Condividi tramite


Provider di identità SAML/WS-Fed

si applica a: cerchio verde con un segno di spunta bianco. inquilini della forza lavoro cerchio verde con un segno di spunta bianco. inquilini esterni (scopri di più)

In Microsoft Entra ambiente di lavoro e tenant esterni è possibile configurare la federazione con altre organizzazioni che usano un provider di identità SAML o WS-Fed (IdP). Gli utenti dell'organizzazione esterna possono quindi usare i propri account gestiti da IdP per accedere alle app o alle risorse, durante il riscatto dell'invito o l'iscrizione self-service, senza dover creare nuove credenziali di Microsoft Entra. L'utente viene reindirizzato al proprio IdP durante l'iscrizione o l'accesso all'app e quindi viene reindirizzato nuovamente a Microsoft Entra dopo l'accesso effettuato con successo.

È possibile associare più domini a una singola configurazione di federazione. Il dominio del partner può essere verificato o non verificato da Microsoft Entra.

La configurazione della federazione SAML/WS-Fed IdP richiede impostazioni sia nel tenant che nel Provider di identità dell'organizzazione esterna. In alcuni casi, il partner deve aggiornare i record di testo DNS. Devono anche aggiornare il provider di identità con le attestazioni necessarie e i trust della parte affidabile.

Autenticazione utente con federazione SAML/WS-Fed IdP

Dopo aver configurato la federazione con SAML/WS-Fed IdP di un partner, gli utenti possono iscriversi o accedere selezionando l'opzione Iscrizione con o Accedi con . Vengono indirizzati nuovamente al provider di identità e quindi riportati a Microsoft Entra dopo aver effettuato correttamente l'accesso.

Per i tenant esterni, la posta elettronica di accesso di un utente non deve corrispondere ai domini predefiniti configurati durante la federazione SAML. Se un utente non ha un account nel tenant esterno e immette un indirizzo di posta elettronica nella pagina di accesso corrispondente a un dominio predefinito in uno dei provider di identità esterni, viene reindirizzato all'autenticazione con tale provider di identità.

Domini verificati e non verificati

L'esperienza di accesso di un utente dipende dal fatto che il dominio del partner sia verificato da Microsoft Entra.

  • I domini non verificati in DNS sono domini non verificati in MICROSOFT Entra ID. Dopo la federazione, gli utenti possono accedere usando le credenziali del dominio non verificato.

  • I tenant non gestiti (verificati tramite posta elettronica o virali) vengono creati quando un utente riscatta un invito o esegue l'iscrizione self-service per l'ID Microsoft Entra usando un dominio che non esiste attualmente. Dopo la federazione, gli utenti possono accedere usando le credenziali del tenant non gestito.

  • I domini verificati di Microsoft Entra ID sono domini verificati tramite DNS con Microsoft Entra, inclusi i domini in cui il tenant ha subito un'acquisizione da parte dell'amministratore. Dopo la federazione:

    • Per l'iscrizione self-service, gli utenti possono usare le proprie credenziali di dominio.
    • Per il riscatto dell'invito, Microsoft Entra ID rimane il IdP primario. In un tenant del personale, è possibile assegnare priorità al provider di identità federato per la gestione dell'invito modificando l'ordine di riscatto.

    Annotazioni

    La modifica dell'ordine di riscatto non è attualmente supportata nei tenant esterni né tra diversi cloud.

Impatto della federazione sugli utenti esterni correnti

Se un utente esterno ha già riscattato un invito o ha usato l'iscrizione self-service, il metodo di autenticazione non cambia quando si configura la federazione. Continuano a usare il metodo di autenticazione originale, ad esempio un passcode monouso. Anche se un utente di un dominio non verificato usa la federazione e l'organizzazione passa successivamente a Microsoft Entra, continua a usare la federazione.

Per la collaborazione B2B in un tenant della forza lavoro, non è necessario inviare nuovi inviti agli utenti esistenti perché continuano a usare il metodo di accesso corrente. È tuttavia possibile reimpostare lo stato di riscatto di un utente. La volta successiva che l'utente accede all'app, ripeterà i passaggi di riscatto e potrà passare alla federazione.

