Contoh: Mengonfigurasi federasi IdP berbasis SAML/WS-Fed dengan Active Directory Federation Services

  • Artikel

Catatan

  • Federasi langsung di MICROSOFT Entra External ID sekarang disebut sebagai federasi Penyedia Identitas (IdP) SAML/WS-Fed.

Artikel ini menjelaskan cara menyiapkan federasi SAML/WS-Fed IdP menggunakan Layanan Federasi Direktori Aktif (AD FS) sebagai SAML 2.0 atau WS-Fed IdP. Untuk mendukung federasi langsung, atribut dan klaim tertentu harus dikonfigurasi di IdP. Untuk mengilustrasikan cara mengonfigurasi IdP untuk federasi, kami menggunakan Layanan Federasi Direktori Aktif (AD FS) sebagai contoh. Kami menunjukkan cara menyiapkan LAYANAN Federasi Direktori Aktif baik sebagai IdP SAML maupun sebagai IdP WS-Fed.

Catatan

Artikel ini menjelaskan cara menyiapkan Layanan Federasi Direktori Aktif untuk SAML dan WS-Fed untuk tujuan ilustrasi. Untuk integrasi federasi di mana Idp adalah Layanan Federasi Direktori Aktif, sebaiknya gunakan WS-Fed sebagai protokol.

Mengonfigurasi Layanan Federasi Direktori Aktif untuk federasi SAML 2.0

Microsoft Entra B2B dapat dikonfigurasi untuk bergabung dengan IdP yang menggunakan protokol SAML dengan persyaratan tertentu yang tercantum di bawah ini. Untuk mengilustrasikan langkah-langkah konfigurasi SAML, bagian ini memperlihatkan cara menyiapkan Layanan Federasi Direktori Aktif untuk SAML 2.0.

Untuk menyiapkan federasi, atribut berikut harus diterima dalam respons SAML 2.0 dari IdP. Atribut ini dapat dikonfigurasi dengan menautkan ke file XML layanan token keamanan online atau dengan memasukkannya secara manual. Langkah 12 di Membuat instans Layanan Federasi Direktori Aktif uji coba menjelaskan cara menemukan titik akhir AD FS atau cara membuat URL metadata, misalnya https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.

Atribut Nilai
AssertionConsumerService https://login.microsoftonline.com/login.srf
Audiens urn:federation:MicrosoftOnline
Penerbit URI pengeluar sertifikat IdP mitra, misalnya http://www.example.com/exk10l6w90DHM0yi...

Klaim berikut perlu dikonfigurasi dalam token SAML 2.0 yang dikeluarkan oleh IdP:

Atribut Nilai
Format NameID urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
emailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Bagian selanjutnya menggambarkan cara mengonfigurasi atribut dan klaim yang diperlukan menggunakan Layanan Federasi Direktori Aktif sebagai contoh SAML 2.0 IdP.

Sebelum Anda mulai

Server Layanan Federasi Direktori Aktif harus sudah disiapkan dan berfungsi sebelum Anda memulai prosedur ini.

Menambahkan deskripsi klaim

  1. Di server Layanan Federasi Direktori Aktif, pilh Alat>Pengelolaan AD FS.

  2. Di panel navigasi, pilih Layanan>Deskripsi Klaim.

  3. Di bagian Tindakan, pilih Tambahkan Deskripsi Klaim.

  4. Di jendela Tambahkan Deskripsi Klaim, tentukan nilai berikut ini:

    • Nama Tampilan: Pengidentifikasi Persisten
    • Pengidentifikasi klaim: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
    • Pilih kotak centang untuk Menerbitkan deskripsi klaim ini dalam metadata federasi sebagai jenis klaim yang bisa diterima oleh layanan federasi ini.
    • Pilih kotak centang untuk Menerbitkan deskripsi klaim ini dalam metadata federasi sebagai jenis klaim yang bisa dikirim oleh layanan federasi ini.

  5. Pilih OK.

Menambahkan kepercayaan pihak yang mengandalkan

  1. Di server Layanan Federasi Direktori Aktif, buka Alat>Manajemen Layanan Federasi Direktori Aktif.

  2. Di panel navigasi, pilih Kepercayaan Pihak yang Mengandalkan.

  3. Di bagian Tindakan, pilih Tambahkan Kepercayaan Pihak yang Diandalkan.

  4. Di wizard Tambahkan Kepercayaan Pihak yang Mengandalkan, pilih Berbasis klaim, lalu pilih Mulai.

  5. Di bagian Pilih Sumber Data, centang kotak Impor data tentang pihak yang mengandalkan yang dipublikasikan secara online atau di jaringan lokal. Masukkan URL metadata gabungan ini: https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. Pilih Selanjutnya.

