Exemple : Configurer la fédération IdP SAML/WS-Fed avec AD FS
Remarque
- La fédération directe dans Microsoft Entra External ID s’appelle maintenant fédération fournisseur d’identité (IdP) SAML/WS-Fed.
Cet article décrit comment utiliser les services de fédération Active Directory (AD FS) pour configurer la fédération IdP SAML/WS-Fed en tant qu’IdP SAML 2.0 ou WS-Fed. Pour permettre la prise en charge de la fédération, des attributs et revendications spécifiques doivent être configurés au niveau de l’IdP. Afin d’illustrer la configuration d’un IdP pour la fédération, nous utilisons les services de fédération Active Directory (AD FS) comme exemple. Nous décrivons comment configurer AD FS sous forme d’IdP SAML et d’IdP WS-Fed.
Remarque
Cet article décrit comment configurer AD FS pour SAML et WS-Fed à titre d’illustration. Pour les intégrations de fédération où l’IdP est AD FS, nous recommandons d’utiliser le protocole WS-Fed.
Configurer AD FS pour la fédération SAML 2.0
Vous pouvez configurer Microsoft Entra B2B pour la fédération avec des fournisseurs d’identité qui utilisent le protocole SAML en respectant certaines exigences spécifiques indiquées ci-dessous. Pour illustrer les étapes de configuration SAML, cette section montre comment configurer AD FS pour SAML 2.0.
Pour configurer la fédération, les attributs suivants doivent être reçus dans la réponse SAML 2.0 de l’IdP. Ces attributs peuvent être configurés en liant le fichier XML du service d’émission de jeton de sécurité en ligne ou en les entrant manuellement. L’étape 12 de Créer une instance de test AD FS décrit comment rechercher les points de terminaison AD FS ou comment générer votre URL de métadonnées, par exemple https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.
| Attribut | Valeur |
|---|---|
| AssertionConsumerService | https://login.microsoftonline.com/login.srf |
| Public visé | urn:federation:MicrosoftOnline |
| Émetteur | L’URI de l’émetteur du fournisseur d’identité partenaire, par exemple http://www.example.com/exk10l6w90DHM0yi... |
Les revendications suivantes doivent être configurées dans le jeton SAML 2.0 émis par l’IdP :
| Attribut | Valeur |
|---|---|
| Format NameID | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
| emailaddress | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
La section ci-après illustre comment configurer les attributs et revendications requis en utilisant AD FS comme exemple d’IdP SAML 2.0.
Avant de commencer
Un serveur AD FS doit déjà être configuré et opérationnel avant de commencer cette procédure.
Ajouter la description de revendication
Sur votre serveur AD FS, sélectionnez Outils>Gestion AD FS.
Dans le volet de navigation, sélectionnez Service>Descriptions des revendications.
Sous Actions, sélectionnez Ajouter une description de revendication.
Dans la fenêtre Ajouter une description de revendication, spécifiez les valeurs suivantes :
- Nom d’affichage : Identificateur persistant
- Identificateur de revendication :
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent - Cochez la case Publier cette description de revendication dans les métadonnées de fédération en tant que type de revendication pouvant être accepté par ce service FS (Federation Service) .
- Cochez la case Publier cette description de revendication dans les métadonnées de fédération en tant que type de revendication pouvant être envoyé par ce service FS (Federation Service) .
Sélectionnez OK.
Ajouter l’approbation de partie de confiance
Sur le serveur AD FS, accédez à Outils>Gestion AD FS.
Dans le volet de navigation, sélectionnez Approbations de partie de confiance.
Sous Actions, sélectionnez Ajouter une approbation de partie de confiance.
Dans l’Assistant Ajouter une approbation de partie de confiance, sélectionnez Prise en charge des revendications et Démarrer.
