Esempio: Configurare la federazione SAML/WS-Fed IdP con AD FS per collaborazione B2B

Si applica a: Tenant della forza lavoro Tenant esterni (altre informazioni)

Nota

La federazione diretta in Microsoft Entra External ID è ora denominata federazione del provider di identità (IdP) SAML/WS-Fed.

Questo articolo descrive come configurare la federazione IdP SAML/WS-Fed utilizzando i servizi di federazione di Active Directory (AD FS) come IdP SAML 2.0 o WS-Fed. Per supportare la federazione, è necessario configurare determinati attributi e attestazioni nel provider di identità. Per illustrare come configurare un IdP per la federazione, è stato usato Active Directory Federation Services (AD FS) come esempio. Viene illustrato come configurare AD FS sia come IdP SAML che come IdP WS-Fed.

Nota

Questo articolo descrive come configurare AD FS sia per SAML che per WS-Fed a scopo illustrativo. Per le integrazioni di federazione in cui il provider di identità è AD FS, è consigliabile usare WS-Fed come protocollo.

Configurare AD FS per la federazione SAML 2.0

È possibile configurare Microsoft Entra B2B per la federazione con i provider di identità che usano il protocollo SAML con alcuni requisiti specifici indicati di seguito. Per illustrare la procedura di configurazione SAML, in questa sezione viene spiegato come configurare AD FS per SAML 2.0.

Per configurare la federazione, è necessario ricevere gli attributi seguenti nella risposta SAML 2.0 dal provider di identità. Questi attributi possono essere configurati tramite il collegamento al file XML del servizio token di sicurezza online o mediante immissione manuale. Il passaggio 12 in Creare un'istanza di AD FS di test descrive come trovare gli endpoint AD FS o come generare l'URL dei metadati, ad esempio https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.

Attributo	valore
AssertionConsumerService	https://login.microsoftonline.com/login.srf
Destinatari	urn:federation:MicrosoftOnline
Emittente	URI dell'emittente del fornitore di servizi di identità del partner, ad esempio http://www.example.com/exk10l6w90DHM0yi...

Le dichiarazioni seguenti devono essere configurate nel token SAML 2.0 emesso dall'IdP:

Attributo	valore
Formato del NameID	urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	L'indirizzo di posta elettronica dell'utente

La sezione successiva illustra come configurare gli attributi e le attestazioni richiesti utilizzando AD FS come esempio di fornitore di identità SAML 2.0.

Operazioni preliminari

Prima di iniziare questa procedura, è necessaria la disponibilità di un server AD FS già configurato e funzionante.

Aggiungere la descrizione della dichiarazione

1. Nel server AD FS selezionare Strumenti>Gestione AD FS.

2. Nel riquadro di spostamento, selezionare Servizio>Descrizioni delle richieste.

3. In Azioni, selezionare Aggiungi descrizione della rivendicazione.

4. Nella finestra Aggiungi una descrizione nella richiesta specificare i valori seguenti:

   • Nome visualizzato: identificatore permanente
   • Identificatore richiesta: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
   • Selezionare la casella di controllo Pubblica questa descrizione della rivendicazione nei metadati della federazione come tipo di rivendicazione che il servizio di federazione può accettare.
   • Selezionare la casella di controllo per Pubblicare questa descrizione dell'attestazione nei metadati di federazione come un tipo di attestazione che questo servizio federativo può inviare.

5. Selezionare OK.

Aggiungere il trust della parte fidata

1. Nel server AD FS passare a Strumenti>Gestione AD FS.

2. Nel riquadro di navigazione, selezionare Trust della relying party.

3. In Azioni, selezionare Aggiungi Trust della Relying Party.

4. Nella procedura guidata di Aggiungi il trust della relying party, selezionare Con funzionalità di riconoscimento delle attestazioni e quindi selezionare Avviare.

5. Nella sezione Seleziona origine dati, selezionare la casella di controllo per Importare dati sulla parte fiduciante pubblicati online o su una rete locale. Immettere l’URL dei metadati federativi: https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. Selezionare Avanti.

