Példa: SAML/WS-Fed-alapú identitásszolgáltató összevonásának konfigurálása az AD FS-sel
Feljegyzés
- A Microsoft Entra Külső ID közvetlen összevonását mostantól SAML/WS-Fed identitásszolgáltatói (IDP) összevonásnak nevezzük.
Ez a cikk azt ismerteti, hogyan állíthat be SAML/WS-Fed idP-összevonást Active Directory összevonási szolgáltatások (AD FS) (AD FS) saml 2.0-s vagy WS-Fed-identitásszolgáltatóként. Az összevonás támogatásához bizonyos attribútumokat és jogcímeket konfigurálni kell az identitásszolgáltatónál. Példaként Active Directory összevonási szolgáltatások (AD FS) (AD FS) használatával szemléltetjük, hogyan konfigurálhat egy identitásszolgáltatót összevonáshoz. Bemutatjuk, hogyan állíthatja be az AD FS-t SAML-identitásszolgáltatóként és WS-Fed-identitásszolgáltatóként is.
Feljegyzés
Ez a cikk bemutatja, hogyan állíthatja be az AD FS-t az SAML és a WS-Fed számára illusztrációs célokra. Az olyan összevonási integrációk esetében, ahol az identitásszolgáltató AD FS, javasoljuk, hogy a WS-Fed protokollt használja.
Az AD FS konfigurálása SAML 2.0-összevonáshoz
A Microsoft Entra B2B konfigurálható úgy, hogy egyesítse az SAML protokollt használó azonosítókkal az alábbiakban felsorolt konkrét követelményekkel. Az SAML konfigurációs lépéseinek szemléltetéséhez ez a szakasz bemutatja, hogyan állíthatja be az AD FS-t az SAML 2.0-hoz.
Az összevonás beállításához a következő attribútumokat kell megkapni az SAML 2.0 válaszában az idP-től. Ezek az attribútumok konfigurálhatók az online biztonsági jogkivonat szolgáltatás XML-fájljának csatolásával vagy manuálisan történő beírásával. A teszt AD FS-példány létrehozása 12. lépése leírja, hogyan keresheti meg az AD FS-végpontokat, vagy hogyan hozhatja létre például https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xmla metaadat-URL-címet.
| Attribútum | Érték |
|---|---|
| AssertionConsumerService | https://login.microsoftonline.com/login.srf |
| Célközönség | urn:federation:MicrosoftOnline |
| Issuer | A partnerazonosító kiállítói URI-ja, például http://www.example.com/exk10l6w90DHM0yi... |
A következő jogcímeket kell konfigurálni az identitásszolgáltató által kibocsátott SAML 2.0-jogkivonatban:
| Attribútum | Érték |
|---|---|
| NameID formátum | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
| e-mailcím | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
A következő szakasz bemutatja, hogyan konfigurálhatja a szükséges attribútumokat és jogcímeket az AD FS használatával egy SAML 2.0-s identitásszolgáltató példájaként.
Mielőtt elkezdené
Az eljárás megkezdése előtt egy AD FS-kiszolgálót már be kell állítani és működnie kell.
A jogcím leírásának hozzáadása
Az AD FS-kiszolgálón válassza az Eszközök>AD FS-kezelés lehetőséget.
A navigációs panelen válassza a Szolgáltatásjogcím>leírása lehetőséget.
A Műveletek csoportban válassza a Jogcím leírása hozzáadása lehetőséget.
A Jogcím leírása hozzáadása ablakban adja meg a következő értékeket:
- Megjelenítendő név: Állandó azonosító
- Jogcímazonosító:
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent - Jelölje be a jogcímleírás összevonási metaadatokban való közzétételére szolgáló jelölőnégyzetet olyan jogcímtípusként, amelyet az összevonási szolgáltatás elfogadhat.
- Jelölje be a jogcím leírásának összevonási metaadatokban való közzétételére szolgáló jelölőnégyzetet olyan jogcímtípusként, amelyet az összevonási szolgáltatás küldhet.
Kattintson az OK gombra.
A függő entitás megbízhatóságának hozzáadása
Az AD FS-kiszolgálón nyissa meg az Tools>AD FS Management lapot.
A navigációs panelen válassza a Függő entitás megbízhatóságai lehetőséget.
A Műveletek csoportban válassza a Függő entitás megbízhatóságának hozzáadása lehetőséget.
A Függő entitás megbízhatóságának hozzáadása varázslóban válassza a Jogcímek tudatában lehetőséget, majd válassza a Start lehetőséget.
