Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique aux : 
locataires employés locataires externes (en savoir plus)
Votre instance Microsoft Entra peut être directement fédérée avec des organisations externes qui utilisent un fournisseur d'identité SAML ou WS-Fed. Les utilisateurs de l’organisation externe peuvent ainsi utiliser leurs propres comptes gérés par leur fournisseur d’identité pour se connecter à vos applications ou ressources, que ce soit en acceptant une invitation ou lors d’une inscription en libre-service, sans avoir à créer de nouveaux identifiants Microsoft Entra. L’utilisateur est redirigé vers son fournisseur d’identité lors de l’inscription ou de la connexion à votre application, puis est redirigé vers Microsoft Entra une fois connecté.
Conditions préalables
- Passez en revue les considérations de configuration dans les fournisseurs d’identité SAML/WS-Fed.
- Un locataire de main-d’œuvre ou un locataire externe.
Guide pratique pour configurer la fédération SAML/WS-Fed IdP
Étape 1 : Déterminer si le partenaire doit mettre à jour ses enregistrements texte DNS
Utilisez les étapes suivantes pour déterminer si le partenaire doit mettre à jour ses enregistrements DNS pour activer la fédération avec vous.
Vérifiez l’URL d’authentification passive du fournisseur d’identité du partenaire pour déterminer si le domaine correspond au domaine cible ou à un hôte du domaine cible. En d’autres termes, lors de la configuration de la fédération pour
fabrikam.com:- Si le point de terminaison d’authentification passive est
https://fabrikam.comouhttps://sts.fabrikam.com/adfs(un hôte du même domaine), aucune modification des enregistrements DNS n’est nécessaire. - Si le point de terminaison d’authentification passive est
https://fabrikamconglomerate.com/adfsouhttps://fabrikam.co.uk/adfs, le domaine ne correspond pas au domaine fabrikam.com. Le partenaire doit donc ajouter un enregistrement texte pour l’URL d’authentification à sa configuration DNS.
- Si le point de terminaison d’authentification passive est
Si des modifications des enregistrements DNS sont nécessaires en fonction de l'étape précédente, demandez au partenaire d'ajouter un enregistrement TXT aux enregistrements DNS de son domaine, comme dans l'exemple suivant :
fabrikam.com. IN TXT DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs
Étape 2 : configurer le fournisseur d’identité de l’organisation partenaire
Votre organisation partenaire doit ensuite configurer son fournisseur d’identité avec les revendications requises et les approbations de partie de confiance. Pour que la fédération fonctionne correctement, l’ID externe Microsoft Entra nécessite l’envoi par le fournisseur d’identité externe de certains attributs et revendications. Ceux-ci doivent être configurés au niveau du fournisseur d’identité externe.
Remarque
Pour illustrer comment configurer un fournisseur d'identités SAML/WS-Fed pour la fédération, nous prenons pour exemple Active Directory Federation Services (AD FS). Consultez l’article Configurer la fédération de fournisseur d’identité SAML/WS-Fed avec AD FS, qui donne des exemples montrant comment configurer AD FS en tant que fournisseur d’identité SAML 2.0 ou WS-Fed en vue de la fédération.
Pour configurer un fournisseur d’identité SAML 2.0
Microsoft Entra External ID nécessite la réponse SAML 2.0 du fournisseur d’identité externe pour inclure des attributs et des revendications spécifiques. Les attributs et revendications nécessaires peuvent être configurés au niveau du fournisseur d’identité externe selon les modalités suivantes :
- Liaison au fichier XML du service de jeton de sécurité en ligne, ou
- Saisie manuelle des valeurs
Reportez-vous aux tableaux suivants pour connaître les valeurs requises.
Remarque
Vérifiez que la valeur correspond au cloud pour lequel vous configurez la fédération externe.
Tableau 1. Attributs requis pour la réponse SAML 2.0 du IdP.
