Beispiel: Konfigurieren des SAML/WS-Fed-basierten Identitätsanbieterverbunds mit AD FS

  • Artikel

Hinweis

  • Ein Direkter Verbund in Microsoft Entra External ID wird jetzt als SAML/WS-Fed-Identitätsanbieter (IdP)-Verbundbezeichnet.

Dieser Artikel beschreibt, wie Sie einen SAML/WS-Fed IdP-Verbund mit Active Directory-Verbunddiensten (AD FS) als SAML 2.0 oder WS-Fed-IdP einrichten. Um den Verbund zu unterstützen, müssen beim Identitätsanbieter bestimmte Attribute und Ansprüche konfiguriert werden. Wir verwenden als Beispiel Active Directory-Verbunddienste (AD FS), um zu veranschaulichen, wie ein Identitätsanbieter für einen Verbund konfiguriert wird. Wir zeigen, wie man AD FS sowohl als SAML-Identitätsanbieter als auch als WS-Fed-Identitätsanbieter einrichtet.

Hinweis

Dieser Artikel beschreibt, wie Sie AD FS sowohl für SAML als auch für WS-Verbund zur Veranschaulichung einrichten. Für Verbundintegrationen, bei denen der Identitätsanbieter AD FS ist, wird empfohlen WS-Fed als Protokoll zu verwenden.

Konfigurieren von AD FS für den SAML 2.0-Verbund

Microsoft Entra B2B kann so konfiguriert werden, dass es einen Verbund mit Identitätsanbietern bildet, die das SAML-Protokoll mit den unten aufgeführten bestimmten Anforderungen verwenden. Für die Veranschaulichung der SAML-Konfiguration wird in diesem Abschnitt gezeigt, wie AD FS für SAML 2.0 eingerichtet wird.

Die folgenden Attribute müssen in der SAML 2.0-Antwort vom Identitätsanbieter empfangen werden, um einen Verbund einzurichten. Diese Attribute können durch Verlinkung mit der XML-Datei des Online-Sicherheitstokendiensts oder durch manuelle Eingabe konfiguriert werden. Schritt 12 unter Erstellen einer AD FS-Testinstanz beschreibt, wie Sie die AD FS-Endpunkte finden oder wie Sie Ihre Metadaten-URL generieren, z. B. https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.

Attribut Wert
AssertionConsumerService https://login.microsoftonline.com/login.srf
Zielgruppe urn:federation:MicrosoftOnline
Issuer (Aussteller) Der Aussteller-URI des Partneridentitätsanbieters, z. B. http://www.example.com/exk10l6w90DHM0yi...

Die folgenden Ansprüche müssen in dem vom Identitätsanbieter ausgegebenen SAML 2.0-Token konfiguriert werden:

attribute Wert
NameID-Format urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
emailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Im nächsten Abschnitt wird veranschaulicht, wie die erforderlichen Attribute und Ansprüche unter Verwendung von AD FS als ein Beispiel für einen SAML 2.0-Identitätsanbieter, konfiguriert werden.

Voraussetzungen

Ein AD FS-Server muss bereits eingerichtet und funktionsfähig sein, bevor Sie mit diesem Vorgang beginnen.

Hinzufügen der Anspruchsbeschreibung

  1. Wählen Sie auf dem AD FS-Server Tools>AD FS-Verwaltung aus.

  2. Klicken Sie im Navigationsbereich auf Dienst>Anspruchsbeschreibungen.

  3. Klicken Sie unter Aktionen auf Anspruchsbeschreibung hinzufügen.

  4. Geben Sie im Fenster Anspruchsbeschreibung hinzufügen die folgenden Werte an:

    • Anzeigename: persistenter Bezeichner
    • Anspruchsbezeichner: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
    • Aktivieren Sie das Kontrollkästchen Diese Anspruchsbeschreibung in Verbundmetadaten als Anspruchstyp veröffentlichen, den dieser Verbunddienst akzeptiert.
    • Aktivieren Sie das Kontrollkästchen Diese Anspruchsbeschreibung in Verbundmetadaten als Anspruchstyp veröffentlichen, den dieser Verbunddienst senden kann.

  5. Klicken Sie auf OK.

Zuverlässige Vertrauensstelle hinzufügen

  1. Wechseln Sie auf dem AD FS-Server zu Tools>AD FS-Verwaltung.

  2. Wählen Sie im Navigationsbereich Zuverlässige Vertrauensstelle aus.

  3. Wählen Sie unter Aktionen die Option Vertrauensstellung der vertrauenden Seite hinzufügen aus.

  4. Wählen Sie im Assistenten Zuverlässige Vertrauensstelle hinzufügen die Option Ansprüche bekannt und dann Starten aus.

  5. Aktivieren Sie im Abschnitt Datenquelle auswählen das Kontrollkästchen für Online oder in einem lokalen Netzwerk veröffentlichte Daten über die zuverlässige Stelle importieren. Geben Sie diese Verbundmetadaten-URL ein: https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. Wählen Sie Weiter aus.