Az Adatforrás kiválasztása szakaszban jelölje be az online vagy helyi hálózaton közzétett függő entitás adatainak importálása jelölőnégyzetet. Adja meg ezt az összevonási metaadat URL-címét:
https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. Válassza a Tovább lehetőséget.Hagyja meg a többi beállítást az alapértelmezett beállításokban. Folytassa a Tovább gomb kiválasztásával, végül pedig a Bezárás gombra kattintva zárja be a varázslót.
Az AD FS Management függő entitások megbízhatósága területén kattintson a jobb gombbal az imént létrehozott függő entitás megbízhatóságára, és válassza a Tulajdonságok lehetőséget.
A Figyelés lapon törölje a jelet a Függő entitás figyelése jelölőnégyzetből.
Az Azonosítók lapon adja meg
https://login.microsoftonline.com/<tenant ID>/a függő entitás azonosítójának szövegmezőjét a szolgáltatáspartner Microsoft Entra-bérlőjének bérlőazonosítójával. Válassza a Hozzáadás lehetőséget.Feljegyzés
Ügyeljen arra, hogy a bérlőazonosító után egy perjelet (/) adjon meg, például:
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.Kattintson az OK gombra.
Jogcímszabályok létrehozása
Kattintson a jobb gombbal a létrehozott függő entitás megbízhatóságára, majd válassza a Jogcím-kiállítási szabályzat szerkesztése lehetőséget.
A Jogcímszabályok szerkesztése varázslóban válassza a Szabály hozzáadása lehetőséget.
A Jogcímszabály sablonban válassza az LDAP-attribútumok küldése jogcímként lehetőséget.
A Jogcímszabály konfigurálása területen adja meg a következő értékeket:
- Jogcímszabály neve: E-mail jogcímszabály
- Attribútumtároló: Active Directory
- LDAP-attribútum: E-mail-címek
- Kimenő jogcím típusa: E-mail cím
Válassza a Befejezés lehetőséget.
Válassza a Szabály hozzáadása lehetőséget.
A Jogcímszabály sablonban válassza a Bejövő jogcím átalakítása, majd a Tovább gombot.
A Jogcímszabály konfigurálása területen adja meg a következő értékeket:
- Jogcímszabály neve: E-mail-átalakító szabály
- Bejövő jogcím típusa: E-mail cím
- Kimenő jogcím típusa: Névazonosító
- Kimenő névazonosító formátuma: Állandó azonosító
- Válassza Az összes jogcímérték továbbítása lehetőséget.
Válassza a Befejezés lehetőséget.
A Jogcímszabályok szerkesztése panelen láthatók az új szabályok. Válassza az Alkalmazás lehetőséget.
Kattintson az OK gombra. Az AD FS-kiszolgáló mostantól összevonásra van konfigurálva az SAML 2.0 protokoll használatával.
AD FS konfigurálása WS-Fed összevonáshoz
A Microsoft Entra B2B konfigurálható úgy, hogy a WS-Fed protokollt használó azonosítókkal egyesítse az alábbiakban felsorolt konkrét követelményeket. Jelenleg a két WS-Fed szolgáltatót tesztelték, hogy kompatibilisek-e Microsoft Entra Külső ID az AD FS és a Shibboleth szolgáltatással. Itt Active Directory összevonási szolgáltatások (AD FS) (AD FS) használjuk a WS-Fed idP példaként. A WS-Fed-kompatibilis szolgáltató és a Microsoft Entra Külső ID közötti függő entitások megbízhatóságának létrehozásáról a Microsoft Entra identitásszolgáltató kompatibilitási dokumentációjának letöltésével olvashat bővebben.
Az összevonás beállításához a következő attribútumokat kell megkapni a WS-Fed üzenetben az idP-től. Ezek az attribútumok konfigurálhatók az online biztonsági jogkivonat szolgáltatás XML-fájljának csatolásával vagy manuálisan történő beírásával. A teszt AD FS-példány létrehozása 12. lépése leírja, hogyan keresheti meg az AD FS-végpontokat, vagy hogyan hozhatja létre például https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xmla metaadat-URL-címet.
| Attribútum | Érték |
|---|---|
| PassiveRequestorEndpoint | https://login.microsoftonline.com/login.srf |
| Célközönség | urn:federation:MicrosoftOnline |
| Issuer | A partnerazonosító kiállítói URI-ja, például http://www.example.com/exk10l6w90DHM0yi... |
Az idP által kibocsátott WS-Fed jogkivonathoz szükséges jogcímek:
| Attribútum | Érték |
|---|---|
| ImmutableID | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
| e-mailcím | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
A következő szakasz bemutatja, hogyan konfigurálhatja a szükséges attribútumokat és jogcímeket az AD FS használatával a WS-Fed idP példaként.
