Esempio: Configurare la federazione del provider di identità basato su SAML/WS-Fed con AD FS

Si applica a: Tenant esterni della forza lavoro (altre informazioni)

Nota

La federazione diretta in Microsoft Entra per ID esterno viene ora definita federazione del provider di identità SAML/WS-Fed (IdP).

Questo articolo descrive come configurare la federazione IDP SAML/WS-Fed usando Active Directory Federation Services (AD FS) come IDP SAML 2.0 o WS-Fed. Per supportare la federazione, è necessario configurare determinati attributi e attestazioni nel provider di identità. Per illustrare come configurare un IdP per la federazione, viene usato Active Directory Federation Services (AD FS) come esempio. Viene illustrato come configurare AD FS sia come IDP SAML che come IdP WS-Fed.

Nota

Questo articolo descrive come configurare AD FS sia per SAML che per WS-Fed a scopo illustrativo. Per le integrazioni di federazione in cui IdP è AD FS, è consigliabile usare WS-Fed come protocollo.

Configurare AD FS per la federazione SAML 2.0

Microsoft Entra B2B può essere configurato per la federazione con provider di identità che usano il protocollo SAML con requisiti specifici elencati di seguito. Per illustrare i passaggi di configurazione SAML, questa sezione illustra come configurare AD FS per SAML 2.0.

Per configurare la federazione, è necessario ricevere gli attributi seguenti nella risposta SAML 2.0 dal provider di identità. Questi attributi possono essere configurati tramite il collegamento al file XML del servizio token di sicurezza online o mediante immissione manuale. Passaggio 12 in Creare un'istanza di AD FS di test descrive come trovare gli endpoint AD FS o come generare l'URL dei metadati, ad esempio https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.

Attributo	valore
AssertionConsumerService	https://login.microsoftonline.com/login.srf
Destinatari	urn:federation:MicrosoftOnline
Autorità di certificazione	URI dell'autorità emittente del provider di identità partner, ad esempio http://www.example.com/exk10l6w90DHM0yi...

Le attestazioni seguenti devono essere configurate nel token SAML 2.0 rilasciato dal Provider di identità:

Attributo	valore
Formato NameID	urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
emailaddress	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

La sezione successiva illustra come configurare gli attributi e le attestazioni necessari usando AD FS come esempio di IDP SAML 2.0.

Operazioni preliminari

Prima di iniziare questa procedura, è necessario che un server AD FS sia già configurato e funzionante.

Aggiungere la descrizione dell'attestazione

1. Nel server AD FS selezionare Strumenti>di gestione di AD FS.

2. Nel riquadro di spostamento selezionare Descrizioni attestazioni servizio>.

3. In Azioni selezionare Aggiungi descrizione attestazione.

4. Nella finestra Aggiungi una descrizione attestazione specificare i valori seguenti:

   • Nome visualizzato: Identificatore permanente
   • Identificatore attestazione: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
   • Selezionare la casella di controllo Pubblica questa descrizione attestazione nei metadati della federazione come tipo di attestazione che il servizio federativo può accettare.
   • Selezionare la casella di controllo Pubblica questa descrizione attestazione nei metadati di federazione come tipo di attestazione che il servizio federativo può inviare.

5. Selezionare OK.

Aggiungere l'attendibilità della relying party

1. Nel server AD FS passare a Strumenti>gestione AD FS.

2. Nel riquadro di spostamento selezionare Attendibilità relying party.

3. In Azioni selezionare Aggiungi attendibilità relying party.

4. Nella procedura guidata Aggiungi attendibilità relying party selezionare Attestazioni in grado di riconoscere le attestazioni e quindi selezionare Avvia.

5. Nella sezione Seleziona origine dati selezionare la casella di controllo Importa dati sulla relying party pubblicata online o in una rete locale. Immettere questo URL dei metadati di federazione: https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. Selezionare Avanti.

6. Lasciare le altre impostazioni nelle opzioni predefinite. Continuare a selezionare Avanti e infine selezionare Chiudi per chiudere la procedura guidata.

7. In Gestione AD FS, in Trust relying party fare clic con il pulsante destro del mouse sull'attendibilità della relying party appena creata e selezionare Proprietà.

8. Nella scheda Monitoraggio deselezionare la casella Monitoraggio relying party.

9. Nella scheda Identificatori immettere https://login.microsoftonline.com/<tenant ID>/ nella casella di testo Relying party identifier (Identificatore relying party) usando l'ID tenant del tenant Microsoft Entra del partner del servizio. Seleziona Aggiungi.

   Nota

   Assicurarsi di includere una barra (/) dopo l'ID tenant, ad esempio : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.

10. Seleziona OK.

Creare regole attestazioni

1. Fare clic con il pulsante destro del mouse sull'attendibilità della relying party creata e quindi scegliere Modifica criterio di rilascio attestazioni.

2. Nella procedura guidata Modifica regole attestazione selezionare Aggiungi regola.

3. In Modello di regola attestazione selezionare Invia attributi LDAP come attestazioni.

4. In Configura regola attestazione specificare i valori seguenti:

   • Nome regola attestazione: regola attestazione di posta elettronica
   • Archivio attributi: Active Directory
   • Attributo LDAP: indirizzi di posta elettronica
   • Tipo di attestazione in uscita: indirizzo di posta elettronica

5. Selezionare Fine.

6. Seleziona Aggiungi regola.

7. In Modello di regola attestazione selezionare Trasforma un'attestazione in ingresso e quindi selezionare Avanti.

8. In Configura regola attestazione specificare i valori seguenti:

   • Nome regola attestazione: Regola di trasformazione posta elettronica
   • Tipo di attestazione in arrivo: Indirizzo di posta elettronica
   • Tipo di attestazione in uscita: ID nome
   • Formato ID nome in uscita: Identificatore permanente
   • Seleziona Pass-through di tutti i valori attestazione.