| Attribut | Valeur d’un locataire employé | Valeur d’un locataire externe |
|---|---|---|
| AssertionConsumerService | https://login.microsoftonline.com/login.srf |
https://<tenantID>.ciamlogin.com/login.srf |
| Public visé |
https://login.microsoftonline.com/<tenant ID>/ (Recommandé) Remplacez <tenant ID> par l’identifiant du locataire Microsoft Entra avec lequel vous configurez la fédération.Dans la requête SAML envoyée par Microsoft Entra ID pour les fédérations externes, l’URL de l’émetteur est un point de terminaison client (par exemple, https://login.microsoftonline.com/<tenant ID>/). Pour les nouvelles fédérations, nous recommandons que tous nos partenaires définissent l’audience du fournisseur d’identité SAML ou WS-Fed sur un point de terminaison de locataire. Toutes les fédérations existantes configurées avec le point de terminaison global (par exemple, urn:federation:MicrosoftOnline) continuent de fonctionner, mais les nouvelles fédérations arrêtent de fonctionner si votre fournisseur d’identité externe attend une URL d’émetteur globale dans la requête SAML envoyée par l’ID Microsoft Entra. |
https://login.microsoftonline.com/<tenant ID>/Remplacez <tenant ID> par l’ID du locataire Microsoft Entra avec lequel vous configurez la fédération. |
| Émetteur | URI de l’émetteur du fournisseur d’identité du partenaire. Par exemple, http://www.example.com/exk10l6w90DHM0yi... |
URI de l’émetteur du fournisseur d’identité du partenaire. Par exemple, http://www.example.com/exk10l6w90DHM0yi... |
Tableau 2. Revendications requises pour le jeton SAML 2.0 émis par le fournisseur d’identité.
| Nom de l'attribut | Valeur |
|---|---|
| Format NameID | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
L’adresse de messagerie de l'utilisateur |
Pour configurer un fournisseur d’identité WS-Fed
L’ID externe Microsoft Entra nécessite le message WS-Fed du fournisseur d’identité externe pour inclure des attributs et des revendications spécifiques. Les attributs et revendications nécessaires peuvent être configurés au niveau du fournisseur d’identité externe selon les modalités suivantes :
- Liaison au fichier XML du service de jeton de sécurité en ligne, ou
- Saisie manuelle des valeurs
Remarque
Actuellement, les deux fournisseurs WS-Fed qui ont été testés pour la compatibilité avec l’ID Microsoft Entra sont AD FS et Shibboleth.
Attributs WS-Fed et revendications requises
Les tableaux suivants présentent la configuration requise pour les attributs spécifiques et les revendications qui doivent être configurés au niveau du fournisseur d’identité SAML/WS-Fed tiers. Pour configurer la fédération, les attributs suivants doivent être inclus dans le message WS-Fed de l’IdP. Ces attributs peuvent être configurés en liant le fichier XML du service d’émission de jeton de sécurité en ligne ou en les entrant manuellement.
Reportez-vous aux tableaux suivants pour connaître les valeurs requises.
Remarque
Vérifiez que la valeur correspond au cloud pour lequel vous configurez la fédération externe.
Tableau 3. Attributs requis dans le message WS-Fed du fournisseur d’identité.
| Attribut | Valeur d’un locataire employé | Valeur d’un locataire externe |
|---|---|---|
| PointDeTerminaisonDuDemandeurPassif | https://login.microsoftonline.com/login.srf |
https://<tenantID>.ciamlogin.com/login.srf |
| Public visé |
https://login.microsoftonline.com/<tenant ID>/ (Recommandé) Remplacez <tenant ID> par l’identifiant du locataire Microsoft Entra avec lequel vous configurez la fédération.Dans la requête SAML envoyée par Microsoft Entra ID pour les fédérations externes, l’URL de l’émetteur est un point de terminaison client (par exemple, https://login.microsoftonline.com/<tenant ID>/). Pour les nouvelles fédérations, nous recommandons que tous nos partenaires définissent l’audience du fournisseur d’identité SAML ou WS-Fed sur un point de terminaison de locataire. Toutes les fédérations existantes configurées avec le point de terminaison global (par exemple, urn:federation:MicrosoftOnline) continuent de fonctionner, mais les nouvelles fédérations arrêtent de fonctionner si votre fournisseur d’identité externe attend une URL d’émetteur globale dans la requête SAML envoyée par l’ID Microsoft Entra. |
https://login.microsoftonline.com/<tenant ID>/ Remplacez <tenant ID> par l’ID du locataire Microsoft Entra avec lequel vous configurez la fédération. |
| Émetteur | URI de l’émetteur du fournisseur d’identité du partenaire. Par exemple, http://www.example.com/exk10l6w90DHM0yi... |
URI de l’émetteur du fournisseur d’identité du partenaire. Par exemple, http://www.example.com/exk10l6w90DHM0yi... |
Tableau 4. Revendications requises pour le jeton WS-Fed émis par le fournisseur d’identité.
