適用対象: 
従業員テナント 外部テナント (詳細はこちら)
Microsoft Entra の従業員と外部テナントでは、SAML または WS-Fed ID プロバイダー (IdP) を使用する他の組織とのフェデレーションを設定できます。 外部組織のユーザーは、独自の IdP マネージド アカウントを使用して、招待の利用中またはセルフサービス サインアップ時に、新しい Microsoft Entra 資格情報を作成しなくても、アプリまたはリソースにサインインできます。 ユーザーは、アプリにサインアップまたはサインインするときに IdP にリダイレクトされ、正常にサインインすると Microsoft Entra に戻ります。
複数のドメインを 1 つのフェデレーション構成に関連付けることができます。 パートナーのドメインは、Microsoft Entra の検証済みまたは未確認のいずれかになります。
SAML/WS-Fed IdP フェデレーションを設定するには、テナントと外部組織の IdP の両方で構成が必要です。 場合によっては、パートナーが DNS テキスト レコードを更新する必要があります。 必要な要求と証明書利用者の信頼で IdP を更新する必要もあります。
SAML/WS-Fed IdP フェデレーションを使用したユーザー認証
パートナーの SAML/WS-Fed IdP とのフェデレーションを設定したら、ユーザーは [サインアップ] または [サインインに使用する] オプションを選択して サインアップ または サインイン できます。 ID プロバイダーにリダイレクトされ、正常にサインインすると Microsoft Entra に返されます。
外部テナントの場合、ユーザーのサインイン電子メールは、SAML フェデレーション中に設定された定義済みのドメインと一致する必要はありません。 ユーザーが外部テナントにアカウントを持っていなくても、いずれかの外部 ID プロバイダーの定義済みドメインと一致する電子メール アドレスをサインイン ページに入力すると、その ID プロバイダーで認証するようにリダイレクトされます。
検証済みドメインと未確認ドメイン
ユーザーのサインイン エクスペリエンスは、パートナーのドメインが Microsoft Entra で検証されているかどうかによって異なります。
未確認のドメイン は、Microsoft Entra ID で DNS 検証されていないドメインです。 フェデレーション後、ユーザーは未確認のドメインの資格情報を使用してサインインできます。
アンマネージド (電子メール検証済みまたは "バイラル") テナント は、ユーザーが招待を利用するか、現在存在しないドメインを使用して Microsoft Entra ID のセルフサービス サインアップを実行したときに作成されます。 フェデレーション後、ユーザーはアンマネージド テナントの資格情報を使用してサインインできます。
Microsoft Entra ID 検証済みドメイン は、テナントが 管理者の引き継ぎを受けたドメインを含め、Microsoft Entra で DNS 検証されたドメインです。 フェデレーション後:
- セルフサービス サインアップの場合、ユーザーは独自のドメイン資格情報を使用できます。
- 招待を利用する場合、Microsoft Entra ID はプライマリ IdP のままです。 ワークフォーステナントでは、フェデレーション IdP に優先順位を付けるために、招待の引き換え順序を変更することができます。
注
引き換え順序の変更は、現在、外部テナントまたはクラウド間ではサポートされていません。
フェデレーションが現在の外部ユーザーに与える影響
外部ユーザーが既に招待を利用している場合、またはセルフサービス サインアップを使用している場合、フェデレーションを設定しても認証方法は変更されません。 元の認証方法 (ワンタイム パスコードなど) を引き続き使用します。 未確認のドメインのユーザーがフェデレーションを使用し、その組織が後で Microsoft Entra に移行した場合でも、フェデレーションを引き続き使用します。
従業員テナントでの B2B コラボレーションでは、既存のユーザーが現在のサインイン方法を引き続き使用するため、新しい招待を既存のユーザーに送信する必要はありません。 ただし、 ユーザーの引き換えの状態をリセットすることはできます。 ユーザーが次回アプリにアクセスすると、引き換え手順が繰り返され、フェデレーションに切り替えることができます。
従業員テナントのサインイン エンドポイント
