Federatie met SAML/WS-Fed-id-providers voor gastgebruikers

Notitie

• Directe federatie in Azure Active Directory wordt nu aangeduid als SAML/WS-Fed-id-provider (IdP)-federatie.

In dit artikel wordt beschreven hoe u federatie instelt met elke organisatie waarvan de id-provider (IdP) het SAML 2.0- of WS-Fed-protocol ondersteunt. Wanneer u federatie met de IdP van een partner instelt, kunnen nieuwe gastgebruikers van dat domein hun eigen door IdP beheerde organisatieaccount gebruiken om u aan te melden bij uw Azure AD tenant en met u samen te werken. De gastgebruiker hoeft geen afzonderlijk Azure AD-account te maken.

Belangrijk

• We bieden geen ondersteuning meer voor een acceptatielijst met id's voor nieuwe SAML-/WS-Fed IdP-federaties. Wanneer u een nieuwe externe federatie instelt, raadpleegt u Stap 1: Bepalen of de partner zijn DNS-tekstrecords moet bijwerken.
• In de SAML-aanvraag die is verzonden door Azure AD voor externe federaties, is de URL van de uitgever een tenant-eindpunt. Voor nieuwe federaties raden we aan dat al onze partners de doelgroep van de SAML of WS-Fed idP instellen op een tenant-eindpunt. Raadpleeg de secties vereiste kenmerken en claims voor SAML 2.0 en WS-Fed . Alle bestaande federaties die zijn geconfigureerd met het globale eindpunt blijven werken, maar nieuwe federaties werken niet meer als uw externe IdP een URL van een globale uitgever verwacht in de SAML-aanvraag.
• We hebben de beperking voor één domein verwijderd. U kunt nu meerdere domeinen koppelen aan een afzonderlijke federatieconfiguratie.
• We hebben de beperking verwijderd die vereist dat het verificatie-URL-domein overeenkomt met het doeldomein of afkomstig is van een toegestane IdP. Voor meer informatie, zie Stap 1: Bepalen of de partner de DNS-tekstrecords moet bijwerken.

Wanneer wordt een gastgebruiker geverifieerd met SAML/WS-Fed IdP-federatie?

Nadat u federatie hebt ingesteld met de SAML/WS-Fed IdP van een organisatie, worden alle nieuwe gastgebruikers die u uitnodigt geverifieerd met behulp van die SAML/WS-Fed IdP. Het is belangrijk om op te merken dat met het instellen van federatie de verificatiemethode niet wordt gewijzigd voor gastgebruikers die al een uitnodiging van u hebben gebruikt. Hier volgen enkele voorbeelden:

• Gastgebruikers hebben al uitnodigingen van u ingewisseld en later stelt u federatie in met de SAML/WS-Fed IdP van de organisatie. Deze gastgebruikers blijven dezelfde verificatiemethode gebruiken die ze hebben gebruikt voordat u federatie instelt.
• U stelt federatie in met de SAML/WS-Fed IdP van een organisatie en nodigt gastgebruikers uit, waarna de partnerorganisatie later overgaat naar Azure AD. De gastgebruikers die al uitnodigingen hebben ingewisseld, blijven de federatieve SAML/WS-Fed IdP gebruiken, zolang het federatiebeleid in uw tenant bestaat.
• U verwijdert federatie met de SAML/WS-Fed IdP van een organisatie. Gastgebruikers die momenteel de SAML/WS-Fed IdP gebruiken, kunnen zich niet aanmelden.

In een van deze scenario's kunt u de verificatiemethode van een gastgebruiker bijwerken door de inwisselingsstatus opnieuw in te stellen.

SAML/WS-Fed IdP-federatie is gekoppeld aan domeinnaamruimten, zoals contoso.com en fabrikam.com. Bij het tot stand brengen van federatie met AD FS of een idP van derden, koppelen organisaties een of meer domeinnaamruimten aan deze id's.

