, erfährt der Benutzer auch SSO, und es wird nach der ersten Authentifizierung keine Anmeldeaufforderung mehr angezeigt.

Endpunkte für die Anmeldung

Beim SAML/WS-Fed IdP-Verbund können sich Gastbenutzer nun mithilfe eines gemeinsamen Endpunkts (d. h. mit einer allgemeinen App-URL, die Ihren Mandantenkontext nicht enthält) bei Ihren mehrmandantenfähigen Anwendungen oder bei Microsoft-Erstanbieter-Apps anmelden. Beim Anmeldevorgang wählt der Gastbenutzer zuerst Anmeldeoptionen und dann Bei einer Organisation anmelden aus. Der Benutzer gibt dann den Namen Ihres Unternehmens ein und setzt den Vorgang mit seinen eigenen Anmeldeinformationen fort.

Beim SAML/WS-Fed IdP-Verbund können Gastbenutzer auch Anwendungsendpunkte verwenden, die Ihre Mandanteninformationen enthalten, z. B.:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

Sie können Gastbenutzern auch einen direkten Link zu einer Anwendung oder Ressource zur Verfügung stellen, indem Sie Ihre Mandanteninformationen einfügen, z. B. https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Häufig gestellte Fragen

Kann ich einen SAML/WS-Fed-IdP-Verbund mit überprüften Azure AD-Domänen einrichten?

Nein, wir blockieren den SAML/WS-Fed-IdP-Verbund für überprüfte Azure AD-Domänen zugunsten von nativen von Azure AD verwalteten Domänenfunktionen. Wenn Sie versuchen, einen SAML/WS-Fed-IdP-Verbund mit einer Domäne einzurichten, die in Azure AD DNS-verifiziert ist, wird ein Fehler angezeigt.

Kann ich einen SAML/WS-Fed IdP-Verbund mit einer Domäne einrichten, für die ein nicht verwalteter (E-Mail verifizierten) Mandant vorhanden ist?

Ja, Sie können einen SAML/WS-Fed-IdP-Verbund mit Domänen einrichten, die in Azure AD nicht DNS-verifiziert sind, einschließlich nicht verwalteter (per E-Mail verifizierter oder „viraler“) Azure AD-Mandanten. Derartige Mandanten werden erstellt, wenn ein Benutzer eine B2B-Einladung einlöst oder eine Self-Service-Registrierung für Azure AD mit einer Domäne durchführt, die derzeit nicht vorhanden ist. Wenn die Domäne nicht verifiziert wurde und der Mandant keine Übernahme durch den Administrator durchlaufen hat, können Sie einen Verbund mit dieser Domäne einrichten.

Wie viele Verbundbeziehungen kann ich erstellen?

Derzeit werden maximal 1.000 Verbundbeziehungen unterstützt. Dieses Limit umfasst sowohl interne Verbunde als auch SAML/WS-Fed IdP-Verbunde.

Kann ich einen Verbund mit mehreren Domänen desselben Mandanten einrichten?

Der SAML/WS-Fed IdP-Verbund mit mehreren Domänen desselben Mandanten wird derzeit nicht unterstützt.

Muss ich das Signaturzertifikat erneuern, wenn es abläuft?

Wenn Sie die Metadaten-URL in den IdP-Einstellungen angeben, verlängert Azure AD das Signaturzertifikat automatisch, wenn es abläuft. Wenn das Zertifikat jedoch aus irgendeinem Grund vor der Ablaufzeit rotiert wird, oder wenn Sie keine Metadaten-URL bereitstellen, kann Azure AD es nicht verlängern. In diesem Fall müssen Sie das Signaturzertifikat manuell aktualisieren.

Welche Methode hat Vorrang, wenn die Authentifizierung mittels SAML/WS-Fed IdP-Verbund und mit der E-Mail-Einmalkennung aktiviert ist?

Wenn ein SAML/WS-Fed IdP-Verbund mit einem Partnerunternehmen eingerichtet ist, hat dieser Vorrang vor der Authentifizierung per E-Mail-Einmalkennung für neue Gastbenutzer dieses Unternehmens. Wenn ein Gastbenutzer eine Einladung mit Authentifizierung mittels Einmalkennung eingelöst hat, bevor Sie den SAML/WS-Fed IdP-Verbund einrichten, wird er die Authentifizierung mit Einmalkennung weiterhin verwenden.

Behandelt der SAML/WS-Fed IdP-Verbund Anmeldeprobleme aufgrund eines teilweise synchronisierten Mandanten?

