Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: 
Mitarbeitermandanten Externe Mandanten (weitere Informationen)
Ihr Microsoft Entra-Mandant kann direkt mit externen Organisationen verbunden werden, die einen SAML- oder WS-Verbund-Identitätsanbieter (IDP) verwenden. Benutzer aus der externen Organisation können dann ihre eigenen idP-verwalteten Konten verwenden, um sich bei Ihren Apps oder Ressourcen anzumelden, entweder während der Einladungseinlösung oder der Self-Service-Registrierung, ohne neue Microsoft Entra-Anmeldeinformationen erstellen zu müssen. Der Benutzer wird beim Registrieren oder Anmelden bei Ihrer App zu ihrem IdP umgeleitet und nach der erfolgreichen Anmeldung an Microsoft Entra zurückgegeben.
Voraussetzungen
- Überprüfen Sie die Konfigurationsdetails bei SAML/WS-Fed-Identitätsanbietern.
- Ein Mitarbeitermandant oder ein externer Mandant.
So konfigurieren Sie den SAML/WS-Fed IdP-Verbund
Schritt 1: Ermitteln, ob der Partner seine DNS-Textdatensätze aktualisieren muss
Führen Sie die folgenden Schritte aus, um zu ermitteln, ob der Partner seine DNS-Einträge aktualisieren muss, um den Partnerverbund mit Ihnen zu aktivieren.
Überprüfen Sie die passive IdP-Authentifizierungs-URL des Partners, um festzustellen, ob die Domäne mit der Zieldomäne oder einem Host innerhalb der Zieldomäne übereinstimmt. Anders ausgedrückt: Beim Einrichten eines Verbunds für
fabrikam.comgilt Folgendes:- Wenn der passive Authentifizierungsendpunkt
https://fabrikam.comoderhttps://sts.fabrikam.com/adfs(ein Host in derselben Domäne) lautet, sind keine DNS-Änderungen erforderlich. - Wenn der passive Authentifizierungsendpunkt
https://fabrikamconglomerate.com/adfsoderhttps://fabrikam.co.uk/adfslautet, stimmt die Domäne nicht mit der fabrikam.com-Domäne überein. Der Partner muss seiner DNS-Konfiguration daher einen Texteintrag für die Authentifizierungs-URL hinzufügen.
- Wenn der passive Authentifizierungsendpunkt
Wenn gemäß dem vorherigen Schritt DNS-Änderungen erforderlich sind, bitten Sie den Partner, den DNS-Einträgen seiner Domäne einen TXT-Eintrag hinzuzufügen, wie im folgenden Beispiel gezeigt:
fabrikam.com. IN TXT DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs
Schritt 2: Konfigurieren des IdPs des Partnerunternehmens
Als Nächstes muss Ihr Partnerunternehmen ihren IdP mit den erforderlichen Ansprüchen und Vertrauensstellungen der vertrauenden Seite konfigurieren. Damit eine Föderation ordnungsgemäß funktioniert, erfordert Microsoft Entra External ID, dass der externe IdP bestimmte Attribute und Ansprüche sendet, die am externen IdP konfiguriert werden müssen.
Hinweis
Um zu veranschaulichen, wie ein SAML/WS-Fed IdP für den Partnerverbund konfiguriert wird, verwenden wir Active Directory-Verbunddienste (AD FS) als Beispiel. Lesen Sie den Artikel Konfigurieren von SAML/WS-Fed IdP-Partnerverbund mit AD FS, der Beispiele zum Konfigurieren von AD FS als SAML 2.0 oder WS-Fed IdP in Vorbereitung auf den Partnerverbund enthält.
So konfigurieren Sie einen SAML 2.0-Identitätsanbieter
Microsoft Entra External ID erfordert, dass die SAML 2.0-Antwort des externen IdP bestimmte Attribute und Claims enthält. Die erforderlichen Attribute und Ansprüche können im externen IdP entweder konfiguriert werden:
- Verknüpfung mit der XML-Datei des Online-Sicherheitstokens-Dienstes oder
- Manuelles Eingeben der Werte
In den folgenden Tabellen finden Sie die erforderlichen Werte.