  6. Tinggalkan pengaturan lain dalam opsi defaultnya. Lalu pilih Berikutnya, dan terakhir pilih Tutup untuk menutup wizard.

  7. Di Manajemen Layanan Federasi Direktori Aktif, di bawah Kepercayaan Pihak yang Mengandalkan, klik kanan kepercayaan pihak yang mengandalkan yang baru saja Anda buat dan pilih Properti.

  8. Di tab Pemantauan , kosongkan centang kotak Pantau pihak yang mengandalkan.

  9. Di tab Pengidentifikasi , masukkan https://login.microsoftonline.com/<tenant ID>/ dalam kotak teks Pengidentifikasi pihak yang mengandalkan menggunakan ID penyewa penyewa penyewa Microsoft Entra mitra layanan. Pilih Tambahkan.

    Catatan

    Pastikan untuk menyertakan garis miring (/) setelah ID penyewa, misalnya: https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.

  10. Pilih OK.

Membuat aturan klaim

  1. Klik kanan kepercayaan pihak tepercaya yang Anda buat, lalu pilih Edit Kebijakan Penerbitan Klaim.

  2. Di wizard Edit Aturan Klaim, pilih Tambahkan Aturan.

  3. Di Templat aturan klaim, pilih Kirim Atribut LDAP sebagai Klaim.

  4. Di Konfigurasikan Aturan Klaim, tentukan nilai berikut:

    • Nama aturan klaim: Aturan klaim email
    • Penyimpanan atribut: Direktori Aktif
    • Atribut LDAP: Alamat-E-mail
    • Jenis KlaimKeluar: Alamat E-mail

  5. Pilih Selesai.

  6. Pilih Tambahkan Aturan.

  7. Di Templat aturan klaim, pilih Transformasikan Klaim yang Masuk, lalu pilih Berikutnya.

  8. Di Konfigurasikan Aturan Klaim, tentukan nilai berikut:

    • Nama aturan klaim: Aturan transformasi email
    • Jenis klaim masuk: Alamat Email
    • Jenis klaim keluar: ID Nama
    • Format ID nama keluar: Pengidentifikasi Tetap
    • Pilih Lewati semua nilai klaim.

  9. Pilih Selesai.

  10. Panel Edit Aturan Klaim memperlihatkan aturan baru. Pilih Terapkan.

  11. Pilih OK. Server Layanan Federasi Direktori Aktif sekarang dikonfigurasi untuk federasi menggunakan protokol SAML 2.0.

Mengonfigurasi Layanan Federasi Direktori Aktif untuk federasi WS-Fed

Microsoft Entra B2B dapat dikonfigurasi untuk bergabung dengan IdP yang menggunakan protokol WS-Fed dengan persyaratan khusus yang tercantum di bawah ini. Saat ini, dua penyedia WS-Fed telah diuji kompatibilitasnya dengan MICROSOFT Entra External ID termasuk LAYANAN Federasi Direktori Aktif dan Shibboleth. Di sini, kami menggunakan Layanan Federasi Direktori Aktif (AD FS) sebagai contoh IdP WS-Fed. Untuk informasi selengkapnya tentang membangun kepercayaan pihak yang mengandalkan antara penyedia yang mematuhi WS-Fed dengan ID Eksternal Microsoft Entra, unduh dokumen kompatibilitas penyedia identitas Microsoft Entra.

Untuk menyiapkan federasi, atribut berikut harus diterima dalam pesan WS-Fed dari IdP. Atribut ini dapat dikonfigurasi dengan menautkan ke file XML layanan token keamanan online atau dengan memasukkannya secara manual. Langkah 12 di Membuat instans Layanan Federasi Direktori Aktif uji coba menjelaskan cara menemukan titik akhir AD FS atau cara membuat URL metadata, misalnya https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.

Atribut Nilai
PassiveRequestorEndpoint https://login.microsoftonline.com/login.srf
Audiens urn:federation:MicrosoftOnline
Penerbit URI pengeluar sertifikat IdP mitra, misalnya http://www.example.com/exk10l6w90DHM0yi...

Klaim yang diperlukan untuk token WS-Fed yang dikeluarkan oleh IdP:

Atribut Nilai
ImmutableID http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
emailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Bagian selanjutnya menggambarkan cara mengonfigurasi atribut dan klaim yang diperlukan menggunakan Layanan Federasi Direktori Aktif sebagai contoh WS-Fed IdP.