Ervaring voor de eindgebruiker

Met SAML/WS-Fed IdP-federatie melden gastgebruikers zich aan bij uw Azure AD-tenant met hun eigen organisatieaccount. Wanneer ze toegang hebben tot gedeelde resources en worden gevraagd zich aan te melden, worden gebruikers omgeleid naar hun IdP. Na een geslaagde aanmelding worden gebruikers teruggestuurd naar Azure AD om toegang te krijgen tot resources. Als de Azure AD-sessie verloopt of ongeldig wordt en voor de federatieve IdP eenmalige aanmelding is ingeschakeld, ervaart de gebruiker eenmalige aanmelding. Als de sessie van de federatieve gebruiker geldig is, wordt de gebruiker niet gevraagd zich opnieuw aan te melden. Anders wordt de gebruiker omgeleid naar de IdP voor aanmelding.

Aanmeldingseindpunten

Gastgebruikers van SAML/WS-Fed IdP kunnen zich nu aanmelden bij uw multitenant- of Microsoft-apps met behulp van een gemeenschappelijk eindpunt (met andere woorden een algemene app-URL die uw tenantcontext niet bevat). Tijdens het aanmeldingsproces kiest de gastgebruiker Aanmeldingsopties en selecteert vervolgens Aanmelden bij een organisatie. De gebruiker typt vervolgens de naam van uw organisatie en blijft zich aanmelden met zijn eigen gegevens.

Gastgebruikers van SAML/WS-Fed IdP-federatie kunnen ook toepassingseindpunten gebruiken die uw tenantgegevens bevatten, bijvoorbeeld:

• https://myapps.microsoft.com/?tenantid=<your tenant ID>
• https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
• https://portal.azure.com/<your tenant ID>

U kunt gastgebruikers ook een directe koppeling naar een toepassing of resource geven door uw tenantgegevens op te geven, bijvoorbeeld https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Veelgestelde vragen

Kan ik SAML/WS-Fed IdP-federatie instellen met door Azure AD geverifieerde domeinen?

Nee, we blokkeren SAML/WS-Fed IdP-federatie voor door Azure AD geverifieerde domeinen ten gunste van systeemeigen door Azure AD beheerde domeinmogelijkheden. Als u SAML/WS-Fed IdP-federatie probeert in te stellen met een domein dat dns-geverifieerd is in Azure AD, treedt er een fout op.

Kan ik SAML/WS-Fed IdP-federatie instellen met een domein waarvoor een niet-beheerde (via e-mail geverifieerde) tenant bestaat?

Ja, u kunt SAML/WS-Fed IdP-federatie instellen met domeinen die niet door DNS zijn geverifieerd in Azure AD, inclusief onbeheerde (via e-mail geverifieerd of 'viral') Azure AD tenants. Dergelijke tenants worden gemaakt wanneer een gebruiker een B2B-uitnodiging inwisselt of selfserviceregistratie uitvoert voor Azure AD met behulp van een domein dat momenteel niet bestaat. Als het domein niet is geverifieerd en de tenant geen beheerdersovername heeft ondergaan, kunt u federatie met dat domein instellen.

Hoeveel federatierelaties kan ik maken?

Momenteel worden maximaal 1000 federatierelaties ondersteund. Deze limiet omvat zowel interne federaties als SAML/WS-Fed IdP-federaties.

Kan ik federatie met meerdere domeinen van dezelfde tenant instellen?

Ja, we ondersteunen nu SAML/WS-Fed IdP-federatie met meerdere domeinen van dezelfde tenant.

Moet ik het handtekeningcertificaat vernieuwen wanneer het verloopt?

Als u de metagegevens-URL opgeeft in de IdP-instellingen, wordt Azure AD het handtekeningcertificaat automatisch vernieuwd wanneer het verloopt. Als het certificaat echter om een of andere reden vóór de verlooptijd wordt geroteerd of als u geen metagegevens-URL opgeeft, kan Azure AD het certificaat niet vernieuwen. In dit geval moet u het handtekeningcertificaat handmatig bijwerken.

Als SAML/WS-Fed IdP federatie en eenmalige wachtwoordcodeverificatie per e-mail zijn ingeschakeld, welke methode heeft dan prioriteit?

Wanneer SAML/WS-Fed IdP-federatie tot stand is gebracht met een partnerorganisatie, heeft deze voorrang op verificatie via eenmalige wachtwoordcode voor nieuwe gastgebruikers van die organisatie. Als een gastgebruiker een uitnodiging heeft ingewisseld met eenmalige wachtwoordcodeverificatie voordat u SAML/WS-Fed IdP-federatie instelt, blijft deze eenmalige wachtwoordcodeverificatie gebruiken.