Hinweis
Stellen Sie sicher, dass der Wert mit der Cloud übereinstimmt, für die Sie einen externen Verbund einrichten.
Tabelle 1: Erforderliche Attribute für die SAML 2.0-Antwort vom IdP.
| Attribut | Wert für einen Mitarbeitermandanten | Wert für einen externen Mandanten |
|---|---|---|
| AssertionConsumerService | https://login.microsoftonline.com/login.srf |
https://<tenantID>.ciamlogin.com/login.srf |
| Zielgruppe | https://login.microsoftonline.com/<tenant ID>/ (Empfohlen) Ersetzen Sie <tenant ID> durch die Mandanten-ID des Microsoft Entra-Mandanten, mit dem Sie einen Verbund einrichten.In der SAML-Anforderung, die von Microsoft Entra ID für externe Verbunde gesendet wird, ist die Aussteller-URL ein Mandantenendpunkt (zum Beispiel https://login.microsoftonline.com/<tenant ID>/). Für alle neuen Verbunde wird empfohlen, dass alle unsere Partner die Zielgruppe des SAML- oder WS-Fed-basierten IdP auf einen mandantenbasierten Endpunkt festlegen. Alle vorhandenen Partnerverbunde, die mit dem globalen Endpunkt konfiguriert sind (z. B. urn:federation:MicrosoftOnline), funktionieren weiterhin, aber neue Partnerverbunde funktionieren nicht mehr, wenn Ihr externer IdP eine globale Aussteller-URL in der SAML-Anforderung erwartet, die von Microsoft Entra ID gesendet wird. |
https://login.microsoftonline.com/<tenant ID>/Ersetzen Sie <tenant ID> durch die Mandanten-ID des Microsoft Entra-Mandanten, mit dem Sie eine Föderation einrichten. |
| Issuer | Der Aussteller-URI des Partneridentitätsanbieters, z. B. http://www.example.com/exk10l6w90DHM0yi... |
Der Aussteller-URI des Partneridentitätsanbieters, z. B. http://www.example.com/exk10l6w90DHM0yi... |
Tabelle 2: Erforderliche Ansprüche für das VOM IDP ausgestellte SAML 2.0-Token.
| Attributname | value |
|---|---|
| NameID-Format | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Die E-Mail-Adresse des Benutzers |
So konfigurieren Sie einen WS-Fed Identitätsanbieter
Microsoft Entra External ID erfordert, dass die WS-Fed-Nachricht des externen IdP bestimmte Attribute und Ansprüche enthält. Die erforderlichen Attribute und Ansprüche können im externen IdP entweder konfiguriert werden:
- Verknüpfung mit der XML-Datei des Online-Sicherheitstokens-Dienstes oder
- Manuelles Eingeben der Werte
Hinweis
Derzeit sind die beiden WS-Fed Anbieter, die auf Kompatibilität mit Microsoft Entra ID getestet wurden, AD FS und Shibboleth.
Erforderliche WS-Verbund-Attribute und -Ansprüche
In den folgenden Tabellen sind die Anforderungen für bestimmte Attribute und Ansprüche aufgeführt, die bei dem Drittanbieter WS-Fed-IdP konfiguriert werden müssen. Die folgenden Attribute müssen in der WS-Fed-Nachricht vom Identitätsanbieter empfangen werden, um einen Verbund einzurichten. Diese Attribute können durch Verlinkung mit der XML-Datei des Online-Sicherheitstokendiensts oder durch manuelle Eingabe konfiguriert werden.
In den folgenden Tabellen finden Sie die erforderlichen Werte.
Hinweis
Stellen Sie sicher, dass der Wert mit der Cloud übereinstimmt, für die Sie einen externen Verbund einrichten.