Nein, in diesem Szenario sollte die Funktion E-Mail-Einmalkennung verwendet werden. Ein „teilweise synchronisierter Mandant“ bezieht sich auf einen Azure AD-Partnermandanten, bei dem lokale Benutzeridentitäten nicht vollständig mit der Cloud synchronisiert sind. Ein Gast, dessen Identität noch nicht in der Cloud vorhanden ist, der aber versucht, Ihre B2B-Einladung einzulösen, kann sich dann nicht anmelden. Die Einmalkennungsfunktion gestattet diesem Gast die Anmeldung. Die SAML/WS-Fed IdP-Verbundfunktion behandelt Szenarien, in denen der Gast über ein eigenes vom IdP verwaltetes Unternehmenskonto verfügt, das Unternehmen aber über gar keine Azure AD-Präsenz verfügt.

Wenn der SAML/WS-Fed IdP-Verbund mit einem Unternehmen konfiguriert ist, muss dann jedem Gast eine individuelle Einladung gesendet werden, die dieser dann einlösen muss?

Durch das Einrichten des SAML/WS-Fed IdP-Verbunds wird nicht die Authentifizierungsmethode für Gastbenutzer geändert, die bereits eine Einladung von Ihnen eingelöst haben. Sie können die Authentifizierungsmethode eines Gastbenutzers aktualisieren, indem Sie seinen Einlösungsstatus zurücksetzen.

Gibt es eine Möglichkeit, eine signierte Anforderung an den SAML-Identitätsanbieter zu senden?

Derzeit unterstützt das Azure AD-SAML/WS-Fed-Verbundfeature das Senden eines signierten Authentifizierungstokens an den SAML-Identitätsanbieter nicht.

Schritt 1: Ermitteln, ob der Partner seine DNS-Textdatensätze aktualisieren muss

Je nach seinem IdP muss der Partner möglicherweise seine DNS-Einträge aktualisieren, um einen Verbund mit Ihnen zu aktivieren. Verwenden Sie die folgenden Schritte, um zu ermitteln, ob DNS-Updates erforderlich sind.

Hinweis

Eine Positivliste von IdPs wird für neue SAML-/WS-Fed-IdP-Verbunde nicht mehr unterstützt.

  1. Überprüfen Sie die passive IdP-Authentifizierungs-URL des Partners, um festzustellen, ob die Domäne mit der Zieldomäne oder einem Host innerhalb der Zieldomäne übereinstimmt. Anders ausgedrückt: Beim Einrichten eines Verbunds für fabrikam.com gilt Folgendes:

    • Wenn der passive Authentifizierungsendpunkt https://fabrikam.com oder https://sts.fabrikam.com/adfs (ein Host in derselben Domäne) lautet, sind keine DNS-Änderungen erforderlich.
    • Wenn der passive Authentifizierungsendpunkt https://fabrikamconglomerate.com/adfs oder https://fabrikam.com.uk/adfs lautet, stimmt die Domäne nicht mit der fabrikam.com-Domäne überein. Der Partner muss seiner DNS-Konfiguration somit einen Texteintrag für die Authentifizierungs-URL hinzufügen.
  2. Wenn gemäß dem vorherigen Schritt DNS-Änderungen erforderlich sind, bitten Sie den Partner, den DNS-Einträgen seiner Domäne einen TXT-Eintrag hinzuzufügen, wie im folgenden Beispiel gezeigt:

    fabrikam.com.  IN   TXT   DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs

Schritt 2: Konfigurieren des IdPs des Partnerunternehmens

Als Nächstes muss Ihr Partnerunternehmen ihren IdP mit den erforderlichen Ansprüchen und Vertrauensstellungen der vertrauenden Seite konfigurieren.

Hinweis

Wir verwenden als Beispiel Active Directory-Verbunddienste (AD FS), um zu veranschaulichen, wie SAML/WS-Fed IdP für einen Verbund konfiguriert wird. Beispiele zum Konfigurieren von AD FS als SAML 2.0 oder WS-Fed-IdP in der Vorbereitung für einen Verbunds finden Sie unter Konfigurieren eines SAML/WS-Fed IdP-Verbunds mit AD FS.

SAML 2.0-Konfiguration

Azure AD B2B kann so konfiguriert werden, dass es einen Verbund mit Identitätsanbietern bildet, die das SAML-Protokoll mit den unten aufgeführten bestimmten Anforderungen verwenden. Weitere Informationen zum Einrichten einer Vertrauensstellung zwischen Ihrem SAML-IdP und Azure AD, finden Sie unter Verwenden eines SAML 2.0-Identitätsanbieters (IdP) für das einmalige Anmelden.

