Пример: настройка федерации с поставщиком удостоверений на основе SAML/WS-Fed с AD FS

Область применения: клиенты рабочей силы внешниеклиенты (дополнительные сведения)

Примечание.

Прямая федерация в Внешняя идентификация Microsoft Entra теперь называется федерацией поставщика удостоверений SAML/WS-Fed (IdP).

В этой статье описывается, как настроить федерацию с поставщиком удостоверений SAML/WS-Fed с использованием служб федерации Active Directory (AD FS) в качестве поставщика удостоверений SAML 2.0 или WS-Fed. Для поддержки федерации необходимо настроить определенные атрибуты и утверждения в поставщике удостоверений. Чтобы проиллюстрировать настройку поставщика удостоверений для федерации, мы используем службы федерации Active Directory (AD FS) (AD FS) в качестве примера. Мы покажем, как настроить AD FS как поставщик удостоверений SAML, так и как поставщик удостоверений WS-Fed.

Примечание.

В этой статье в качестве примера описывается, как настроить AD FS для SAML и WS-Fed. Для интеграции с федерацией, в которой в качестве поставщика удостоверений выступает AD FS, рекомендуется использовать протокол WS-Fed.

Настройка AD FS для федерации SAML 2.0

Microsoft Entra B2B можно настроить для федерации с поставщиками удостоверений, использующих протокол SAML с определенными требованиями, перечисленными ниже. Чтобы продемонстрировать поэтапную настройку SAML, в этом разделе показывается настройка AD FS для SAML 2.0.

Чтобы настроить федерацию, в ответе SAML 2.0 от поставщика удостоверений должны быть получены указанные ниже атрибуты. Их можно настроить путем связывания с XML-файлом службы токенов безопасности в сети или ввести вручную. На шаге 12 в разделе Создание тестового экземпляра AD FS описывается поиск конечных точек AD FS или создание URL-адреса метаданных, например https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.

Атрибут	Значение
AssertionConsumerService	https://login.microsoftonline.com/login.srf
Аудитория	urn:federation:MicrosoftOnline
Издатель	URI издателя IdP партнера, например http://www.example.com/exk10l6w90DHM0yi...

В токене SAML 2.0, выданном поставщиком удостоверений, необходимо настроить следующие утверждения.

Атрибут	Значение
NameID Format	urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
emailaddress	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

В следующем разделе демонстрируется, как настроить необходимые атрибуты и утверждения с использованием AD FS в качестве примера поставщика удостоверений SAML 2.0.

Подготовка к работе

Перед выполнением этой процедуры должен быть настроен и запущен сервер AD FS.

Добавление описания утверждения

1. На сервере AD FS выберите Инструменты>Управление AD FS.

2. В области навигации выберите Служба>Описания утверждений.

3. В разделе Действия выберите Добавить описание утверждения.

4. В окне Добавить описание утверждения укажите следующие значения.

   • Отображаемое имя — постоянный идентификатор.
   • Идентификатор утверждения — urn:oasis:names:tc:SAML:2.0:nameid-format:persistent.
   • Установите флажок Опубликовать это описание утверждения в метаданных федерации как тип утверждений, которые может принимать данная служба федерации.
   • Установите флажок Опубликовать это описание утверждения в метаданных федерации как тип утверждений, которые может отправлять данная служба федерации.

5. Щелкните ОК.

Добавление отношения доверия с проверяющей стороной

1. На сервере AD FS перейдите в раздел "Сервис>управления AD FS".

2. В области навигации выберите Отношения доверия с проверяющей стороной.

3. В разделе Действия выберите Добавить отношение доверия с проверяющей стороной.

4. В мастере добавления отношений доверия с проверяющей стороной выберите Поддерживающие утверждения и щелкните Запустить.

5. В разделе Выбор источника данных установите флажок Импорт данных о проверяющей стороне, опубликованных в Интернете или локальной сети. Укажите URL-адрес метаданных федерации: https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. Выберите Далее.

6. Для остальных параметров оставьте значения по умолчанию. Продолжайте выбирать Далее, а затем щелкните Закрыть, чтобы закрыть мастер.

7. В разделе "Управление AD FS" в разделе "Доверие проверяющей стороны" щелкните правой кнопкой мыши только что созданное доверие проверяющей стороны и выберите "Свойства".

8. На вкладке "Мониторинг" un проверка поле "Монитор проверяющей стороны".

9. На вкладке "Идентификаторы" введите https://login.microsoftonline.com/<tenant ID>/ текстовое поле идентификатора проверяющей стороны с помощью идентификатора клиента партнера службы Microsoft Entra. Выберите Добавить.

   Примечание.

   Обязательно включите косую черту (/) после идентификатора клиента, например: https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/

10. Нажмите ОК.

Создание правил утверждений

1. Щелкните правой кнопкой мыши созданное отношение доверия с проверяющей стороной, а затем выберите Изменить политику выдачи утверждений.

2. В окне мастера Изменение правил утверждений щелкните Добавить правило.

3. В разделе Шаблон правила утверждения выберите Отправка атрибутов LDAP как утверждений.

4. В разделе Настройте правило утверждения укажите следующие значения.

   • Имя правила утверждения — правило для утверждений электронной почты.
   • Хранилище атрибутов — Active Directory.
   • Атрибут LDAP — адреса электронной почты.
   • Тип исходящего утверждения — адрес электронной почты.

5. Выберите Готово.

6. Выберите Добавить правило.

7. В поле Шаблон правила утверждения выберите Преобразовать входящее утверждение и щелкните Далее.

8. В разделе Настройте правило утверждения укажите следующие значения.