Tabelle 3: Erforderliche Attribute in der WS-Verbund-Nachricht vom Identitätsanbieter
| Attribut | Wert für einen Mitarbeitermandanten | Wert für einen externen Mandanten |
|---|---|---|
| PassiveRequestorEndpoint | https://login.microsoftonline.com/login.srf |
https://<tenantID>.ciamlogin.com/login.srf |
| Zielgruppe | https://login.microsoftonline.com/<tenant ID>/ (Empfohlen) Ersetzen Sie <tenant ID> durch die Mandanten-ID des Microsoft Entra-Mandanten, mit dem Sie einen Verbund einrichten.In der SAML-Anforderung, die von Microsoft Entra ID für externe Verbunde gesendet wird, ist die Aussteller-URL ein Mandantenendpunkt (zum Beispiel https://login.microsoftonline.com/<tenant ID>/). Für alle neuen Verbunde wird empfohlen, dass alle unsere Partner die Zielgruppe des SAML- oder WS-Fed-basierten IdP auf einen mandantenbasierten Endpunkt festlegen. Alle vorhandenen Partnerverbunde, die mit dem globalen Endpunkt konfiguriert sind (z. B. urn:federation:MicrosoftOnline), funktionieren weiterhin, aber neue Partnerverbunde funktionieren nicht mehr, wenn Ihr externer IdP eine globale Aussteller-URL in der SAML-Anforderung erwartet, die von Microsoft Entra ID gesendet wird. |
https://login.microsoftonline.com/<tenant ID>/ Ersetzen Sie <tenant ID> durch die Mandanten-ID des Microsoft Entra-Mandanten, mit dem Sie eine Föderation einrichten. |
| Issuer | Der Aussteller-URI des Partneridentitätsanbieters, z. B. http://www.example.com/exk10l6w90DHM0yi... |
Der Aussteller-URI des Partneridentitätsanbieters, z. B. http://www.example.com/exk10l6w90DHM0yi... |
Tabelle 4: Erforderliche Ansprüche für das vom IdP ausgestellte WS-Fed-Token.
| Attribut | value |
|---|---|
| Unveränderliche ID | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
| E-Mail-Adresse | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Schritt 3: Konfigurieren des SAML/WS-Fed IdP-Verbunds in Microsoft Entra External ID
Konfigurieren Sie als Nächstes den Verbund mit dem in Schritt 1 konfigurierten IdP in Microsoft Entra External ID. Sie können entweder das Microsoft Entra Admin Center oder die Microsoft Graph-API verwenden. Es kann 5–10 Minuten dauern, bis die Verbundrichtlinie wirksam wird. Versuchen Sie während dieses Zeitraums nicht, die Self-Service-Registrierung abzuschließen oder eine Einladung für die Verbunddomäne einzulösen. Die folgenden Attribute sind erforderlich:
- Aussteller-URI des Partneridentitätsanbieters
- Passiver Authentifizierungsendpunkt des Partneridentitätsanbieters (nur HTTPS wird unterstützt)
- Zertifikat
So fügen Sie den IdP zu Ihrem Mandanten im Microsoft Entra Admin Center hinzu
Melden Sie sich mindestens in der Rolle eines Administrators für externe Identitätsanbieter im Microsoft Entra Admin Center an.
Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie das Symbol "Einstellungen"
im oberen Menü, und wechseln Sie über das Menü "Verzeichnisse " zu Ihrem Mandanten.Navigieren Sie zu Entra ID>Externe Identitäten>alle Identitätsanbieter.
Wählen Sie die Registerkarte "Benutzerdefiniert " und dann " Neue>SAML/WS-Fed hinzufügen" aus.
Geben Sie auf der Seite "Neues SAML/WS-Fed IdP " Folgendes ein:
- Anzeigename – Geben Sie einen Namen ein, um den IdP des Partners zu identifizieren.
- Identitätsanbieterprotokoll – Wählen Sie SAML oder WS-Fed aus.
- Domänenname des Partnerverbund-IDP – Geben Sie den IdP-Zieldomänennamen Ihres Partners für den Partnerverbund ein. Geben Sie während dieser anfänglichen Konfiguration nur einen Domänennamen ein. Sie können später weitere Domänen hinzufügen.