フェデレーションが従業員テナントで設定されている場合、フェデレーション組織のユーザーは、共通エンドポイント (つまり、テナント コンテキストを含まない一般的なアプリ URL) を使用して、マルチテナントアプリまたは Microsoft ファーストパーティ アプリにサインインできます。 サインイン プロセス中に、ユーザーは サインイン オプションを選択し、次に 組織にサインインを選択します。 彼らは組織の名前を入力し、自分自身の資格情報を使用してサインインを続けます。
SAML/WS-Fed IdP フェデレーション ユーザーは、テナント情報を含むアプリケーション エンドポイントを使用することもできます。次に例を示します。
https://myapps.microsoft.com/?tenantid=<your tenant ID>https://myapps.microsoft.com/<your verified domain>.onmicrosoft.comhttps://portal.azure.com/<your tenant ID>
また、テナント情報 (https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>など) を含めることで、アプリケーションまたはリソースへの直接リンクをユーザーに付与することもできます。
SAML/WS-Fed フェデレーションに関する主な考慮事項
パートナー IdP 要件
SAML/WS-Fed IdP フェデレーションを設定するには、テナントと外部組織の IdP の両方で構成が必要です。 パートナーの IdP によっては、パートナーが自身の DNS レコードを更新して、お客様とのフェデレーションを有効にすることが必要な場合があります。 「手順 1: パートナーが DNS テキスト レコードを更新する必要があるかどうかを判断する」を参照してください。
パートナーは、必要な要求と証明書利用者信頼で IdP を更新する必要があります。 外部フェデレーションに対して Microsoft Entra ID によって送信された SAML 要求の発行者 URL はテナントエンドポイントになりましたが、以前はグローバル エンドポイントでした。 グローバル エンドポイントとの既存のフェデレーションは引き続き機能します。 ただし、新しいフェデレーションの場合は、外部 SAML または WS-Fed IdP の対象ユーザーをテナントエンドポイントに設定します。 必要な属性と要求については、SAML 2.0 セクションの と WS-Fed セクション を参照してください。
署名証明書の有効期限
IdP の設定でメタデータ URL を指定した場合、署名証明書が有効期限切れになると、Microsoft Entra ID によって自動的に更新されます。 ただし、証明書が有効期限切れになる前に何らかの理由でローテーションされた場合、またはメタデータ URL を指定しなかった場合には、Microsoft Entra ID による更新はできません。 この場合、署名証明書を手動で更新する必要があります。
セッションの有効期限
Microsoft Entra セッションの有効期限が切れたり無効になったり、フェデレーション IdP で SSO が有効になっている場合、ユーザーは SSO を体験します。 フェデレーション ユーザーのセッションが有効な場合、ユーザーに再度サインインのダイアログが表示されることはありません。 それ以外の場合、ユーザーはサインインのために IdP にリダイレクトされます。
部分的に同期されたテナント
フェデレーションでは、部分的に同期されたテナントによって発生するサインインの問題は解決されません。パートナーのオンプレミス ユーザー ID がクラウド内の Microsoft Entra と完全に同期されていません。 これらのユーザーは B2B 招待でサインインできないため、代わりに メール ワンタイム パスコード 機能を使用する必要があります。 SAML/WS-Fed IdP フェデレーション機能は、独自の IdP で管理される組織アカウントを持ち、Microsoft Entra が存在しないパートナー向けです。
B2B ゲスト アカウント
フェデレーションは、ディレクトリ内の B2B ゲスト アカウントの必要性を置き換えるわけではありません。 B2B コラボレーションでは、使用される認証またはフェデレーション方法に関係なく、従業員テナント ディレクトリ内のユーザーに対してゲスト アカウントが作成されます。 このユーザー オブジェクトを使用すると、アプリケーションにアクセス権を付与したり、ロールを割り当てたり、セキュリティ グループのメンバーシップを定義したりできます。
署名された認証トークン
現在のところ、Microsoft Entra SAML/WS-Fed フェデレーション機能では、署名された認証トークンを SAML ID プロバイダーに送信することはサポートされていません。