Voorbeeld: Federatie van op SAML/WS-Fed gebaseerde id-provider configureren met AD FS

  • Artikel

Notitie

  • Directe federatie in Microsoft Entra Externe ID wordt nu aangeduid als SAML/WS-Fed identity provider (IdP) federatie.

In dit artikel wordt beschreven hoe u SAML/WS-Fed IdP-federatie instelt met behulp van Active Directory Federation Services (AD FS) als een SAML 2.0 of WS-Fed IdP. Om federatie te ondersteunen, moeten bepaalde kenmerken en claims worden geconfigureerd bij de IdP. Ter illustratie van het configureren van een IdP voor federatie, gebruiken we Active Directory Federation Services (AD FS) als voorbeeld. We laten zien hoe u AD FS instelt als een SAML IdP en als een WS-Fed IdP.

Notitie

In dit artikel wordt beschreven hoe u AD FS instelt voor zowel SAML als WS-Fed voor illustratiedoeleinden. Voor federatie-integraties waarbij de IdP AD FS is, raden we aan WS-Fed als het protocol te gebruiken.

AD FS voor SAML 2.0-federatie configureren

Microsoft Entra B2B kan worden geconfigureerd voor federatie met IDP's die gebruikmaken van het SAML-protocol met specifieke vereisten die hieronder worden vermeld. Ter illustratie van de SAML-configuratiestappen ziet u in deze sectie hoe u AD FS instelt voor SAML 2.0.

Als u federatie wilt instellen, moeten de volgende kenmerken worden ontvangen in het SAML 2.0-antwoord van de IdP. Deze kenmerken kunnen worden geconfigureerd door een koppeling te maken naar het XML-bestand van de online beveiligingstokenservice of door ze handmatig in te voeren. Stap 12 in Een AD FS-testexemplaar maken beschrijft hoe u de AD FS-eindpunten kunt vinden of hoe u uw metagegevens-URL kunt genereren, bijvoorbeeld https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.

Kenmerk Weergegeven als
AssertionConsumerService https://login.microsoftonline.com/login.srf
Doelgroep urn:federation:MicrosoftOnline
Verlener De verlener-URI van de partner-IdP, bijvoorbeeld http://www.example.com/exk10l6w90DHM0yi...

De volgende claims moeten worden geconfigureerd in het SAML 2.0-token dat is uitgegeven door de IdP:

Kenmerk Weergegeven als
NameID-indeling urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
emailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

In de volgende sectie ziet u hoe u de vereiste kenmerken en claims configureert met AD FS als voorbeeld van een SAML 2.0 IdP.

Voordat u begint

Een AD FS-server moet al zijn ingesteld en functioneren voordat u met deze procedure begint.

Voeg de claimbeschrijving toe

  1. Selecteer op uw AD FS-server Hulpprogramma's>AD FS-beheer.

  2. Selecteer in het navigatiedeelvenster Service>Claimbeschrijvingen.

  3. Selecteer Claimbeschrijving toevoegen onder Acties.

  4. Geef in het venster Voeg een claimbeschrijving toe de volgende waarden op:

    • Weergavenaam: permanente id
    • Claim-id: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
    • Selecteer het selectievakje voor Publiceer deze claimbeschrijving in federatiemetagegevens als een claimtype dat door deze federatieservice kan accepteren.
    • Selecteer het selectievakje voor Publiceer deze claimbeschrijving in federatiemetagegevens als een claimtype dat door deze federatieservice kan verzenden.

  5. Selecteer OK.

Voeg de vertrouwensrelatie van de Relying Party toe

  1. Ga op de AD FS-server naar Hulpprogramma's>AD FS-beheer.

  2. Selecteer in het navigatiedeelvenster Vertrouwensrelaties Relying Party.

  3. Selecteer Vertrouwensrelaties Relying Party toevoegen onder Acties.

  4. Selecteer Claimbewust in de wizard Vertrouwensrelaties Relying Party toevoegen en vervolgens Starten.

  5. Selecteer in de sectie Gegevensbron selecteren het selectievakje voor Gegevens importeren over de Relying Party die online of op een lokaal netwerk zijn gepubliceerd. Voer deze URL voor federatieve metagegevens in: https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. Selecteer Volgende.