Endpoint di accesso nei tenant della forza lavoro

Quando la federazione è configurata nel tenant della forza lavoro, gli utenti dell'organizzazione federata possono accedere alle app multi-tenant o alle applicazioni Microsoft di prima parte usando un endpoint comune (in altre parole, un generico URL dell'app che non include il contesto del tenant). Durante il processo di accesso, l'utente sceglie opzioni di accessoe quindi seleziona Accedi a un'organizzazione. Digitano il nome dell'organizzazione e continuano ad accedere usando le proprie credenziali.

SAML/WS-Fed gli utenti della federazione IdP possono anche usare gli endpoint dell'applicazione che includono le informazioni sul tenant, ad esempio:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

È anche possibile concedere agli utenti un collegamento diretto a un'applicazione o a una risorsa includendo le informazioni sul tenant, ad esempio https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>.

Considerazioni chiave per la federazione SAML/WS-Fed

Requisiti di Partner IdP

La configurazione della federazione SAML/WS-Fed IdP richiede impostazioni sia nel tenant che nel Provider di identità dell'organizzazione esterna. A seconda del provider di identità del partner, è possibile che il partner debba aggiornare i record DNS per abilitare la federazione con l'utente. Vedere Passaggio 1: Determinare se il partner deve aggiornare i record di testo DNS.

Il partner deve aggiornare l'Identity Provider (IdP) con le attestazioni necessarie e i trust della parte fidata. L'URL dell'autorità di certificazione nella richiesta SAML inviata da Microsoft Entra ID per le federazioni esterne è ora un endpoint tenant, mentre in precedenza era un endpoint globale. Le federazioni esistenti con l'endpoint globale continuano a funzionare. Per le nuove federazioni, tuttavia, impostare il gruppo di destinatari dell'istanza SAML esterna o WS-Fed IdP su un endpoint tenant. Vedere la sezione SAML 2.0 e la sezione WS-Fed per gli attributi e le dichiarazioni necessari.

Scadenza del certificato di firma

Se si specifica l'URL dei metadati nelle impostazioni del provider di identità, Microsoft Entra ID rinnova automaticamente il certificato di firma alla scadenza. Tuttavia, se il certificato viene ruotato per qualsiasi motivo prima della data di scadenza o se non si specifica un URL dei metadati, Microsoft Entra ID non riuscirà a rinnovarlo. In questo caso, sarà necessario aggiornare manualmente il certificato di firma.

Sessione scaduta

Se la sessione di Microsoft Entra scade o diventa non valida e l'IdP federato ha abilitato l'SSO, l'utente sperimenta un'esperienza SSO. Se la sessione dell'utente federato è valida, all'utente non viene richiesto di eseguire di nuovo l'accesso. In caso contrario, l'utente viene reindirizzato al provider di identità per l'accesso.

Clientela parzialmente sincronizzata

La federazione non risolve i problemi di accesso causati da una tenancy parzialmente sincronizzata, in cui le identità utente locali di un partner non sono completamente sincronizzate con Microsoft Entra nel cloud. Questi utenti non possono accedere con un invito B2B, quindi devono usare la funzionalità passcode monouso tramite posta elettronica. La funzionalità di federazione SAML/WS-Fed IdP è destinata ai partner con i propri account aziendali gestiti da IdP, ma senza la presenza di Microsoft Entra.

Account guest B2B

La federazione non elimina la necessità di account guest B2B nella tua directory. Con la collaborazione B2B, viene creato un account ospite per l'utente nella directory del tenant interno alla vostra azienda, a prescindere dal metodo di autenticazione o federazione che viene usato. Questo oggetto utente consente di concedere l'accesso alle applicazioni, assegnare ruoli e definire l'appartenenza ai gruppi di sicurezza.

Token di autenticazione firmati

Attualmente, la funzionalità di federazione SAML/WS-Fed di Microsoft Entra non supporta l'invio di un token di autenticazione firmato al provider di identità SAML.

Passaggi successivi

Aggiungi la federazione con un provider di identità SAML/WS-Fed