Dans la section Sélectionner une source de données, cochez la case mporter les données, publiées en ligne ou sur un réseau local, concernant la partie de confiance. Entrez cette URL des métadonnées de fédération :
https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. Sélectionnez Suivant.Laissez les autres paramètres avec leurs options par défaut. Continuez de sélectionner Suivant jusqu’à Fermer pour fermer l’Assistant.
Dans Gestion AD FS, sous Approbations de partie de confiance, cliquez avec le bouton droit sur l’approbation de partie de confiance que vous venez de créer et sélectionnez Propriétés.
Sous l’onglet Surveillance, décochez la case Surveiller la partie de confiance.
Dans l’onglet Identificateurs, saisissez
https://login.microsoftonline.com/<tenant ID>/dans la zone de texte Identificateur de la partie de confiance à l’aide de l’ID de locataire Microsoft Entra du partenaire de service. Sélectionnez Ajouter.Notes
Veillez à inclure une barre oblique (/) après l’ID de locataire, par exemple :
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.Sélectionnez OK.
Créer des règles de revendication
Cliquez avec le bouton droit sur l’approbation de partie de confiance que vous avez créée, puis sélectionnez Editer la stratégie d'émission de revendication.
Dans l’Assistant Modifier les règles de revendication, sélectionnez Ajouter une règle.
Dans Modèle de règle de revendication, sélectionnez Envoyer les attributs LDAP en tant que revendications.
Dans Configurer la règle de revendication, spécifiez les valeurs suivantes :
- Nom de la règle de revendication : Règle de revendication d’e-mail
- Magasin d’attributs : Active Directory
- Attribut LDAP : Adresses e-mail
- Type de revendication sortante : Adresse e-mail
Sélectionnez Terminer.
Sélectionnez Ajouter une règle.
Dans Modèle de règle de revendication, sélectionnez Transformer une revendication entrante, puis Suivant.
Dans Configurer la règle de revendication, spécifiez les valeurs suivantes :
- Nom de la règle de revendication : Règle de transformation d’e-mail
- Type de revendication entrante : Adresse e-mail
- Type de revendication sortante : ID de nom
- Format d’ID de nom sortant : Identificateur persistant
- Sélectionnez Transférer toutes les valeurs de revendication.
Sélectionnez Terminer.
Le volet Modifier les règles de revendication montre les nouvelles règles. Sélectionnez Appliquer.
Sélectionnez OK. Le serveur AD FS est maintenant configuré pour la fédération avec le protocole SAML 2.0.
Configurer AD FS pour la fédération WS-Fed
Microsoft Entra B2B peut être configuré pour la fédération avec des IdP qui utilisent le protocole WS-Fed en respectant les exigences spécifiques indiquées ci-dessous. Actuellement, les deux fournisseurs WS-Fed testés pour assurer la compatibilité avec Microsoft Entra External ID incluent AD FS et Shibboleth. Ici, nous utilisons les services de fédération Active Directory (AD FS) comme exemple d’IdP WS-Fed. Pour plus d’informations sur l’approbation de partie de confiance entre un fournisseur compatible WS-Fed et Microsoft Entra External ID, téléchargez les documents relatifs à la compatibilité du fournisseur d’identité Microsoft Entra.
Pour configurer la fédération, les attributs suivants doivent être reçus dans le message WS-Fed à partir du fournisseur d’identité. Ces attributs peuvent être configurés en liant le fichier XML du service d’émission de jeton de sécurité en ligne ou en les entrant manuellement. L’étape 12 de Créer une instance de test AD FS décrit comment rechercher les points de terminaison AD FS ou comment générer votre URL de métadonnées, par exemple https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.
| Attribut | Valeur |
|---|---|
| PassiveRequestorEndpoint | https://login.microsoftonline.com/login.srf |
| Public visé | urn:federation:MicrosoftOnline |
| Émetteur | L’URI de l’émetteur du fournisseur d’identité partenaire, par exemple http://www.example.com/exk10l6w90DHM0yi... |
Revendications requises pour le jeton WS-Fed émis par le fournisseur d’identité :
| Attribut | Valeur |
|---|---|
| ImmutableID | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
| emailaddress | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
La section ci-après illustre comment configurer les attributs et revendications requis en utilisant AD FS comme exemple d’IdP WS-Fed.