Hinweis

Die Zieldomäne für den SAML/WS-Fed-IdP-Verbund darf nicht in Azure AD DNS-verifiziert sein. Weitere Informationen finden Sie im Abschnitt Häufig gestellte Fragen.

Erforderliche SAML 2.0-Attribute und -Ansprüche

In den folgenden Tabellen sind die Anforderungen für bestimmte Attribute und Ansprüche aufgeführt, die bei dem Drittanbieter-IdP konfiguriert werden müssen. Die folgenden Attribute müssen in der SAML 2.0-Antwort vom Identitätsanbieter empfangen werden, um einen Verbund einzurichten. Diese Attribute können durch Verlinkung mit der XML-Datei des Online-Sicherheitstokendiensts oder durch manuelle Eingabe konfiguriert werden.

Hinweis

Stellen Sie sicher, dass der unten stehende Wert mit der Cloud übereinstimmt, für die Sie einen externen Verbund einrichten.

Erforderliche Attribute für die SAML 2.0-Antwort des Identitätsanbieters:

attribute Wert
AssertionConsumerService https://login.microsoftonline.com/login.srf
Zielgruppe https://login.microsoftonline.com/<tenant ID>/ (Empfohlen) Ersetzen Sie <tenant ID> durch die Mandanten-ID des Azure AD-Mandanten, mit dem Sie einen Verbund einrichten.

In der SAML-Anforderung, die von Azure AD für externe Verbunde gesendet wird, ist die Aussteller-URL ein Mandantenendpunkt (z. B. https://login.microsoftonline.com/<tenant ID>/). Für alle neuen Verbunde wird empfohlen, dass alle unsere Partner die Zielgruppe des SAML- oder WS-Fed-basierten IdP auf einen mandantenbasierten Endpunkt festlegen. Alle vorhandenen Verbunde, die mit dem globalen Endpunkt konfiguriert sind (z. B. urn:federation:MicrosoftOnline), funktionieren weiterhin. Neue Verbunde funktionieren jedoch nicht mehr, wenn Ihr externer IdP eine globale Aussteller-URL in der von Azure AD gesendeten SAML-Anforderung erwartet.
Issuer (Aussteller) Der Aussteller-URI des Partneridentitätsanbieters, z. B. http://www.example.com/exk10l6w90DHM0yi...

Erforderliche Ansprüche für das vom Identitätsanbieter ausgegebene SAML 2.0-Token:

Attributname Wert
NameID-Format urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress emailaddress

WS-Verbund-Konfiguration

Azure AD B2B kann so konfiguriert werden, dass es einen Verbund mit Identitätsanbietern bildet, die das WS-Fed-Protokoll mit den unten aufgeführten bestimmten Anforderungen verwenden. Derzeit sind die beiden WS-Verbund-Anbieter auf Kompatibilität mit Azure AD getestet, einschließlich AD FS und Shibboleth. Weitere Informationen zum Aufbau einer Vertrauensstellung der vertrauenden Seite zwischen einem WS-Verbund-kompatiblen Anbieter mit Azure AD finden Sie in dem „Artikel zur STS-Integration unter Verwendung von WS-Protokollen“, der in den Dokumenten zur Kompatibilität von Azure AD-Identitätsanbietern verfügbar ist.

Hinweis

Die Zieldomäne für den Verbund darf nicht in Azure AD DNS-verifiziert sein. Weitere Informationen finden Sie im Abschnitt Häufig gestellte Fragen.

Erforderliche WS-Verbund-Attribute und -Ansprüche

In den folgenden Tabellen sind die Anforderungen für bestimmte Attribute und Ansprüche aufgeführt, die bei dem Drittanbieter WS-Fed-IdP konfiguriert werden müssen. Die folgenden Attribute müssen in der WS-Fed-Nachricht vom Identitätsanbieter empfangen werden, um einen Verbund einzurichten. Diese Attribute können durch Verlinkung mit der XML-Datei des Online-Sicherheitstokendiensts oder durch manuelle Eingabe konfiguriert werden.

Hinweis

Stellen Sie sicher, dass der unten stehende Wert mit der Cloud übereinstimmt, für die Sie einen externen Verbund einrichten.

Erforderliche Attribute in der WS-Verbund-Nachricht vom Identitätsanbieter:

attribute Wert
PassiveRequestorEndpoint https://login.microsoftonline.com/login.srf
Zielgruppe https://login.microsoftonline.com/<tenant ID>/ (Empfohlen) Ersetzen Sie <tenant ID> durch die Mandanten-ID des Azure AD-Mandanten, mit dem Sie einen Verbund einrichten.