| Attribut | Valeur |
|---|---|
| ImmuableID | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
| adresse email | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Étape 3 : Configurer la fédération SAML/WS-Fed IdP dans Microsoft Entra External ID
Ensuite, configurez la fédération avec le fournisseur d’identité configuré à l’étape 1 dans ID externe Microsoft Entra. Vous pouvez utiliser le centre d'administration Microsoft Entra ou l'API Microsoft Graph. La stratégie de la fédération prend effet au bout de 5 à 10 minutes. Pendant ce temps, n’essayez pas d’effectuer l’inscription en libre-service ou d’échanger une invitation pour le domaine de fédération. Les attributs suivants sont requis :
- URI de l’émetteur du fournisseur d’identité du partenaire
- Point de terminaison de l’authentification passive du fournisseur d’identité du partenaire (https uniquement est pris en charge)
- Certificat
Pour ajouter le fournisseur d’identité à votre locataire dans le Centre d’administration Microsoft Entra
Connectez-vous au centre d’administration Microsoft Entra avec au minimum un compte Administrateur de fournisseur d’identité externe.
Si vous avez accès à plusieurs comptes, utilisez l'icône Paramètres
dans le menu supérieur et basculez sur un autre compte à partir du menu Répertoires.Accédez à Entra ID>Identités externes>Tous les fournisseurs d'identité.
Sélectionnez l’onglet Personnalisé, puis sélectionnez Ajouter un nouveau>SAML/WS-Fed.
Sur la page Nouveau fournisseur d’identité SAML/WS-Fed, entrez les éléments suivants :
- Nom complet : entrez un nom pour identifier le fournisseur d’identité du partenaire.
- Protocole du fournisseur d’identité : sélectionnez SAML ou WS-Fed.
- Nom de domaine du fournisseur d’identité de fédération : entrez le nom de domaine cible du fournisseur d’identité de votre partenaire pour la fédération. Pendant cette configuration initiale, entrez un seul nom de domaine. Vous pouvez ajouter d’autres domaines plus tard.
Sélectionnez une méthode pour renseigner les métadonnées. Si vous avez un fichier qui contient les métadonnées, vous pouvez remplir automatiquement les champs en sélectionnant fichier de métadonnées d’analyse et en accédant au fichier. Vous pouvez également sélectionner Entrer manuellement les métadonnées et entrer les informations suivantes :
- L’URI d’émetteur du fournisseur d’identité SAML du partenaire ou ID d’entité du fournisseur d’identité WS-Fed du partenaire.
- Le point de terminaison d’authentification passif du fournisseur d’identité SAML du partenaire ou point de terminaison du demandeur passif du fournisseur d’identité WS-Fed du partenaire.
- Certificat : ID du certificat de signature.
- URL de métadonnées : emplacement des métadonnées du fournisseur d’identité pour le renouvellement automatique du certificat de signature.
Remarque
L’URL des métadonnées est facultative. Toutefois, nous vous recommandons vivement de le faire. Si vous fournissez l’URL des métadonnées, Microsoft Entra ID peut renouveler automatiquement le certificat de signature lorsqu’il arrive à expiration. Si le certificat est pivoté pour une raison quelconque avant le délai d’expiration ou si vous ne fournissez pas d’URL de métadonnées, l’ID Microsoft Entra ne peut pas le renouveler. Dans ce cas, vous devez mettre à jour le certificat de signature manuellement.
Sélectionnez Enregistrer. Le fournisseur d’identité est ajouté à la liste des fournisseurs d’identité SAML/WS-Fed.
(Facultatif) Pour ajouter d’autres noms de domaine à ce fournisseur d’identité fédérateur :
Sélectionnez le lien dans la colonne Domaines.
À côté de Nom de domaine du fournisseur d’identité fédérateur, tapez le nom de domaine, puis sélectionnez Ajouter. Répétez cette opération pour chaque domaine que vous souhaitez ajouter. Quand vous avez terminé, cliquez sur Terminé.
Pour configurer la fédération à l’aide de l’API Microsoft Graph
Vous pouvez utiliser le type de ressource samlOrWsFedExternalDomainFederation de l’API Microsoft Graph pour configurer la fédération avec un fournisseur d’identité qui prend en charge le protocole SAML ou WS-Fed.
Étape 4 : configurer l’ordre d’acceptation (B2B collaboration dans les locataires employés.)
Si vous configurez la fédération dans le locataire employé sur B2B Collaboration avec un domaine vérifié, vérifiez que le fournisseur d’identité fédéré est utilisé en premier lors de l’acceptation d’invitation. Configurer les paramètres de l'ordre d’acceptation dans vos paramètres d'accès entre locataires pour la collaboration B2B entrante. Déplacez les fournisseurs d’identité SAML/WS-Fed en haut de la liste Fournisseurs d’identité principaux pour classer par ordre de priorité l’acceptation avec le fournisseur d’identité fédéré.