  6. Lassen Sie die anderen Einstellungen in ihren Standardoptionen. Wählen Sie Weiter und danach Schließen, um den Assistenten zu schließen.

  7. Klicken Sie in AD FS-Verwaltung unter Vertrauensstellungen der vertrauenden Seite mit der rechten Maustaste auf die soeben erstellte Vertrauensstellung der vertrauenden Seite, und wählen Sie Eigenschaften aus.

  8. Deaktivieren Sie auf der Registerkarte Überwachung das Kontrollkästchen Vertrauende Seite überwachen.

  9. Geben Sie auf der Registerkarte Bezeichner im Textfeld Bezeichner der vertrauenden Seite den Wert https://login.microsoftonline.com/<tenant ID>/ ein, und verwenden Sie hierbei die Mandanten-ID für den Microsoft Entra-Mandanten des Servicepartners. Wählen Sie Hinzufügen.

    Hinweis

    Achten Sie darauf, nach der Mandanten-ID einen Schrägstrich (/) einzufügen, Beispiel: https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.

  10. Klicken Sie auf OK.

Anspruchsregeln erstellen

  1. Klicken Sie mit der rechten Maustaste auf die zuverlässige Vertrauensstelle, die Sie erstellt haben, und wählen Sie dann Forderungsausstellungsrichtlinie bearbeiten aus.

  2. Wählen Sie im Assistenten zum Bearbeiten von Anspruchsregeln die Option Regel hinzufügen aus.

  3. Wählen Sie in Anspruchsregelvorlage die Option LDAP-Attribute als Ansprüche senden aus.

  4. Geben Sie unter Anspruchsregel konfigurieren die folgenden Werte an:

    • Anspruchsregelname: E-Mail-Anspruchsregel
    • Attributspeicher: Active Directory
    • LDAP-Attribut: E-Mail-Adressen
    • Typ des ausgehenden Anspruchs: E-Mail-Adresse

  5. Wählen Sie Fertig stellen aus.

  6. Wählen Sie Regel hinzufügen aus.

  7. Wählen Sie in Anspruchsregelvorlage die Option Eingehenden Anspruch transformieren und dann Weiter aus.

  8. Geben Sie unter Anspruchsregel konfigurieren die folgenden Werte an:

    • Anspruchsregelname: E-Mail-Transformationsregel
    • Typ des eingehenden Anspruchs: E-Mail-Adresse
    • Typ des ausgehenden Anspruchs: Namens-ID
    • Format der ausgehenden Namens-ID: persistenter Bezeichner
    • Wählen Sie Durchlauf aller Anspruchswerte.

  9. Wählen Sie Fertig stellen aus.

  10. Die neuen Regeln werden im Bereich Anspruchungsregeln bearbeiten angezeigt. Klicken Sie auf Übernehmen.

  11. Klicken Sie auf OK. Der AD FS-Server ist jetzt für den Verbund mit dem SAML 2.0-Protokoll konfiguriert.

Konfigurieren von AD FS für den WS-Fed Verbund

Microsoft Entra B2B kann so konfiguriert werden, dass es einen Verbund mit Identitätsanbietern bildet, die das WS-Fed-Protokoll mit den unten aufgeführten bestimmten Anforderungen verwenden. Derzeit sind die beiden WS-Fed-Anbieter auf Kompatibilität mit Microsoft Entra External ID getestet, einschließlich AD FS und Shibboleth. Hier werden wir Active Directory-Verbunddienste (AD FS) als Beispiel für den WS-Fed-Identitätsanbieter verwenden. Weitere Informationen zum Aufbau einer Vertrauensstellung der vertrauenden Seite zwischen einem mit kompatiblen WS-Fed-Anbieter mit Microsoft Entra External ID finden Sie in den Dokumenten zur Kompatibilität des Microsoft Entra-Identitätsanbieters.

Die folgenden Attribute müssen in der WS-Fed-Nachricht vom Identitätsanbieter empfangen werden, um einen Verbund einzurichten. Diese Attribute können durch Verlinkung mit der XML-Datei des Online-Sicherheitstokendiensts oder durch manuelle Eingabe konfiguriert werden. Schritt 12 unter Erstellen einer AD FS-Testinstanz beschreibt, wie Sie die AD FS-Endpunkte finden oder wie Sie Ihre Metadaten-URL generieren, z. B. https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.

Attribut Wert
PassiveRequestorEndpoint https://login.microsoftonline.com/login.srf
Zielgruppe urn:federation:MicrosoftOnline
Issuer (Aussteller) Der Aussteller-URI des Partneridentitätsanbieters, z. B. http://www.example.com/exk10l6w90DHM0yi...

Erforderliche Ansprüche für das vom Identitätsanbieter ausgegebene WS-Verbund-Token:

attribute Wert
ImmutableID http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
emailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Im nächsten Abschnitt wird veranschaulicht, wie Sie die erforderlichen Attribute und Ansprüche unter Verwendung von AD FS als ein Beispiel für einen WS-Fed-Identitätsanbieter konfigurieren.