In der SAML-Anforderung, die von Azure AD für externe Verbunde gesendet wird, ist die Aussteller-URL ein Mandantenendpunkt (z. B. https://login.microsoftonline.com/<tenant ID>/). Für alle neuen Verbunde wird empfohlen, dass alle unsere Partner die Zielgruppe des SAML- oder WS-Fed-basierten IdP auf einen mandantenbasierten Endpunkt festlegen. Alle vorhandenen Verbunde, die mit dem globalen Endpunkt konfiguriert sind (z. B. urn:federation:MicrosoftOnline), funktionieren weiterhin. Neue Verbunde funktionieren jedoch nicht mehr, wenn Ihr externer IdP eine globale Aussteller-URL in der von Azure AD gesendeten SAML-Anforderung erwartet.
Issuer (Aussteller) Der Aussteller-URI des Partneridentitätsanbieters, z. B. http://www.example.com/exk10l6w90DHM0yi...

Erforderliche Ansprüche für das vom Identitätsanbieter ausgegebene WS-Verbund-Token:

attribute Wert
ImmutableID http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
emailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Schritt 3: Konfigurieren des SAML/WS-Fed-IdP-Verbunds in Azure AD

Als Nächstes konfigurieren Sie den Verbund mit dem in Schritt 1 in Azure AD konfigurierten Identitätsanbieter. Sie können das Azure AD-Portal oder die Microsoft Graph-API verwenden. Es kann 5–10 Minuten dauern, bis die Verbundrichtlinie wirksam wird. Versuchen Sie während dieser Zeit nicht, eine Einladung für die Verbunddomäne einzulösen. Die folgenden Attribute sind erforderlich:

  • Aussteller-URI des Partneridentitätsanbieters
  • Passiver Authentifizierungsendpunkt des Partneridentitätsanbieters (nur HTTPS wird unterstützt)
  • Zertifikat

So konfigurieren Sie den Verbund im Azure AD-Portal

  1. Öffnen Sie das Azure-Portal. Wählen Sie im linken Bereich Azure Active Directory aus.

  2. Wählen Sie Externe Identitäten>Alle Identitätsanbieter aus.

  3. Wählen Sie Neuer SAML-/WS-Fed-IdP aus.

    Screenshot showing button for adding a new SAML or WS-Fed IdP.

  4. Geben Sie auf der Seite Neuer SAML/WS-Fed-Identitätsanbieter Folgendes ein:

    • Anzeigename: Geben Sie einen Namen ein, der Ihnen beim Identifizieren des Partneridentitätsanbieters hilft.
    • Identitätsanbieterprotokoll: Wählen Sie SAML oder WS-Fed aus.
    • Domänenname des Verbundidentätsanbieters: Geben Sie den Namen der Zieldomäne des Partneridentitätsanbieters für den Verbund ein. Derzeit wird ein Domänenname unterstützt, aber wir arbeiten daran, weitere Domänen zu ermöglichen.

    Screenshot showing the new SAML or WS-Fed IdP page.

  5. Auswählen einer Methode zum Auffüllen von Metadaten. Sie können Metadaten manuell eingeben oder die Felder automatisch auffüllen, wenn Sie über eine Datei verfügen, die die Metadaten enthält. Wählen Sie dazu Metadatendatei analysieren aus, und suchen Sie nach der Datei.

    • Aussteller-URI: Der Aussteller-URI des Partneridentitätsanbieters.
    • Passiver Authentifizierungsendpunkt: Der passive Anforderungsendpunkt des Partneridentitätsanbieters.
    • Zertifikat: Die ID des Signaturzertifikats.
    • Metadaten-URL: Der Speicherort der Metadaten des Identitätsanbieters für die automatische Verlängerung des Signaturzertifikats.

    Screenshot showing metadata fields.

    Hinweis

    Metadaten-URL ist optional, wird aber dringend empfohlen. Wenn Sie die Metadaten-URL angeben, kann Azure AD das Signaturzertifikat automatisch verlängern, wenn es abläuft. Wenn das Zertifikat aus irgendeinem Grund vor der Ablaufzeit rotiert wird, oder wenn Sie keine Metadaten-URL bereitstellen, kann Azure AD es nicht verlängern. In diesem Fall müssen Sie das Signaturzertifikat manuell aktualisieren.