Vous pouvez tester votre configuration de fédération en invitant un nouvel utilisateur invité B2B. Pour plus d’informations, consultez Ajoutez des utilisateurs de collaboration B2B Microsoft Entra dans le Centre d’administration Microsoft Entra.
Remarque
Vous pouvez configurer la commande d’échange d’invitation à l’aide de l’API REST Microsoft Graph (version bêta). Consultez Exemple 2 : Mettre à jour la configuration de l’acceptation d’invitation par défaut dans la documentation de référence de Microsoft Graph.
Comment mettre à jour les détails du certificat ou de la configuration
Dans la page Tous les fournisseurs d’identité, vous pouvez afficher la liste des fournisseurs d’identité SAML/WS-Fed configurés et leurs dates d’expiration de certificat. Dans cette liste, vous pouvez renouveler des certificats et modifier d’autres détails de configuration.
Connectez-vous au centre d’administration Microsoft Entra avec au minimum un compte Administrateur de fournisseur d’identité externe.
Accédez à Entra ID>Identités externes>Tous les fournisseurs d'identité.
Cliquez sur l’onglet Personnalisée.
Faites défiler la liste jusqu'à un fournisseur d'identité ou utilisez la zone de recherche.
Pour mettre à jour le certificat ou les détails de la configuration :
- Dans la colonne Configuration du fournisseur d’identité, sélectionnez le lien Modifier.
- Sur la page de configuration, modifiez l’un des détails suivants :
- Nom d'affichage - nom d'affichage de l’organisation du partenaire.
- Protocole du fournisseur d’identité : sélectionnez SAML ou WS-Fed.
- Point de terminaison d’authentification passive : point de terminaison de demandeur passif du fournisseur d’identité du partenaire.
- Certificat : ID du certificat de signature. Pour le renouveler, entrez un nouvel ID de certificat.
- URL de métadonnées : URL contenant les métadonnées du partenaire, utilisée pour le renouvellement automatique du certificat de signature.
- Sélectionnez Enregistrer.
Pour modifier les domaines associés au partenaire, sélectionnez le lien dans la colonne Domaines. Dans le volet des détails du domaine :
- Pour ajouter un domaine, tapez le nom de domaine en regard de Nom de domaine du fournisseur d’identité fédérateur, puis sélectionnez Ajouter. Répétez cette opération pour chaque domaine que vous souhaitez ajouter.
- Pour supprimer un domaine, sélectionnez l’icône supprimer en regard du domaine.
- Quand vous avez terminé, cliquez sur Terminé.
Remarque
Pour supprimer la fédération avec un partenaire, commencez par supprimer tous les domaines à l’exception d’un, puis suivez les étapes décrites dans la section suivante.
Comment supprimer la fédération
Vous pouvez supprimer la configuration de votre fédération. Si vous le faites, les utilisateurs invités de fédération qui ont déjà échangé leurs invitations ne peuvent plus se connecter. Toutefois, vous pouvez autoriser de nouveau l’accès à vos ressources en réinitialisant l’état d’acceptation. Pour supprimer une configuration pour un IdP dans le centre d'administration Microsoft Entra :
Connectez-vous au centre d’administration Microsoft Entra avec au minimum un compte Administrateur de fournisseur d’identité externe.
Accédez à Entra ID>Identités externes>Tous les fournisseurs d'identité.
Sélectionnez l’onglet Personnalisé, puis faites défiler la liste jusqu’au fournisseur d’identité ou utilisez la zone de recherche.
Sélectionnez le lien dans la colonne Domaines pour afficher les détails du domaine du fournisseur d’identité.
Supprimez tous les domaines, sauf un, dans la liste Nom de domaine.
Sélectionnez Supprimer la configuration, puis Terminé.
Sélectionnez OK pour confirmer la suppression.
Vous pouvez également supprimer la fédération à l’aide du type de ressource samlOrWsFedExternalDomainFederation de l’API Microsoft Graph.
Étapes suivantes
- Locataires externes :Ajouter le fournisseur d’identité SAML/WS-Fed à un flux d’utilisateur.
- Locataires employés : En savoir plus sur l’expérience d’échange d’invitation lorsque les utilisateurs externes se connectent avec différents fournisseurs d’identité.