6. Lasciare le altre impostazioni impostate sui valori predefiniti. Continuare a selezionare Avanti, e infine selezionare Chiudi per chiudere la procedura guidata.

7. In Gestione AD FS, selezionare Trust della relying party, fare clic con il pulsante destro del mouse sul trust della relying party creato in precedenza e quindi selezionare Proprietà.

8. Nella scheda Monitoraggio, deselezionare la casella Monitora la parte fidata.

9. Nella scheda Identificatori, immettere https://login.microsoftonline.com/<tenant ID>/ nella casella di testo Identificatore della parte affidabile utilizzando l'ID tenant del tenant Microsoft Entra del partner del servizio. Seleziona Aggiungi.

   Nota

   Assicurarsi di includere una barra (/) dopo l'ID tenant, ad esempio : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.

10. Seleziona OK.

Creare regole criteri di rivendicazione

1. Fare clic con il pulsante destro del mouse sulla relazione di trust della relying party che hai creato e quindi selezionare Modifica criterio di rilascio attestazioni.

2. Nella procedura guidata di Modifica delle regole delle attestazioni, seleziona Aggiungi regola.

3. In Modello di regola attestazione, selezionare Invia attributi LDAP come attestazioni.

4. In Configura regola di richiesta, specificare i valori seguenti:

   • Nome regola di dichiarazione: regola di dichiarazione dell'email
   • Archivio attributi: Active Directory
   • Attributo LDAP: indirizzi di posta elettronica
   • Tipo di attestazione in uscita: indirizzo di posta elettronica

5. Selezionare Fine.

6. Seleziona Aggiungi regola.

7. In Modello di regola attestazione selezionare Trasforma un'attestazione in arrivo e quindi selezionare Avanti.

8. In Configura regola di richiesta, specificare i valori seguenti:

   • Nome della regola di attestazione: regola di trasformazione dell'email
   • Tipo di attestazione in arrivo: indirizzo di posta elettronica
   • Tipo di attestazione in uscita: ID nome
   • Formato del nome ID in uscita: identificatore permanente
   • Seleziona Trasmetti tutti i valori delle attestazioni.

9. Selezionare Fine.

10. Il riquadro Modifica regole attestazione visualizza le nuove regole. Selezionare Applica.

11. Seleziona OK. Il server AD FS è ora configurato per la federazione tramite il protocollo SAML 2.0.

Configurare AD FS per la federazione WS-Fed

Microsoft Entra B2B può essere configurato per la federazione con i provider di identità che usano il protocollo WS-Fed con i requisiti specifici elencati di seguito. Attualmente, i due provider WS-Fed che sono stati testati per la compatibilità con Microsoft Entra per ID esterno sono AD FS e Shibboleth. In questo caso, utilizziamo Active Directory Federation Services (AD FS) come esempio di fornitore di servizi di federazione WS-Fed. Per ulteriori informazioni sulla creazione di un trust di relying party tra un provider conforme a WS-Fed e Microsoft Entra External ID, scaricare la documentazione sulla compatibilità del provider di identità Microsoft Entra.

Per configurare la federazione, è necessario che gli attributi seguenti vengano ricevuti nel messaggio WS-Fed del provider di identità. Questi attributi possono essere configurati tramite il collegamento al file XML del servizio token di sicurezza online o mediante immissione manuale. Il passaggio 12 in Creare un'istanza di AD FS di test descrive come trovare gli endpoint AD FS o come generare l'URL dei metadati, ad esempio https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.

Attributo	valore
Endpoint del Richiedente Passivo	https://login.microsoftonline.com/login.srf
Destinatari	urn:federation:MicrosoftOnline
Emittente	URI dell'emittente del fornitore di servizi di identità del partner, ad esempio http://www.example.com/exk10l6w90DHM0yi...