Voraussetzungen

Ein AD FS-Server muss bereits eingerichtet und funktionsfähig sein, bevor Sie mit diesem Vorgang beginnen.

Zuverlässige Vertrauensstelle hinzufügen

  1. Wechseln Sie auf dem AD FS-Server zu Tools>AD FS-Verwaltung.

  2. Wählen Sie im Navigationsbereich Vertrauensstellungen>Vertrauensstellungen der vertrauenden Seite aus.

  3. Wählen Sie unter Aktionen die Option Vertrauensstellung der vertrauenden Seite hinzufügen aus.

  4. Wählen Sie im Assistenten zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite die Option Ansprüche unterstützend aus, und klicken Sie dann auf „Starten“.

  5. Wählen Sie im Bereich Datenquelle auswählen den Eintrag Daten über die vertrauende Seite manuell eingeben aus, und wählen Sie anschließend Weiter aus.

  6. Geben Sie auf der Seite Anzeigename angeben im Feld Anzeigename einen Namen ein. Optional können Sie im Abschnitt Hinweise eine Beschreibung für diese Vertrauensstellung der vertrauenden Seite eingeben. Klicken Sie auf Weiter.

  7. Wenn Sie über ein Tokenverschlüsselungszertifikat verfügen, können Sie auf der Seite Zertifikat konfigurieren anhand der Option Durchsuchen optional nach einer Zertifikatdatei suchen. Klicken Sie auf Weiter.

  8. Aktivieren Sie auf der Seite URL konfigurieren das Kontrollkästchen Unterstützung für das passive WS-Verbundprotokoll aktivieren. Geben Sie unter URL des passiven WS-Verbundprotokolls der vertrauenden Seite die folgende URL ein: https://login.microsoftonline.com/login.srf

  9. Klicken Sie auf Weiter.

  10. Geben Sie auf der Seite Bezeichner konfigurieren die folgenden URLs ein, und wählen Sie Hinzufügen aus. Geben Sie in der zweiten URL die Mandanten-ID für den Microsoft Entra-Mandanten des Servicepartners ein.

    • urn:federation:MicrosoftOnline
    • https://login.microsoftonline.com/<tenant ID>/

    Hinweis

    Achten Sie darauf, nach der Mandanten-ID einen Schrägstrich (/) einzufügen, Beispiel: https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.

  11. Klicken Sie auf Weiter.

  12. Wählen Sie auf der Seite Zugriffssteuerungsrichtlinie auswählen eine Richtlinie und dann Weiter aus.

  13. Überprüfen Sie die Einstellungen auf der Seite Bereit zum Hinzufügen der Vertrauensstellung, und wählen Sie dann Weiter aus, um die Daten Ihrer Vertrauensstellung der vertrauenden Seite zu speichern.

  14. Wählen Sie auf der Seite Fertig stellen die Option Schließen aus. Wählen Sie „Vertrauensstellung der vertrauenden Seite“ aus, und wählen Sie Anspruchsausstellungsrichtlinie bearbeiten aus.

Anspruchsregeln erstellen

  1. Wählen Sie die soeben erstellte Vertrauensstellung der vertrauenden Seite und dann Anspruchsausstellungsrichtlinie bearbeiten aus.

  2. Wählen Sie Regel hinzufügen aus.

  3. Wählen Sie LDAP-Attribute als Ansprüche senden und dann Weiter aus.

  4. Geben Sie unter Anspruchsregel konfigurieren die folgenden Werte an:

    • Anspruchsregelname: E-Mail-Anspruchsregel
    • Attributspeicher: Active Directory
    • LDAP-Attribut: E-Mail-Adressen
    • Typ des ausgehenden Anspruchs: E-Mail-Adresse

  5. Wählen Sie Fertig stellen aus.

  6. Wählen Sie im gleichen Assistenten zum Bearbeiten von Anspruchsregeln die Option Regel hinzufügen aus.

  7. Wählen Sie Ansprüche mithilfe einer benutzerdefinierten Regel senden und dann Weiter aus.

  8. Geben Sie unter Anspruchsregel konfigurieren die folgenden Werte an:

    • Anspruchsregelname: unveränderliche ID ausstellen
    • Benutzerdefinierte Regel: c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), query = "samAccountName={0};objectGUID;{1}", param = regexreplace(c.Value, "(?<domain>[^\\]+)\\(?<user>.+)", "${user}"), param = c.Value);

  9. Wählen Sie Fertig stellen aus.

  10. Klicken Sie auf OK. Der AD FS-Server ist nun für den Verbund mit WS-Fed konfiguriert.

Nächste Schritte

Als Nächstes konfigurieren Sie entweder im Azure-Portal oder mit der Microsoft Graph-API den SAML/WS-Fed IdP-Verbund in Microsoft Entra External ID.