Avant de commencer
Un serveur AD FS doit déjà être configuré et opérationnel avant de commencer cette procédure.
Ajouter l’approbation de partie de confiance
Sur le serveur AD FS, accédez à Outils>Gestion AD FS.
Dans le volet de navigation, sélectionnez Relations d’approbation>Approbations de partie de confiance.
Sous Actions, sélectionnez Ajouter une approbation de partie de confiance.
Dans l’Assistant Ajouter une approbation de partie de confiance, sélectionnez Prise en charge des revendications et Démarrer.
Dans la section Sélectionner une source de données, cliquez sur Entrer manuellement les données relatives à la partie de confiance, puis sur Suivant.
Dans la page Entrer le nom complet, tapez un nom dans Nom complet. Vous pouvez éventuellement entrer une description pour cette approbation de partie de confiance dans la section Notes. Sélectionnez Suivant.
Éventuellement, sur la page Configurer le certificat, si vous disposez d’un certificat de chiffrement de jeton facultatif, sélectionnez Parcourir pour rechercher un fichier de certificat. Sélectionnez Suivant.
Sur la page Configurer l’URL, cochez la case Activer le support du protocole passif WS-Federation. Sous URL du protocole passif WS-Federation de la partie de confiance, entrez l’URL suivante :
https://login.microsoftonline.com/login.srfSélectionnez Suivant.
Dans la page Configurer les identificateurs, entrez les URL suivantes, puis sélectionnez Ajouter. Dans la deuxième URL, saisissez l’ID de locataire Microsoft Entra du partenaire de service.
urn:federation:MicrosoftOnlinehttps://login.microsoftonline.com/<tenant ID>/
Remarque
Veillez à inclure une barre oblique (/) après l’ID de locataire, par exemple :
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.Sélectionnez Suivant.
Sur la page Sélectionner une stratégie de contrôle d’accès, choisissez une stratégie, puis sélectionnez Suivant.
Sur la page Prêt à ajouter l’approbation, passez en revue les paramètres, puis sélectionnez Suivant pour enregistrer vos informations d’approbation de partie de confiance.
Sur la page Terminer, sélectionnez Fermer. sélectionnez Approbation de partie de confiance, puis Modifier la stratégie d’émission de revendication.
Créer des règles de revendication
Sélectionnez l’approbation de partie de confiance que vous venez de créer, puis sélectionnez Editer la stratégie d’émission de revendication.
Sélectionnez Ajouter une règle.
Sélectionnez Envoyer les attributs LDAP comme des revendications, puis cliquez sur Suivant.
Dans Configurer la règle de revendication, spécifiez les valeurs suivantes :
- Nom de la règle de revendication : Règle de revendication d’e-mail
- Magasin d’attributs : Active Directory
- Attribut LDAP : Adresses e-mail
- Type de revendication sortante : Adresse e-mail
Sélectionnez Terminer.
Dans le même Assistant Modifier les règles de revendication, sélectionnez Ajouter une règle.
Sélectionnez Envoyer les revendications en utilisant une règle personnalisée, puis sélectionnez Suivant.
Dans Configurer la règle de revendication, spécifiez les valeurs suivantes :
- Nom de la règle de revendication : ID non modifiable du problème
- Règle personnalisée :
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), query = "samAccountName={0};objectGUID;{1}", param = regexreplace(c.Value, "(?<domain>[^\\]+)\\(?<user>.+)", "${user}"), param = c.Value);
Sélectionnez Terminer.
Sélectionnez OK. Le serveur AD FS est maintenant configuré pour la fédération avec le protocole WS-Fed.
Étapes suivantes
Ensuite, vous configurez la fédération IdP SAML/WS-Fed dans Microsoft Entra External ID dans le portail Azure ou avec l’API Microsoft Graph.