9. Selezionare Fine.

10. Il riquadro Modifica regole attestazione mostra le nuove regole. Selezionare Applica.

11. Selezionare OK. Il server AD FS è ora configurato per la federazione usando il protocollo SAML 2.0.

Configurare AD FS per la federazione WS-Fed

Microsoft Entra B2B può essere configurato per la federazione con i provider di identità che usano il protocollo WS-Fed con i requisiti specifici elencati di seguito. Attualmente, i due provider WS-Fed sono stati testati per la compatibilità con Microsoft Entra per ID esterno includono AD FS e Shibboleth. In questo caso viene usato Active Directory Federation Services (AD FS) come esempio di WS-Fed IdP. Per altre informazioni sulla definizione di un trust relying party tra un provider conforme a WS Fed con Microsoft Entra per ID esterno, scaricare la documentazione sulla compatibilità del provider di identità Microsoft Entra.

Per configurare la federazione, è necessario ricevere gli attributi seguenti nel messaggio WS-Fed dal provider di identità. Questi attributi possono essere configurati tramite il collegamento al file XML del servizio token di sicurezza online o mediante immissione manuale. Passaggio 12 in Creare un'istanza di AD FS di test descrive come trovare gli endpoint AD FS o come generare l'URL dei metadati, ad esempio https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.

Attributo	valore
PassiveRequestorEndpoint	https://login.microsoftonline.com/login.srf
Destinatari	urn:federation:MicrosoftOnline
Autorità di certificazione	URI dell'autorità emittente del provider di identità partner, ad esempio http://www.example.com/exk10l6w90DHM0yi...

Attestazioni necessarie per il token WS-Fed rilasciato dal provider di identità:

Attributo	valore
ImmutableID	http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
emailaddress	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

La sezione successiva illustra come configurare gli attributi e le attestazioni necessari usando AD FS come esempio di IdP WS-Fed.

Operazioni preliminari

Prima di iniziare questa procedura, è necessario che un server AD FS sia già configurato e funzionante.

Aggiungere l'attendibilità della relying party

1. Nel server AD FS passare a Strumenti>gestione AD FS.

2. Nel riquadro di spostamento selezionare Trust Relationships Relying Party Trusts (Relazioni>di trust delle relying party).

3. In Azioni selezionare Aggiungi attendibilità relying party.

4. Nella procedura guidata Aggiungi attendibilità relying party selezionare Attestazioni in grado di riconoscere le attestazioni e quindi selezionare Avvia.

5. Nella sezione Seleziona origine dati selezionare Immettere i dati sulla relying party manualmente e quindi selezionare Avanti.

6. Nella pagina Specifica nome visualizzato digitare un nome in Nome visualizzato. Facoltativamente, è possibile immettere una descrizione per l'attendibilità della relying party nella sezione Note . Selezionare Avanti.

7. Facoltativamente, nella pagina Configura certificato , se si dispone di un certificato di crittografia del token, selezionare Sfoglia per individuare un file di certificato. Selezionare Avanti.

8. Nella pagina Configura URL selezionare la casella di controllo Abilita supporto per il protocollo WS-Federation Passive. In Relying party WS-Federation Passive protocol URL (URL del protocollo passivo WS-Federation) immettere l'URL seguente: https://login.microsoftonline.com/login.srf

9. Selezionare Avanti.

10. Nella pagina Configura identificatori immettere gli URL seguenti e selezionare Aggiungi. Nel secondo URL immettere l'ID tenant del tenant di Microsoft Entra del partner del servizio.

    • urn:federation:MicrosoftOnline
    • https://login.microsoftonline.com/<tenant ID>/

    Nota

    Assicurarsi di includere una barra (/) dopo l'ID tenant, ad esempio : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.

11. Selezionare Avanti.

12. Nella pagina Scegli criteri Controllo di accesso selezionare un criterio e quindi selezionare Avanti.

13. Nella pagina Pronto per aggiungere attendibilità esaminare le impostazioni e quindi selezionare Avanti per salvare le informazioni sull'attendibilità della relying party.

14. Nella pagina Fine selezionare Chiudi. selezionare Attendibilità relying party e selezionare Modifica criterio di rilascio attestazioni.

Creare regole attestazioni

1. Selezionare l'attendibilità relying party appena creata e quindi selezionare Modifica criterio di rilascio attestazioni.

2. Seleziona Aggiungi regola.

3. Selezionare Invia attributi LDAP come attestazioni e quindi selezionare Avanti.

4. In Configura regola attestazione specificare i valori seguenti:

   • Nome regola attestazione: regola attestazione di posta elettronica
   • Archivio attributi: Active Directory
   • Attributo LDAP: indirizzi di posta elettronica
   • Tipo di attestazione in uscita: indirizzo di posta elettronica

5. Selezionare Fine.

6. Nella stessa procedura guidata Modifica regole attestazione selezionare Aggiungi regola.

7. Selezionare Invia attestazioni usando una regola personalizzata e quindi selezionare Avanti.

8. In Configura regola attestazione specificare i valori seguenti:

   • Nome regola attestazione: Id non modificabile
   • Regola personalizzata: c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), query = "samAccountName={0};objectGUID;{1}", param = regexreplace(c.Value, "(?<domain>[^\\]+)\\(?<user>.+)", "${user}"), param = c.Value);

9. Selezionare Fine.

10. Seleziona OK. Il server AD FS è ora configurato per la federazione tramite WS-Fed.

Passaggi successivi

Configurare quindi la federazione SAML/WS-Fed IdP in Microsoft Entra per ID esterno nel portale di Azure o usando l'API Microsoft Graph.