  6. Laat de overige instellingen ongemoeid in de standaardopties staan. Ga door met het selecteren van Volgende en selecteer ten slotte Sluiten om de wizard te sluiten.

  7. Klik in AD FS-beheer onder Relying Party Trusts met de rechtermuisknop op de relying party vertrouwensrelatie die u zojuist hebt gemaakt en selecteer Eigenschappen.

  8. Schakel op het tabblad Bewaking het selectievakje Relying Party bewaken uit.

  9. Voer op het tabblad Id's het tekstvak relying party-id in met behulp van de tenant-id van de Microsoft Entra-tenant van de servicepartner.https://login.microsoftonline.com/<tenant ID>/ Selecteer Toevoegen.

    Notitie

    Zorg ervoor dat u een slash (/) opneemt na de tenant-id, bijvoorbeeld: https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.

  10. Selecteer OK.

Claimregels maken

  1. Klik met de rechtermuisknop op de vertrouwensrelatie van Relying Party die u hebt gemaakt en selecteer vervolgens Claimuitgiftebeleid bewerken.

  2. Selecteer Regel toevoegen in de wizard Claimregels bewerken.

  3. Selecteer LDAP-kenmerken als claims verzenden in Claimregelsjabloon.

  4. Geef in Claimregel configureren de volgende waarden op:

    • Claimregelnaam: e-mailadres claimregel
    • Kenmerkarchief: Active Directory
    • LDAP-kenmerk: e-mailadressen
    • Uitgaand claimtype: e-mailadres

  5. Selecteer Voltooien.

  6. Selecteer Regel toevoegen.

  7. Selecteer Een binnenkomende claim transformeren in Claimregelsjabloon en selecteer vervolgens Volgende.

  8. Geef in Claimregel configureren de volgende waarden op:

    • Claimregelnaam: e-mmailadres transformatieregel
    • Inkomend claimtype: e-mailadres
    • Uitgaand claimtype: naam-id
    • Indeling uitgaande naam-id: permanente id
    • Selecteer Alle claimwaarden passeren.

  9. Selecteer Voltooien.

  10. In het deelvenster Claimregels bewerken worden de nieuwe regels weergegeven. Selecteer Toepassen.

  11. Selecteer OK. De AD FS-server is nu geconfigureerd voor federatie met behulp van het SAML 2.0-protocol.

AD FS voor WS-Fed-federatie configureren

Microsoft Entra B2B kan worden geconfigureerd voor federatie met IDP's die gebruikmaken van het WS-Fed-protocol met de specifieke vereisten die hieronder worden vermeld. Momenteel zijn de twee WS-Fed-providers getest op compatibiliteit met Microsoft Entra Externe ID AD FS en Shibboleth bevatten. Hier gebruiken we Active Directory Federation Services (AD FS) als voorbeeld van de WS-Fed IdP. Voor meer informatie over het tot stand brengen van een relying party-vertrouwensrelatie tussen een WS-Fed-compatibele provider met Microsoft Entra Externe ID, downloadt u de compatibiliteitsdocumenten voor Microsoft Entra-id-providers.

Als u federatie wilt instellen, moeten de volgende kenmerken worden ontvangen in het WS-Fed bericht van de IdP. Deze kenmerken kunnen worden geconfigureerd door een koppeling te maken naar het XML-bestand van de online beveiligingstokenservice of door ze handmatig in te voeren. Stap 12 in Een AD FS-testexemplaar maken beschrijft hoe u de AD FS-eindpunten kunt vinden of hoe u uw metagegevens-URL kunt genereren, bijvoorbeeld https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.

Kenmerk Weergegeven als
PassiveRequestorEndpoint https://login.microsoftonline.com/login.srf
Doelgroep urn:federation:MicrosoftOnline
Verlener De verlener-URI van de partner-IdP, bijvoorbeeld http://www.example.com/exk10l6w90DHM0yi...