Worden aanmeldingsproblemen met SAML/WS-Fed IdP-federatie opgelost vanwege een gedeeltelijk gesynchroniseerde tenancy?

Nee, de functie eenmalige wachtwoordcode per e-mail moet in dit scenario worden gebruikt. Een gedeeltelijk gesynchroniseerde tenancy verwijst naar een partner Azure AD tenant waarbij on-premises gebruikersidentiteiten niet volledig worden gesynchroniseerd met de cloud. Een gast wiens identiteit nog niet in de cloud bestaat, maar die probeert uw B2B-uitnodiging in te wisselen, kan zich niet aanmelden. Met de functie eenmalige wachtwoordcode kan deze gast zich aanmelden. De federatiefunctie SAML/WS-Fed IdP behandelt scenario's waarin de gast zijn eigen door IdP beheerde organisatieaccount heeft, maar de organisatie heeft helemaal geen Azure AD aanwezigheid.

Moet elke gast een afzonderlijke uitnodiging verzenden en inwisselen zodra SAML/WS-Fed IdP-federatie is geconfigureerd met een organisatie?

Als u SAML/WS-Fed IdP-federatie instelt, wordt de verificatiemethode niet gewijzigd voor gastgebruikers die al een uitnodiging van u hebben gebruikt. U kunt de verificatiemethode van een gastgebruiker bijwerken door de inwisselingsstatus opnieuw in te stellen.

Is er een manier om een ondertekende aanvraag naar de SAML-id-provider te verzenden?

Momenteel biedt de federatiefunctie Azure AD SAML/WS-Fed geen ondersteuning voor het verzenden van een ondertekend verificatietoken naar de SAML-id-provider.

Welke machtigingen zijn vereist voor het configureren van een SAML/Ws-Fed-id-provider?

U moet een beheerder van een externe id-provider of een globale beheerder in uw Azure AD-tenant zijn om een SAML/Ws-Fed-id-provider te configureren.

Stap 1: Bepalen of de partner de DNS-tekstrecords moet bijwerken

Afhankelijk van de IdP van de partner moet de partner mogelijk zijn DNS-records bijwerken om federatie met u in te schakelen. Gebruik de volgende stappen om te bepalen of DNS-updates nodig zijn.

Notitie

We bieden geen ondersteuning meer voor een acceptatielijst met id's voor nieuwe SAML-/WS-Fed IdP-federaties.

1. Controleer de passieve verificatie-URL van de partner om te zien of het domein overeenkomt met het doeldomein of een host in het doeldomein. Met andere woorden, bij het instellen van federatie voor fabrikam.com:

   • Als het eindpunt voor passieve verificatie https://fabrikam.com of https://sts.fabrikam.com/adfs is (een host in hetzelfde domein), zijn er geen DNS-wijzigingen nodig.
   • Als het eindpunt voor passieve verificatie of https://fabrikam.com.uk/adfsishttps://fabrikamconglomerate.com/adfs, komt het domein niet overeen met het fabrikam.com domein, dus de partner moet een tekstrecord voor de verificatie-URL toevoegen aan de DNS-configuratie.

2. Als DNS-wijzigingen nodig zijn op basis van de vorige stap, vraagt u de partner om een TXT-record toe te voegen aan de DNS-records van zijn domein, zoals in het volgende voorbeeld:

   fabrikam.com.  IN   TXT   DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs

Stap 2: De IdP van de partnerorganisatie configureren

Vervolgens moet uw partnerorganisatie zijn IdP configureren met de vereiste claims en vertrouwensrelaties van Relying Party.

Notitie

Ter illustratie van het configureren van een SAML/WS-Fed IdP voor federatie, gebruiken we Active Directory Federation Services (AD FS) als voorbeeld. Zie het artikel SAML/WS-Fed IdP-federatie configureren met AD FS, die voorbeelden geeft van het configureren van AD FS als SAML 2.0 of WS-Fed IdP ter voorbereiding op federatie.