   • Имя правила утверждения — правило преобразования электронной почты.
   • Тип входящего утверждения — адрес электронной почты.
   • Тип исходящего утверждения — идентификатор имени.
   • Формат идентификатора имени исходящего утверждения — постоянный идентификатор.
   • Выберите Передавать все значения требования.

9. Выберите Готово.

10. В области Изменение правил утверждений появятся новые правила. Выберите Применить.

11. Нажмите ОК. Сервер AD FS теперь настроен для федерации с использованием протокола SAML 2.0.

Настройка AD FS для федерации WS-Fed

Microsoft Entra B2B можно настроить для федерации с поставщиками удостоверений, использующих протокол WS-Fed с определенными требованиями, перечисленными ниже. В настоящее время два поставщика WS-Fed были проверены на совместимость с Внешняя идентификация Microsoft Entra включают AD FS и Shibboleth. Здесь мы используем службы федерации Active Directory (AD FS) (AD FS) в качестве примера поставщика удостоверений WS-Fed. Дополнительные сведения о создании доверия проверяющей стороны между поставщиком, соответствующим WS-Fed, с Внешняя идентификация Microsoft Entra, скачайте документы о совместимости поставщика удостоверений Microsoft Entra.

Чтобы настроить федерацию, в сообщении WS-Fed от поставщика удостоверений должны быть получены указанные ниже атрибуты. Их можно настроить путем связывания с XML-файлом службы токенов безопасности в сети или ввести вручную. На шаге 12 в разделе Создание тестового экземпляра AD FS описывается поиск конечных точек AD FS или создание URL-адреса метаданных, например https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.

Атрибут	Значение
PassiveRequestorEndpoint	https://login.microsoftonline.com/login.srf
Аудитория	urn:federation:MicrosoftOnline
Издатель	URI издателя IdP партнера, например http://www.example.com/exk10l6w90DHM0yi...

Обязательные утверждения для токена WS-Fed, выданного IdP:

Атрибут	Значение
ImmutableID	http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
emailaddress	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

В следующем разделе демонстрируется, как настроить необходимые атрибуты и утверждения с использованием AD FS в качестве примера поставщика удостоверений WS-Fed.

Подготовка к работе

Перед выполнением этой процедуры должен быть настроен и запущен сервер AD FS.

Добавление отношения доверия с проверяющей стороной

1. На сервере AD FS выберите Инструменты>Управление AD FS.

2. В области навигации выберите Отношения доверия>Отношения доверия с проверяющей стороной.

3. В разделе Действия выберите Добавить отношение доверия с проверяющей стороной.

4. В мастере добавления доверия проверяющей стороны выберите "Утверждения", а затем нажмите кнопку "Пуск".

5. В разделе Выбор источника данных выберите элемент Ввод данных о проверяющей стороне вручную и нажмите кнопку Далее.

6. На странице "Указание отображаемого имени" введите имя в отображаемом имени. При необходимости можно ввести описание для доверия проверяющей стороны в разделе "Заметки ". Выберите Далее.

7. При необходимости на странице настройки сертификата , если у вас есть сертификат шифрования маркеров, нажмите кнопку "Обзор ", чтобы найти файл сертификата. Выберите Далее.

8. На странице "Настройка URL-адреса" выберите "Включить поддержку пассивного протокола WS-Federation" проверка. В разделе URL-адрес пассивного протокола WS-FEDERATION введите следующий URL-адрес: https://login.microsoftonline.com/login.srf

9. Выберите Далее.

10. На странице "Настройка идентификаторов" введите следующие URL-адреса и нажмите кнопку "Добавить". Во втором URL-адресе введите идентификатор клиента клиента партнера службы Microsoft Entra.

    • urn:federation:MicrosoftOnline
    • https://login.microsoftonline.com/<tenant ID>/

    Примечание.

    Обязательно включите косую черту (/) после идентификатора клиента, например: https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/

11. Выберите Далее.

12. На странице "Выбор политики контроль доступа" выберите политику и нажмите кнопку "Далее".

13. На странице "Готово к добавлению доверия" просмотрите параметры и нажмите кнопку "Далее", чтобы сохранить сведения о доверии проверяющей стороны.

14. На странице "Готово" нажмите кнопку "Закрыть". выберите "Доверие проверяющей стороны" и выберите "Изменить политику выдачи утверждений".

Создание правил утверждений

1. Выберите только что созданное доверие проверяющей стороны, а затем выберите изменить политику выдачи утверждений.

2. Выберите Добавить правило.

3. Выберите " Отправить атрибуты LDAP в качестве утверждений" и нажмите кнопку "Далее".

4. В разделе Настройте правило утверждения укажите следующие значения.

   • Имя правила утверждения — правило для утверждений электронной почты.
   • Хранилище атрибутов — Active Directory.
   • Атрибут LDAP — адреса электронной почты.
   • Тип исходящего утверждения — адрес электронной почты.

5. Выберите Готово.

6. В том же окне мастера Изменение правил утверждений щелкните Добавить правило.

7. Выберите " Отправить утверждения с помощью настраиваемого правила" и нажмите кнопку "Далее".

8. В разделе Настройте правило утверждения укажите следующие значения.

   • Имя правила утверждения — выдача неизменяемого идентификатора.
   • Настраиваемое правило — c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), query = "samAccountName={0};objectGUID;{1}", param = regexreplace(c.Value, "(?<domain>[^\\]+)\\(?<user>.+)", "${user}"), param = c.Value);.

9. Выберите Готово.

10. Нажмите ОК. Сервер AD FS теперь настроен для федерации с использованием протокола WS-Fed.

Следующие шаги

Затем настройте федерацию поставщика удостоверений SAML/WS-Fed в Внешняя идентификация Microsoft Entra в портал Azure или с помощью API Microsoft Graph.