Vereiste claims voor het WS-Fed token dat is uitgegeven door de IdP:

Kenmerk Weergegeven als
ImmutableID http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
emailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

In de volgende sectie ziet u hoe u de vereiste kenmerken en claims configureert met AD FS als voorbeeld van een WS-Fed IdP.

Voordat u begint

Een AD FS-server moet al zijn ingesteld en functioneren voordat u met deze procedure begint.

Voeg de vertrouwensrelatie van de Relying Party toe

  1. Ga op de AD FS-server naar Hulpprogramma's>AD FS-beheer.

  2. Selecteer in het navigatiedeelvenster Vertrouwensrelaties>Vertrouwensrelaties Relying Party.

  3. Selecteer Vertrouwensrelaties Relying Party toevoegen onder Acties.

  4. Selecteer in de wizard Relying Party-vertrouwensrelatie toevoegen claimbewust en selecteer vervolgens Start.

  5. Selecteer Gegevens over de Relying Party handmatig invoeren in de sectie Gegevensbron selecteren en selecteer vervolgens Volgende.

  6. Typ op de pagina Weergavenaam opgeven een naam in Weergavenaam. U kunt desgewenst een beschrijving invoeren voor deze relying party-vertrouwensrelatie in de sectie Notities . Selecteer Volgende.

  7. Als u een tokenversleutelingscertificaat hebt op de pagina Certificaat configureren, selecteert u Bladeren om een certificaatbestand te zoeken. Selecteer Volgende.

  8. Schakel op de pagina URL configureren het selectievakje Ondersteuning inschakelen voor het passieve WS-protocol in. Voer onder de URL van het passieve protocol van Relying Party WS-Federation de volgende URL in: https://login.microsoftonline.com/login.srf

  9. Selecteer Volgende.

  10. Voer op de pagina Id's configureren de volgende URL's in en selecteer Toevoegen. Voer in de tweede URL de tenant-id van de Microsoft Entra-tenant van de servicepartner in.

    • urn:federation:MicrosoftOnline
    • https://login.microsoftonline.com/<tenant ID>/

    Notitie

    Zorg ervoor dat u een slash (/) opneemt na de tenant-id, bijvoorbeeld: https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.

  11. Selecteer Volgende.

  12. Selecteer een beleid op de pagina Toegangsbeheerbeleid kiezen en selecteer vervolgens Volgende.

  13. Controleer de instellingen op de pagina Gereed om vertrouwen toe te voegen en selecteer vervolgens Volgende om de vertrouwensinformatie van uw relying party op te slaan.

  14. Selecteer Sluiten op de pagina Voltooien. selecteer Relying Party Trust en selecteer Claimuitgiftebeleid bewerken.

Claimregels maken

  1. Selecteer de Relying Party Trust die u zojuist hebt gemaakt en selecteer vervolgens Claimuitgiftebeleid bewerken.

  2. Selecteer Regel toevoegen.

  3. Selecteer LDAP-kenmerken verzenden als claims en selecteer vervolgens Volgende.

  4. Geef in Claimregel configureren de volgende waarden op:

    • Claimregelnaam: e-mailadres claimregel
    • Kenmerkarchief: Active Directory
    • LDAP-kenmerk: e-mailadressen
    • Uitgaand claimtype: e-mailadres

  5. Selecteer Voltooien.

  6. Selecteer Regel toevoegen in de dezelfde wizard Claimregels bewerken.

  7. Selecteer Claims verzenden met een aangepaste regel en selecteer vervolgens Volgende.

  8. Geef in Claimregel configureren de volgende waarden op:

    • Claimregelnaam: onveranderbare id uitgeven
    • Aangepaste regel: c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), query = "samAccountName={0};objectGUID;{1}", param = regexreplace(c.Value, "(?<domain>[^\\]+)\\(?<user>.+)", "${user}"), param = c.Value);

  9. Selecteer Voltooien.

  10. Selecteer OK. De AD FS-server is nu geconfigureerd voor federatie met behulp van WS-Fed.

Volgende stappen

Vervolgens configureert u SAML/WS-Fed IdP-federatie in Microsoft Entra Externe ID in Azure Portal of met behulp van de Microsoft Graph API.