SAML 2.0-configuratie

Azure AD B2B kan worden geconfigureerd om te federeren met IDP's die gebruikmaken van het SAML-protocol met specifieke vereisten die in deze sectie worden vermeld. Zie Use a SAML 2.0 Identity Provider (IdP) for SSO (Een SAML 2.0-id-provider (IdP) gebruiken voor eenmalige aanmelding voor meer informatie over het instellen van een vertrouwensrelatie tussen uw SAML IdP en Azure AD.

Notitie

Het doeldomein voor SAML/WS-Fed IdP-federatie mag niet DNS-geverifieerd zijn in Azure AD. Zie de sectie Veelgestelde vragen voor meer informatie.

Vereiste SAML 2.0-kenmerken en -claims

De volgende tabellen bevatten vereisten voor specifieke kenmerken en claims die moeten worden geconfigureerd op de IdP van derden. Als u federatie wilt instellen, moeten de volgende kenmerken worden ontvangen in het SAML 2.0-antwoord van de IdP. Deze kenmerken kunnen worden geconfigureerd door een koppeling te maken naar het XML-bestand van de online beveiligingstokenservice of door ze handmatig in te voeren.

Notitie

Zorg ervoor dat de waarde overeenkomt met de cloud waarvoor u externe federatie instelt.

Vereiste kenmerken voor het SAML 2.0-antwoord van de IdP:

Kenmerk	Waarde
AssertionConsumerService	https://login.microsoftonline.com/login.srf
Doelgroep	https://login.microsoftonline.com/<tenant ID>/(Aanbevolen) Vervang <tenant ID> door de tenant-id van de Azure AD tenant waarmee u federatie instelt. In de SAML-aanvraag die is verzonden door Azure AD voor externe federaties, is de URL van de verlener een tenanteindpunt (bijvoorbeeldhttps://login.microsoftonline.com/<tenant ID>/). Voor nieuwe federaties raden we aan dat al onze partners de doelgroep van de SAML of WS-Fed idP instellen op een tenant-eindpunt. Eventuele bestaande federaties die zijn geconfigureerd met het globale eindpunt (bijvoorbeeld urn:federation:MicrosoftOnline) blijven werken, maar nieuwe federaties werken niet meer als uw externe IdP een URL voor globale uitgever verwacht in de SAML-aanvraag die door Azure AD is verzonden.
Verlener	De verlener-URI van de IdP van de partner, bijvoorbeeld http://www.example.com/exk10l6w90DHM0yi...

Vereiste claims voor het SAML 2.0-token dat is uitgegeven door de IdP:

Kenmerknaam	Waarde
NameID-indeling	urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	emailaddress

WS-Fed configuratie

Azure AD B2B kan worden geconfigureerd voor federatie met IDP's die gebruikmaken van het WS-Fed-protocol. In deze sectie worden de vereisten besproken. Momenteel zijn de twee WS-Fed-providers getest op compatibiliteit met Azure AD, waaronder AD FS en Shibboleth. Voor meer informatie over het tot stand brengen van een relying party-vertrouwensrelatie tussen een WS-Fed compatibele provider met Azure AD, raadpleegt u het 'STS Integration Paper using WS Protocols' beschikbaar in de Azure AD Identity Provider Compatibility Docs.

Notitie

Het doeldomein voor federatie mag niet DNS-geverifieerd zijn op Azure AD. Zie de sectie Veelgestelde vragen voor meer informatie.

Vereiste WS-Fed kenmerken en claims

De volgende tabellen bevatten vereisten voor specifieke kenmerken en claims die moeten worden geconfigureerd op de WS-Fed IdP van derden. Als u federatie wilt instellen, moeten de volgende kenmerken worden ontvangen in het WS-Fed bericht van de IdP. Deze kenmerken kunnen worden geconfigureerd door een koppeling te maken naar het XML-bestand van de online beveiligingstokenservice of door ze handmatig in te voeren.

Notitie

Zorg ervoor dat de waarde overeenkomt met de cloud waarvoor u externe federatie instelt.