Mielőtt elkezdené
Az eljárás megkezdése előtt egy AD FS-kiszolgálót már be kell állítani és működnie kell.
A függő entitás megbízhatóságának hozzáadása
Az AD FS-kiszolgálón nyissa meg az Eszközök>AD FS felügyeletét.
A navigációs panelen válassza a Megbízható kapcsolatok>függő entitás megbízhatósága lehetőséget.
A Műveletek csoportban válassza a Függő entitás megbízhatóságának hozzáadása lehetőséget.
A Függő entitás megbízhatóságának hozzáadása varázslóban válassza a Jogcímek tudatában lehetőséget, majd válassza a Start lehetőséget.
Az Adatforrás kiválasztása szakaszban válassza a Függő entitás adatainak manuális megadása, majd a Tovább gombot.
A Megjelenítendő név megadása lapon írjon be egy nevet a Megjelenítendő név mezőbe. A függő entitás megbízhatóságának leírását igény szerint a Megjegyzések szakaszban is megadhatja. Válassza a Tovább lehetőséget.
Ha rendelkezik tokentitkosítási tanúsítvánnyal, a Tanúsítvány konfigurálása lapon válassza a Tallózás lehetőséget a tanúsítványfájl megkereséséhez. Válassza a Tovább lehetőséget.
Az URL-cím konfigurálása lapon jelölje be a WS-Federation Passzív protokoll támogatásának engedélyezése jelölőnégyzetet. A függő entitás WS-Federation passzív protokollJÁNAK URL-címe alatt adja meg a következő URL-címet:
https://login.microsoftonline.com/login.srfVálassza a Tovább lehetőséget.
Az Azonosítók konfigurálása lapon adja meg a következő URL-címeket, és válassza a Hozzáadás lehetőséget. A második URL-címben adja meg a szolgáltatáspartner Microsoft Entra-bérlőjének bérlőazonosítóját.
urn:federation:MicrosoftOnlinehttps://login.microsoftonline.com/<tenant ID>/
Feljegyzés
Ügyeljen arra, hogy a bérlőazonosító után egy perjelet (/) adjon meg, például:
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.Válassza a Tovább lehetőséget.
A Hozzáférés-vezérlési házirend kiválasztása lapon válasszon ki egy szabályzatot, majd válassza a Tovább lehetőséget.
A Megbízhatóság hozzáadása kész lapon tekintse át a beállításokat, majd kattintson a Tovább gombra a függő entitás megbízhatósági adatainak mentéséhez.
A Befejezés lapon válassza a Bezárás lehetőséget. válassza a Függő entitás megbízhatósága lehetőséget, majd válassza a Jogcím-kiállítási szabályzat szerkesztése lehetőséget.
Jogcímszabályok létrehozása
Válassza ki az imént létrehozott függő entitás megbízhatóságát, majd válassza a Jogcím-kiállítási szabályzat szerkesztése lehetőséget.
Válassza a Szabály hozzáadása lehetőséget.
Válassza az LDAP-attribútumok küldése jogcímként lehetőséget, majd válassza a Tovább gombot.
A Jogcímszabály konfigurálása területen adja meg a következő értékeket:
- Jogcímszabály neve: E-mail jogcímszabály
- Attribútumtároló: Active Directory
- LDAP-attribútum: E-mail-címek
- Kimenő jogcím típusa: E-mail cím
Válassza a Befejezés lehetőséget.
Ugyanebben a Jogcímszabályok szerkesztése varázslóban válassza a Szabály hozzáadása lehetőséget.
Válassza a Jogcímek küldése egyéni szabály használatával lehetőséget, majd válassza a Tovább gombot.
A Jogcímszabály konfigurálása területen adja meg a következő értékeket:
- Jogcímszabály neve: A probléma nem módosítható azonosítója
- Egyéni szabály:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), query = "samAccountName={0};objectGUID;{1}", param = regexreplace(c.Value, "(?<domain>[^\\]+)\\(?<user>.+)", "${user}"), param = c.Value);
Válassza a Befejezés lehetőséget.
Kattintson az OK gombra. Az AD FS-kiszolgáló mostantól összevonásra van konfigurálva a WS-Fed használatával.
Következő lépések
Ezután konfigurálja az SAML/WS-Fed idP-összevonást Microsoft Entra Külső ID az Azure Portalon vagy a Microsoft Graph API használatával.