Sebelum Anda mulai

Server Layanan Federasi Direktori Aktif harus sudah disiapkan dan berfungsi sebelum Anda memulai prosedur ini.

Menambahkan kepercayaan pihak yang mengandalkan

  1. Di server Layanan Federasi Direktori Aktif, buka Alat>Pengelolaan Layanan Federasi Direktori Aktif.

  2. Di panel navigasi, pilih Percayai Hubungan>Kepercayaan Pihak yang Diandalkan.

  3. Di bagian Tindakan, pilih Tambahkan Kepercayaan Pihak yang Diandalkan.

  4. Di wizard Tambahkan Kepercayaan Pihak yang Mengandalkan, pilih Sadar klaim, lalu pilih Mulai.

  5. Di bagian Pilih Sumber Data, pilih Masukkan data tentang pihak berkepentingan secara manual, lalu pilih Berikutnya.

  6. Di halaman Tentukan Nama Tampilan, ketik nama di Nama tampilan. Anda dapat secara opsional memasukkan deskripsi untuk kepercayaan pihak yang mengandalkan ini di bagian Catatan . Pilih Selanjutnya.

  7. Secara opsional, di halaman Konfigurasi Sertifikat , jika Anda memiliki sertifikat enkripsi token, pilih Telusuri untuk menemukan file sertifikat. Pilih Selanjutnya.

  8. Di halaman Konfigurasi URL , pilih kotak centang Aktifkan dukungan untuk protokol Pasif WS-Federasi. Di bawah URL protokol Pasif WS-Federasi pihak yang mengandalkan, masukkan URL berikut: https://login.microsoftonline.com/login.srf

  9. Pilih Selanjutnya.

  10. Di halaman Konfigurasi Pengidentifikasi , masukkan URL berikut dan pilih Tambahkan. Di URL kedua, masukkan ID penyewa penyewa penyewa Microsoft Entra mitra layanan.

    • urn:federation:MicrosoftOnline
    • https://login.microsoftonline.com/<tenant ID>/

    Catatan

    Pastikan untuk menyertakan garis miring (/) setelah ID penyewa, misalnya: https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.

  11. Pilih Selanjutnya.

  12. Di halaman Pilih Kebijakan Kontrol Akses, pilih kebijakan, lalu pilih Berikutnya.

  13. Di halaman Siap Menambahkan Kepercayaan , tinjau pengaturan, lalu pilih Berikutnya untuk menyimpan informasi kepercayaan pihak yang mengandalkan Anda.

  14. Di halaman Selesai , pilih Tutup. pilih Kepercayaan Pihak yang Mengandalkan dan pilih Edit Kebijakan Penerbitan Klaim.

Membuat aturan klaim

  1. Pilih Kepercayaan Pihak yang Mengandalkan yang baru saja Anda buat, lalu pilih Edit Kebijakan Penerbitan Klaim.

  2. Pilih Tambahkan aturan.

  3. Pilih Kirim Atribut LDAP sebagai Klaim, lalu pilih Berikutnya.

  4. Di Konfigurasikan Aturan Klaim, tentukan nilai berikut:

    • Nama aturan klaim: Aturan klaim email
    • Penyimpanan atribut: Direktori Aktif
    • Atribut LDAP: Alamat-E-mail
    • Jenis KlaimKeluar: Alamat E-mail

  5. Pilih Selesai.

  6. Di wizard Edit Aturan Klaim yang sama, pilih Tambahkan Aturan.

  7. Pilih Kirim Klaim Menggunakan Aturan Kustom, lalu pilih Berikutnya.

  8. Di Konfigurasikan Aturan Klaim, tentukan nilai berikut:

    • Nama aturan klaim: Masalah Id yang Tidak Dapat Diubah
    • Aturan kustom: c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), query = "samAccountName={0};objectGUID;{1}", param = regexreplace(c.Value, "(?<domain>[^\\]+)\\(?<user>.+)", "${user}"), param = c.Value);

  9. Pilih Selesai.

  10. Pilih OK. Server Layanan Federasi Direktori Aktif kini dikonfigurasi untuk federasi menggunakan WS-Fed.

Langkah berikutnya

Selanjutnya, Anda mengonfigurasi federasi IdP SAML/WS-Fed di ID Eksternal Microsoft Entra baik di portal Azure atau dengan menggunakan Microsoft Graph API.