Auswählen einer Methode zum Auffüllen von Metadaten. Wenn Sie über eine Datei verfügen, die die Metadaten enthält, können Sie die Felder automatisch auffüllen, indem Sie die Analysemetadatendatei auswählen und nach der Datei suchen. Alternativ können Sie Eingabemetadaten manuell auswählen und die folgenden Informationen eingeben:
- Der Aussteller-URI des SAML-IdP des Partners oder die Entitäts-ID des WS-Fed-IdP des Partners.
- Der Passive Authentifizierungsendpunkt des SAML-IdP des Partners oder der Passive Anfordererendpunkt des WS-Fed IdP des Partners.
- Zertifikat – Die Signaturzertifikat-ID.
- Metadaten-URL – Der Speicherort der IdP-Metadaten für die automatische Erneuerung des Signaturzertifikats.
Hinweis
Metadaten-URL ist optional. Es wird jedoch dringend empfohlen. Wenn Sie die Metadaten-URL angeben, kann Microsoft Entra ID das Signaturzertifikat automatisch verlängern, wenn es abläuft. Wenn das Zertifikat aus irgendeinem Grund vor der Ablaufzeit gedreht wird oder Wenn Sie keine Metadaten-URL angeben, kann die Microsoft Entra-ID sie nicht verlängern. In diesem Fall müssen Sie das Signaturzertifikat manuell aktualisieren.
Wählen Sie "Speichern" aus. Der Identitätsanbieter wird der SAML/WS-Fed Identitätsanbieterliste hinzugefügt.
(Optional) So fügen Sie diesem Verbundidentitätsanbieter weitere Domänennamen hinzu:
Wählen Sie den Link in der Spalte "Domänen" aus.
Geben Sie neben dem Domänennamen des Partner-IDP den Domänennamen ein, und wählen Sie dann "Hinzufügen" aus. Wiederholen Sie diesen Schritt für jede Domäne, die Sie hinzufügen möchten. Wenn Sie fertig sind, wählen Sie "Fertig" aus.
So konfigurieren Sie den Verbund mit der Microsoft Graph-API
Sie können den Ressourcentyp samlOrWsFedExternalDomainFederation der Microsoft Graph API verwenden, um einen Partnerverbund mit einem Identitätsanbieter einzurichten, der entweder das SAML- oder das WS-Fed-Protokoll unterstützt.
Schritt 4: Konfigurieren des Einlösungsauftrags (B2B-Zusammenarbeit in Mitarbeitermandanten)
Wenn Sie den Verbund in Ihrem Mitarbeitermandanten für B2B Collaboration mit einer überprüften Domäne konfigurieren, stellen Sie sicher, dass der Partneridentitätsanbieter zunächst beim Einlösen der Einladung verwendet wird. Konfigurieren Sie die Einstellungen für die Einlösereihenfolge in Ihren mandantenübergreifenden Zugriffseinstellungen für den eingehenden B2B Collaboration-Datenverkehr. Verschieben Sie SAML/WS-Fed Identitätsanbieter an den Anfang der Liste der primären Identitätsanbieter , um die Einlösung mit dem Verbund-IDP zu priorisieren.
Sie können das Partnerverbundsetup testen, indem Sie einen neuen B2B-Gastbenutzer einladen. Ausführliche Informationen finden Sie unter Hinzufügen von Microsoft Entra B2B-Benutzern für die Zusammenarbeit im Microsoft Entra Admin Center.
Hinweis
Sie können den Einladungseinlösungsauftrag mithilfe der Microsoft Graph-REST-API (Betaversion) konfigurieren. Siehe Beispiel 2: Aktualisieren der Standardkonfiguration zur Einlösung von Einladungen in der Microsoft Graph-Referenzdokumentation.
So aktualisieren Sie die Zertifikat- oder Konfigurationsdetails
Auf der Seite „Alle Identitätsanbieter“ können Sie die Liste der konfigurierten SAML/WS-Fed-Identitätsanbieter und deren Zertifikatsablaufdaten anzeigen. In dieser Liste können Sie Zertifikate verlängern und andere Konfigurationsdetails ändern.