Vereiste kenmerken in het WS-Fed bericht van de IdP:

Kenmerk	Waarde
PassiveRequestorEndpoint	https://login.microsoftonline.com/login.srf
Doelgroep	https://login.microsoftonline.com/<tenant ID>/(Aanbevolen) Vervang <tenant ID> door de tenant-id van de Azure AD tenant waarmee u federatie instelt. In de SAML-aanvraag die is verzonden door Azure AD voor externe federaties, is de URL van de verlener een tenanteindpunt (bijvoorbeeldhttps://login.microsoftonline.com/<tenant ID>/). Voor nieuwe federaties raden we aan dat al onze partners de doelgroep van de SAML of WS-Fed idP instellen op een tenant-eindpunt. Eventuele bestaande federaties die zijn geconfigureerd met het globale eindpunt (bijvoorbeeld urn:federation:MicrosoftOnline) blijven werken, maar nieuwe federaties werken niet meer als uw externe IdP een URL voor globale uitgever verwacht in de SAML-aanvraag die door Azure AD is verzonden.
Verlener	De verlener-URI van de IdP van de partner, bijvoorbeeld http://www.example.com/exk10l6w90DHM0yi...

Vereiste claims voor het WS-Fed token dat is uitgegeven door de IdP:

Kenmerk	Waarde
ImmutableID	http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
emailaddress	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Stap 3: SAML/WS-Fed IdP-federatie configureren in Azure AD

Configureer vervolgens federatie met de IdP die is geconfigureerd in stap 1 in Azure AD. U kunt de Azure Portal of de Microsoft Graph API gebruiken. Het kan 5-10 minuten duren voordat het federatiebeleid van kracht wordt. Probeer gedurende deze tijd geen uitnodiging in te wisselen voor het federatiedomein. De volgende kenmerken zijn vereist:

• URI van de verlener van de IdP van de partner
• Passieve verificatie-eindpunt van partner-idP (alleen https wordt ondersteund)
• Certificaat

Federatie configureren in de Azure Portal

1. Meld u aan bij de Azure Portal als beheerder van een externe id-provider of een globale beheerder.

2. Selecteer de knop Azure Active Directory in het linkerdeelvenster.

3. Selecteer Externe identiteiten>Alle id-providers.

4. Selecteer Nieuwe SAML/WS-Fed IdP.

   

5. Voer op de pagina Nieuwe SAML/WS-Fed IdP het volgende in:

   • Weergavenaam: voer een naam in om de IdP van de partner te identificeren.
   • Protocol van id-provider: selecteer SAML of WS-Fed.
   • Domeinnaam van federatieve IdP: voer de idP-doeldomeinnaam van uw partner in voor federatie. Voer tijdens deze eerste configuratie slechts één domeinnaam in. U kunt later meer domeinen toevoegen.

   

6. Selecteer een methode voor het invullen van metagegevens. U kunt metagegevens handmatig invoeren. Als u een bestand hebt dat de metagegevens bevat, kunt u de velden ook automatisch vullen door Metagegevensbestand parseren te selecteren en naar het bestand te bladeren.

   • URI van verlener: de URI van de verlener van de IdP van de partner.
   • Eindpunt voor passieve verificatie: het passieve eindpunt van de IdP van de partner.
   • Certificaat: de id van het handtekeningcertificaat.
   • Metagegevens-URL: de locatie van de metagegevens van de IdP voor automatische verlenging van het handtekeningcertificaat.

   

   Notitie

   De URL voor metagegevens is optioneel, maar wordt ten zeerste aangeraden. Als u de URL voor metagegevens opgeeft, kan Azure AD het handtekeningcertificaat automatisch vernieuwen wanneer het verloopt. Als het certificaat om welke reden dan ook wordt gedraaid vóór de verlooptijd of als u geen metagegevens-URL opgeeft, kan Azure AD het certificaat niet vernieuwen. In dit geval moet u het handtekeningcertificaat handmatig bijwerken.

7. Selecteer Opslaan. De id-provider wordt toegevoegd aan de lijst met SAML/WS-Fed-id-providers .

   

8. (Optioneel) Meer domeinnamen toevoegen aan deze federatieve id-provider:

   a. Selecteer de koppeling in de kolom Domeinen .

   

   b. Typ naast Domeinnaam van federatieve IdP de domeinnaam en selecteer vervolgens Toevoegen. Herhaal dit voor elk domein dat u wilt toevoegen. Wanneer u klaar bent, selecteert u Gereed.