  6. Wählen Sie Speichern aus.

So konfigurieren Sie den Verbund mit der Microsoft Graph-API

Sie können den Microsoft Graph-API-Ressourcentyp samlOrWsFedExternalDomainFederation verwenden, um einen Verbund mit einem Identitätsanbieter einzurichten, der entweder das SAML- oder WS-Fed-Protokoll unterstützt.

Schritt 4: Testen des SAML/WS-Fed-IdP-Verbunds in Azure AD

Testen Sie nun Ihre Einrichtung des Verbunds, indem Sie einen neuen B2B-Gastbenutzer einladen. Detailinformationen finden Sie unter Hinzufügen von Azure AD B2B-Zusammenarbeitsbenutzern im Azure-Portal.

Wie kann ich die Zertifikats- oder Konfigurationsdetails aktualisieren?

Auf der Seite Alle Identitätsanbieter können Sie die Liste der SAML/WS-Fed-Identitätsanbieter mit den jeweiligen Zertifikatablaufdaten anzeigen, die Sie konfiguriert haben. In dieser Liste können Sie Zertifikate verlängern und andere Konfigurationsdetails ändern.

Screenshot showing an identity provider in the SAML WS-Fed list

  1. Öffnen Sie das Azure-Portal. Wählen Sie im linken Bereich Azure Active Directory aus.

  2. Wählen Sie Externe Identitäten aus.

  3. Wählen Sie Alle Identitätsanbieter aus.

  4. Scrollen Sie unter SAML/WS-Fed-Identitätsanbieter zu einem Identitätsanbieter in der Liste, oder verwenden Sie das Suchfeld.

  5. So aktualisieren Sie die Zertifikats- oder Konfigurationsdetails

    • Wählen Sie in der Spalte Konfiguration für den Identitätsanbieter den Link Bearbeiten aus.
    • Ändern Sie auf der Konfigurationsseite nach Bedarf die folgenden Details:
      • Anzeigename: Anzeigename für die Organisation des Partners.
      • Identitätsanbieterprotokoll: Wählen Sie SAML oder WS-Fed aus.
      • Passiver Authentifizierungsendpunkt: Der passive Anforderungsendpunkt des Partneridentitätsanbieters.
      • Zertifikat: Die ID des Signaturzertifikats. Um das Zertifikat zu verlängern, geben Sie eine neue Zertifikat-ID ein.
      • Metadaten-URL: Die URL, die die Metadaten des Partners enthält, die zur automatischen Verlängerung des Signaturzertifikats verwendet werden.
    • Wählen Sie Speichern aus.

    Screenshot of the IDP configuration details.

  6. Um die Domäne für den Identitätsanbieter anzuzeigen, wählen Sie den Link in der Spalte Domänen aus, um den Namen der Zieldomäne des Partners für den Verbund anzuzeigen.

    Hinweis

    Wenn Sie die Domäne des Partners aktualisieren müssen, müssen Sie die Konfiguration löschen und den Verbund mit dem Identitätsanbieter mithilfe der neuen Domäne neu konfigurieren.

    Screenshot of the domain configuration page

Gewusst wie – einen Verbund entfernen

Sie können Ihre Verbundkonfiguration entfernen. Wenn Sie das tun, können sich Verbundgastbenutzer, die ihre Einladungen bereits eingelöst haben, nicht mehr anmelden. Sie können ihnen jedoch den Zugriff auf ihre Ressourcen zurückgeben, indem Sie ihren Einlösungsstatus zurücksetzen. So entfernen Sie eine Konfiguration für einen Identitätsanbieter im Azure AD-Portal

  1. Öffnen Sie das Azure-Portal. Wählen Sie im linken Bereich Azure Active Directory aus.

  2. Wählen Sie Externe Identitäten aus.

  3. Wählen Sie Alle Identitätsanbieter aus.

  4. Scrollen Sie unter SAML/WS-Fed-Identitätsanbieter in der Liste zu dem Identitätsanbieter, oder verwenden Sie das Suchfeld.

  5. Wählen Sie den Link in der Spalte Domänen aus, um die Domänendetails des Identitätsanbieters anzuzeigen.

  6. Wählen Sie Konfiguration löschen aus.

    Screenshot of deleting a configuration.

  7. Wählen Sie OK aus, um den Löschvorgang zu bestätigen.

Sie können den Verbund auch mithilfe des Microsoft Graph-API-Ressourcentyps samlOrWsFedExternalDomainFederation-Ressourcentyps entfernen.

Nächste Schritte

Erfahren Sie mehr über die Umgebung zum Einlösen von Einladungen, wenn sich externe Benutzer mit verschiedenen Identitätsanbietern anmelden.