Melden Sie sich mindestens in der Rolle eines Administrators für externe Identitätsanbieter im Microsoft Entra Admin Center an.
Navigieren Sie zu Entra ID>Externe Identitäten>alle Identitätsanbieter.
Wählen Sie die Registerkarte "Benutzerdefiniert" aus.
Scrollen Sie zu einem Identitätsanbieter in der Liste, oder verwenden Sie das Suchfeld.
So aktualisieren Sie die Zertifikats- oder Konfigurationsdetails
- Wählen Sie in der Spalte "Konfiguration" für den Identitätsanbieter den Link "Bearbeiten" aus.
- Ändern Sie auf der Konfigurationsseite nach Bedarf die folgenden Details:
- Anzeigename – Name der Organisation des Partners.
- Identitätsanbieterprotokoll – Wählen Sie SAML oder WS-Fed aus.
- Passiver Authentifizierungsendpunkt – Der passive Anfordererendpunkt des Partner-IdP.
- Zertifikat – Die ID des Signaturzertifikats. Um das Zertifikat zu verlängern, geben Sie eine neue Zertifikat-ID ein.
- Metadaten-URL – Die URL, die die Metadaten des Partners enthält, wird für die automatische Erneuerung des Signaturzertifikats verwendet.
- Wählen Sie "Speichern" aus.
Um die dem Partner zugeordneten Domänen zu bearbeiten, wählen Sie den Link in der Spalte "Domänen" aus. Im Bereich „Domänendetails“:
- Wenn Sie eine Domäne hinzufügen möchten, geben Sie den Domänennamen neben dem Domänennamen des Partner-IdP ein, und wählen Sie dann "Hinzufügen" aus. Wiederholen Sie diesen Schritt für jede Domäne, die Sie hinzufügen möchten.
- Um eine Domäne zu löschen, wählen Sie das Symbol „Löschen“ neben der Domäne aus.
- Wenn Sie fertig sind, wählen Sie "Fertig" aus.
Hinweis
Wenn Sie einen Partnerverbund entfernen möchten, löschen Sie zuerst alle Domänen mit Ausnahme eines, und führen Sie dann die Schritte im nächsten Abschnitt aus.
So entfernen Sie die Föderation
Sie können Ihre Verbundkonfiguration entfernen. Wenn Sie dies tun, können sich Partnerverbund-Gastbenutzer, die ihre Einladungen bereits eingelöst haben, nicht mehr anmelden. Sie können ihnen jedoch wieder Zugriff auf Ihre Ressourcen gewähren, indem Sie ihren Einlösungsstatus zurücksetzen. So entfernen Sie eine Konfiguration für einen IdP im Microsoft Entra Admin Center:
Melden Sie sich mindestens in der Rolle eines Administrators für externe Identitätsanbieter im Microsoft Entra Admin Center an.
Navigieren Sie zu Entra ID>Externe Identitäten>alle Identitätsanbieter.
Wählen Sie die Registerkarte "Benutzerdefiniert " aus, und scrollen Sie dann in der Liste zum Identitätsanbieter, oder verwenden Sie das Suchfeld.
Wählen Sie den Link in der Spalte "Domänen " aus, um die Domänendetails des IdP anzuzeigen.
Löschen Sie alle Domänen außer einer der Domänen in der Domänennamenliste .
Wählen Sie "Konfiguration löschen" und dann " Fertig" aus.
Wählen Sie 'OK' aus, um den Löschvorgang zu bestätigen.
Sie können den Partnerverbund auch mithilfe des Ressourcentyps samlOrWsFedExternalDomainFederation der Microsoft Graph-API entfernen.
Nächste Schritte
- Externe Mandanten:Fügen Sie den SAML/WS-Fed Identitätsanbieter einem Benutzerablauf hinzu.
- Belegschaftsmieter: Erfahren Sie mehr über den Ablauf der Einladungseinlösung, wenn sich externe Benutzer mit verschiedenen Identitätsanbietern anmelden.