Attestazioni necessarie per il token WS-Fed rilasciato dall'IdP:

Attributo	valore
ImmutableID	http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
indirizzo email	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

La sezione successiva spiega come configurare gli attributi e le attestazioni necessari usando AD FS come esempio di IdP WS-Fed.

Operazioni preliminari

Prima di iniziare questa procedura, è necessaria la disponibilità di un server AD FS già configurato e funzionante.

Aggiungere il trust della parte fidata

1. Nel server AD FS passare a Strumenti> Gestione AD FS.

2. Nel riquadro di spostamento selezionare Relazioni di fiducia>Fiducia della parte fidata.

3. In Azioni, selezionare Aggiungi Trust della Relying Party.

4. Nella procedura guidata di aggiunta del trust della relying party, selezionare Claims aware e quindi selezionare Avvia.

5. Nella sezione Seleziona origine dati selezionare Immettere i dati sulla relying party manualmente e quindi selezionare Avanti.

6. Nella pagina Specifica nome visualizzato digitare un nome in Nome visualizzato. Se lo desideri, è possibile immettere una descrizione del trust della relying party nella sezione Note. Selezionare Avanti.

7. Facoltativamente, nella pagina Configura certificato, se si dispone di un certificato di crittografia del token, selezionare Sfoglia per individuare un file di certificato. Selezionare Avanti.

8. Nella pagina Configura URL selezionare la casella di controllo Abilita supporto per il protocollo passivo WS-Federation. In URL del protocollo passivo WS-Federation della relying party immettere l'URL seguente: https://login.microsoftonline.com/login.srf

9. Selezionare Avanti.

10. Nella pagina Configura identificatori immettere gli URL seguenti e selezionare Aggiungi. Nel secondo URL, inserisci l'ID tenant del tenant Microsoft Entra del partner del servizio.

    • urn:federation:MicrosoftOnline
    • https://login.microsoftonline.com/<tenant ID>/

    Nota

    Assicurarsi di includere una barra (/) dopo l'ID tenant, ad esempio : https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.

11. Selezionare Avanti.

12. Nella pagina Scegli criteri di controllo di accesso selezionare i criteri desiderati e fare clic su Avanti.

13. Nella pagina Pronto per aggiungere attendibilità, rivedere le impostazioni e quindi fare clic su Avanti per salvare le informazioni sul trust della parte fidata.

14. Nella pagina Fine selezionare Chiudi. Selezionare Trust del Relying Party e scegliere Modifica criterio di rilascio attestazioni.

Creare regole criteri di rivendicazione

1. Selezionare il Trust della Relying Party appena creato e quindi selezionare Modifica criterio di rilascio attestazioni.

2. Seleziona Aggiungi regola.

3. Selezionare Invia attributi LDAP come attestazionie quindi selezionare Avanti.

4. In Configura regola di richiesta, specificare i valori seguenti:

   • Nome regola di dichiarazione: regola di dichiarazione dell'email
   • Archivio attributi: Active Directory
   • Attributo LDAP: indirizzi di posta elettronica
   • Tipo di attestazione in uscita: indirizzo di posta elettronica

5. Selezionare Fine.

6. Nella stessa procedura guidata Modifica delle regole di attestazione, selezionare Aggiungi regola.

7. Selezionare Invia attestazioni usando una regola personalizzata e quindi selezionare Avanti.

8. In Configura regola di richiesta, specificare i valori seguenti:

   • Nome regola attestazione: ID non modificabile
   • Regola personalizzata: c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), query = "samAccountName={0};objectGUID;{1}", param = regexreplace(c.Value, "(?<domain>[^\\]+)\\(?<user>.+)", "${user}"), param = c.Value);

9. Selezionare Fine.

10. Seleziona OK. Il server AD FS è ora configurato per la federazione tramite WS-Fed.

Passaggi successivi

Quindi, puoi configurare la federazione IdP SAML/WS-Fed in Microsoft Entra External ID nel portale di Azure o utilizzando l'API Microsoft Graph.