   

Federatie configureren met behulp van de Microsoft Graph API

U kunt het resourcetype Microsoft Graph API samlOrWsFedExternalDomainFederation instellen met een id-provider die ondersteuning biedt voor het SAML- of WS-Fed-protocol.

Stap 4: SAML/WS-Fed IdP-federatie testen in Azure AD

Test nu uw federatie-instelling door een nieuwe B2B-gastgebruiker uit te nodigen. Zie Azure AD B2B-samenwerkingsgebruikers toevoegen in Azure Portal voor meer informatie.

Hoe kan ik het certificaat of de configuratiegegevens bijwerken?

Op de pagina Alle id-providers kunt u de lijst met SAML-/WS-Fed-id-providers bekijken die u hebt geconfigureerd, evenals de vervaldatums van het certificaat. In deze lijst kunt u certificaten vernieuwen en andere configuratiegegevens wijzigen.

1. Meld u aan bij de Azure Portal als beheerder van een externe id-provider of een globale beheerder.

2. Selecteer de knop Azure Active Directory in het linkerdeelvenster.

3. Selecteer External Identities.

4. Selecteer Alle id-providers.

5. Beweeg onder SAML/WS-Fed-id-providers naar een id-provider in de lijst of gebruik het zoekvak.

6. Ga als volgende te werk om het certificaat bij te werken of configuratiegegevens te wijzigen:

   • Selecteer in de kolom Configuratie voor de id-provider de koppeling Bewerken.
   • Wijzig op de configuratiepagina een van de volgende details:
     • Weergavenaam: weergavenaam voor de organisatie van de partner.
     • Protocol van id-provider: selecteer SAML of WS-Fed.
     • Eindpunt voor passieve verificatie: het passieve eindpunt van de IdP van de partner.
     • Certificaat: de id van het handtekeningcertificaat. Voer een nieuwe certificaat-id in om deze te vernieuwen.
     • Metagegevens-URL: de URL met de metagegevens van de partner, die wordt gebruikt voor het automatisch vernieuwen van het handtekeningcertificaat.
   • Selecteer Opslaan.

   

7. Als u de domeinen wilt bewerken die zijn gekoppeld aan de partner, selecteert u de koppeling in de kolom Domeinen . In het deelvenster met domeindetails:

   • Als u een domein wilt toevoegen, typt u de domeinnaam naast Domeinnaam van federatieve IdP en selecteert u vervolgens Toevoegen. Herhaal dit voor elk domein dat u wilt toevoegen.
   • Als u een domein wilt verwijderen, selecteert u het pictogram Verwijderen naast het domein.
   • Wanneer u klaar bent, selecteert u Gereed.

   

   Notitie

   Als u federatie met de partner wilt verwijderen, verwijdert u alle domeinen behalve en volgt u de stappen in de volgende sectie.

Hoe kan ik federatie verwijderen?

U kunt uw federatieconfiguratie verwijderen. Als u dit doet, kunnen federatieve gastgebruikers die hun uitnodigingen al hebben ingewisseld, zich niet meer aanmelden. U kunt ze echter opnieuw toegang geven tot uw resources door de inwisselingsstatus opnieuw in te stellen. Een configuratie voor een IdP in de Azure Portal verwijderen:

1. Ga naar de Azure Portal. Selecteer de knop Azure Active Directory in het linkerdeelvenster.

2. Selecteer External Identities.

3. Selecteer Alle id-providers.

4. Beweeg onder SAML/WS-Fed-id-providers naar de id-provider in de lijst of gebruik het zoekvak.

5. Selecteer de koppeling in de kolom Domeinen om de domeingegevens van de IdP weer te geven.

6. Verwijder alle domeinen op één na in de lijst Domeinnaam .

7. Selecteer Configuratie verwijderen en selecteer vervolgens Gereed.

   

8. Selecteer OK om het verwijderen te bevestigen.

U kunt federatie ook verwijderen met behulp van het Microsoft Graph API resourcetype samlOrWsFedNalExternalDomainFederation.

Volgende stappen

Meer informatie over de inwisselingservaring voor uitnodigingen wanneer externe gebruikers zich aanmelden met verschillende id-providers.