Ejemplo: Configurar la federación de proveedores de identidad basados en SAML/WS-Fed con AD FS
Nota:
- La federación directa de Microsoft Entra External ID ahora se conoce como Federación con un proveedor de identidades (IdP) de SAML o WS-Fed.
En este artículo se describe cómo configurar la federación con un IdP de SAML/WS-Fed con los Servicios de federación de Active Directory (AD FS) como IdP de SAML 2.0 o WS-Fed. Para admitir la federación, deben configurarse ciertos atributos y notificaciones en el IdP. Para ilustrar cómo configurar un IdP para la federación, usamos los Servicios de federación de Active Directory (AD FS) como ejemplo. Le mostramos cómo configurar AD FS como un IdP de SAML y como un IdP de WS-Fed.
Nota:
En este artículo se describe cómo configurar AD FS para SAML y WS-Fed con fines meramente ilustrativos. Para las integraciones de federación en las que el IdP es AD FS, se recomienda utilizar WS-Fed como protocolo.
Configuración de AD FS para la federación de SAML 2.0
Microsoft Entra B2B se puede configurar para federarse con proveedores de identidades que usan el protocolo SAML con los requisitos específicos que se indican a continuación. Para ilustrar los pasos de configuración de SAML, esta sección muestra cómo configurar AD FS para SAML 2.0.
Para configurar la federación, se deben recibir los siguientes atributos en la respuesta de SAML 2.0 del proveedor de identidades. Estos atributos se pueden configurar mediante la vinculación con el archivo XML del servicio de token de seguridad en línea o la introducción manual. En el paso 12 de Create a test AD FS instance (Creación de una instancia de AD FS de prueba) se describe cómo buscar los puntos de conexión de AD FS o generar la dirección URL de metadatos, por ejemplo https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.
| Atributo | Value |
|---|---|
| AssertionConsumerService | https://login.microsoftonline.com/login.srf |
| Público | urn:federation:MicrosoftOnline |
| Emisor | El URI del emisor del asociado IdP, por ejemplohttp://www.example.com/exk10l6w90DHM0yi... |
Las siguientes notificaciones deben configurarse en el token SAML 2.0 emitido por el IdP:
| Atributo | Value |
|---|---|
| Formato de NameID | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
| emailaddress | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
En la sección siguiente se muestra cómo configurar los atributos y las notificaciones necesarios mediante AD FS como un ejemplo de un IdP de SAML 2.0.
Antes de empezar
Antes de iniciar este procedimiento, se debe configurar y poner en funcionamiento el servidor AD FS.
Adición de la descripción de notificación
En el servidor de AD FS, seleccione Herramientas>Administración de AD FS.
En el panel de navegación, seleccione Servicio>Descripciones de notificaciones.
En Acciones, seleccione Agregar descripción de notificación.
En la ventana Agregar descripción de notificación, especifique los valores siguientes:
- Nombre para mostrar: Identificador persistente
- Identificador de notificación:
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent - Active la casilla Publicar esta descripción de notificación en los metadatos de federación como un tipo de notificación que este Servicio de federación pueda aceptar.
- Active la casilla Publicar esta descripción de notificación en los metadatos de federación como un tipo de notificación que este Servicio de federación pueda enviar.
Seleccione Aceptar.
Adición de la relación de confianza para usuario de confianza
En el servidor de AD FS, vaya a Herramientas>Administración de AD FS.
En el panel de navegación, seleccione Veracidades de usuarios de confianza.
En Acciones, seleccione Agregar veracidad del usuario de confianza.
En el asistente para Agregar veracidad del usuario de confianza seleccione Compatible con notificaciones y, después, Iniciar.
En la sección Seleccionar origen de datos, seleccione la casilla de Importar los datos acerca del usuario de confianza publicados en línea o en una red local. Indique la dirección URL de metadatos de federación
https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. Seleccione Siguiente.Deje las demás opciones en sus opciones predeterminadas. Seleccione Siguiente para continuar y, por último, seleccione Cerrar para cerrar el asistente.
En Administración de AD FS, en Veracidades de usuarios de confianza, haga clic con el botón derecho en la veracidad de usuario de confianza que acaba de crear y seleccione Propiedades.
En la pestaña Supervisión, desactive la casilla Supervisar usuario de confianza.
En la pestaña Identificadores, escriba
https://login.microsoftonline.com/<tenant ID>/en el cuadro de texto Identificador del usuario de confianza mediante el id. del inquilino de Microsoft Entra del asociado de servicio. Seleccione Agregar.Nota
Asegúrese de incluir una barra diagonal (/) después del id. de inquilino, por ejemplo:
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.Seleccione Aceptar.
Creación de reglas de notificaciones
Haga clic con el botón derecho en la veracidad de usuario de confianza creada y seleccione Editar directiva de emisión de notificación.
En el asistente Editar reglas de notificación, seleccione Agregar regla.
En Plantilla de regla de notificación, seleccione Enviar atributos LDAP como notificaciones.
En Configurar regla de notificación, especifique los siguientes valores:
- Nombre de la regla de notificación: Regla de notificación de correo electrónico
- Almacén de atributos: Active Directory
- Atributo LDAP Direcciones de correo electrónico
- Tipo de notificación saliente: Dirección de correo electrónico
Seleccione Finalizar.
Seleccione Agregar regla.
En Plantilla de regla de notificación, seleccione Transformar una notificación entrante y, a continuación, Siguiente.
En Configurar regla de notificación, especifique los siguientes valores:
- Nombre de la regla de notificación: Regla de transformación de correo electrónico
- Tipo de notificación entrante: Dirección de correo electrónico
- Tipo de notificación saliente: Identificador de nombre
- Formato de id. de nombre saliente: Identificador persistente
- Seleccione Pasar a través todos los valores de notificaciones.
Seleccione Finalizar.
En el panel Edición de reglas de notificación se muestran las nuevas reglas. Seleccione Aplicar.
Seleccione Aceptar. El servidor de AD FS ahora está configurado para la federación mediante el protocolo SAML 2.0.
Configuración de AD FS para la federación de WS-Fed
Se puede configurar Microsoft Entra B2B para que funcione con proveedores de identidades que usan el protocolo WS-Fed con los requisitos específicos que se indican a continuación. Actualmente, los dos proveedores de WS-Fed se han probado para determinar su compatibilidad con Microsoft Entra External ID e incluyen AD FS y Shibboleth. En este caso, utilizamos los Servicios de federación de Active Directory (AD FS) como ejemplo del IdP de WS-Fed. Para obtener más información sobre el establecimiento de una confianza entre un proveedor compatible con WS-Fed y Microsoft Entra External ID, descargue los documentos de compatibilidad con proveedores de identidad de Microsoft Entra.
Para configurar la federación, se deben recibir los siguientes atributos en el mensaje de WS-Fed del proveedor de identidades. Estos atributos se pueden configurar mediante la vinculación con el archivo XML del servicio de token de seguridad en línea o la introducción manual. En el paso 12 de Create a test AD FS instance (Creación de una instancia de AD FS de prueba) se describe cómo buscar los puntos de conexión de AD FS o generar la dirección URL de metadatos, por ejemplo https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.
| Atributo | Value |
|---|---|
| PassiveRequestorEndpoint | https://login.microsoftonline.com/login.srf |
| Público | urn:federation:MicrosoftOnline |
| Emisor | El URI del emisor del asociado IdP, por ejemplohttp://www.example.com/exk10l6w90DHM0yi... |
Las notificaciones necesarias para el token de WS-Fed emitido por el proveedor de identidades:
| Atributo | Value |
|---|---|
| ImmutableID | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
| emailaddress | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
En la sección siguiente se muestra cómo configurar los atributos y las notificaciones necesarios mediante AD FS como un ejemplo de un IdP de WS-Fed.
Antes de empezar
Antes de iniciar este procedimiento, se debe configurar y poner en funcionamiento el servidor AD FS.
Adición de la relación de confianza para usuario de confianza
En el servidor de AD FS, vaya a Herramientas>Administración de AD FS.
En el panel de navegación, seleccione Relaciones de confianza>Veracidades de usuarios de confianza.
En Acciones, seleccione Agregar veracidad del usuario de confianza.
En el asistente para Agregar veracidad del usuario de confianza, seleccione Compatible con notificaciones y, después, Iniciar.
En la sección Seleccionar origen de datos, elija Escribir manualmente los datos sobre el usuario de confianza y seleccione Siguiente.
En la página Especificar nombre para mostrar, escriba un nombre en Nombre para mostrar. Opcionalmente, puede escribir una descripción para esta veracidad de usuario de confianza autenticado en la sección Notas. Seleccione Next (Siguiente).
También, en la página Configurar certificado, si tiene un certificado de cifrado de tokens, puede seleccionar Examinar para buscar el archivo de certificado. Seleccione Next (Siguiente).
En la página Configurar URL, seleccione la casilla Habilitar compatibilidad con el protocolo WS-Federation Passive. En URL del protocolo WS-Federation Passive del usuario de confianza, escriba la siguiente dirección URL:
https://login.microsoftonline.com/login.srfSeleccione Next (Siguiente).
En la página Configurar identificadores, escriba las siguientes direcciones URL y seleccione Agregar. En la segunda dirección URL, escriba el id. de inquilino del inquilino de Microsoft Entra del asociado de servicio.
urn:federation:MicrosoftOnlinehttps://login.microsoftonline.com/<tenant ID>/
Nota:
Asegúrese de incluir una barra diagonal (/) después del id. de inquilino, por ejemplo:
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.Seleccione Next (Siguiente).
En la página Elegir directiva de control de acceso, seleccione una directiva y, luego, Siguiente.
En la página Listo para agregar confianza, revise la configuración y luego seleccione Siguiente para guardar la información de la veracidad de usuario de confianza.
En la página Finalizar, seleccione Cerrar. Seleccione Veracidad de usuario de confianza y seleccione Editar directiva de emisión de notificaciones.
Creación de reglas de notificaciones
Seleccione la veracidad de usuario de confianza creada y luego Editar directiva de emisión de notificaciones.
Seleccione Agregar regla.
Seleccione Enviar atributos LDAP como notificaciones y luego Siguiente.
En Configurar regla de notificación, especifique los siguientes valores:
- Nombre de la regla de notificación: Regla de notificación de correo electrónico
- Almacén de atributos: Active Directory
- Atributo LDAP Direcciones de correo electrónico
- Tipo de notificación saliente: Dirección de correo electrónico
Seleccione Finalizar.
En el mismo asistente Editar reglas de notificación, seleccione Agregar regla.
Seleccione Enviar notificaciones con una regla personalizada y luego Siguiente.
En Configurar regla de notificación, especifique los siguientes valores:
- Nombre de la regla de notificación: Identificador inmutable del problema
- Regla personalizada:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), query = "samAccountName={0};objectGUID;{1}", param = regexreplace(c.Value, "(?<domain>[^\\]+)\\(?<user>.+)", "${user}"), param = c.Value);
Seleccione Finalizar.
Seleccione Aceptar. El servidor de AD FS ahora está configurado para la federación mediante WS-Fed.
Pasos siguientes
A continuación, configure la federación del proveedor de identidades de SAML o WS-Fed en Microsoft Entra External ID en Azure Portal o mediante Microsoft Graph API.