Een SAML 2.0-id-provider (IdP) gebruiken voor eenmalige aanmelding

Dit document bevat informatie over het gebruik van een id-provider die gebruikmaakt van een SAML 2.0 SP Lite-profiel als de beveiligingstokenservice (STS)/id-provider van voorkeur. Dit scenario is handig wanneer u on-premises al over een gebruikersdirectory en wachtwoordarchief beschikt waartoe toegang kan worden verkregen met SAML 2.0. Deze bestaande gebruikersmap kan worden gebruikt voor aanmelding bij Microsoft 365 en andere door Microsoft Entra ID beveiligde resources. Het SAML 2.0 SP Lite-profiel is gebaseerd op de veelgebruikte SAML-standaard (Security Assertion Markup Language) voor federatieve id's en biedt een uitwisselingsframework voor aanmelding en kenmerken.

Notitie

Zie de compatibiliteitslijst voor Microsoft Entra-federatie voor een lijst met id's van derden die zijn getest voor gebruik met Microsoft Entra-id

Microsoft ondersteunt dit type aanmelding als de integratie van een Microsoftft-cloudservice, zoals Microsoft 365, met uw correct geconfigureerde id-provider met SAML 2.0 SP Lite-profiel. SAML 2.0-id-providers zijn producten van derden en Daarom biedt Microsoft geen ondersteuning voor de implementatie, configuratie, aanbevolen procedures voor probleemoplossing met betrekking tot deze providers. Wanneer de integratie met de SAML 2.0-id-provider eenmaal juist is geconfigureerd, kan deze worden getest met behulp van het hulpprogramma Microsoft Connectivity Analyzer, dat hieronder wordt beschreven. Als u meer informatie wilt hebben over uw id-provider met SAML 2.0 SP Lite-profiel, richt u zich tot de organisatie die deze heeft geleverd.

Belangrijk

In dit aanmeldingsscenario zijn slechts een beperkt aantal clients beschikbaar met SAML 2.0-id-providers, waaronder:

• Webclients, zoals Outlook Web Access en SharePoint Online
• E-mailrijke clients die gebruikmaken van basisverificatie en een ondersteunde Exchange-toegangsmethode, zoals IMAP, POP, Active Sync, MAPI, enzovoort (het eindpunt van het enhanced clientprotocol moet worden geïmplementeerd), waaronder:
  • Microsoft Outlook 2010/Outlook 2013/Outlook 2016, Apple iPhone (verschillende iOS-versies)
  • Verschillende Google Android-apparaten
  • Windows Phone 7, Windows Phone 7.8 en Windows Phone 8.0
  • Windows 8 Mail-client en Windows 8.1 Mail-client
  • Windows 10 Mail-client

Alle andere clients zijn niet beschikbaar in dit aanmeldingsscenario met uw SAML 2.0-id-provider. De Lync 2010-bureaubladclient kan zich bijvoorbeeld niet aanmelden bij de service met uw SAML 2.0-id-provider die is geconfigureerd voor eenmalige aanmelding.

Microsoft Entra SAML 2.0-protocolvereisten

Dit document bevat gedetailleerde vereisten voor het protocol en de berichtopmaak die uw SAML 2.0-id moet implementeren om te federeren met Microsoft Entra ID om aanmelding in te schakelen voor een of meer Microsoft-cloudservices (zoals Microsoft 365). De SAML 2.0 relying party (SP-STS) voor een Microsoft-cloudservice die in dit scenario wordt gebruikt, is Microsoft Entra-id.

Het is raadzaam ervoor te zorgen dat de uitvoerberichten van uw SAML 2.0-id-provider zo vergelijkbaar zijn als de opgegeven voorbeeldtraceringen. Gebruik waar mogelijk ook specifieke kenmerkwaarden uit de opgegeven Microsoft Entra-metagegevens. Zodra u tevreden bent met uw uitvoerberichten, kunt u testen met Microsoft Verbinding maken ivity Analyzer, zoals hieronder wordt beschreven.

De Microsoft Entra-metagegevens kunnen worden gedownload via deze URL: https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. Voor klanten in China die gebruikmaken van de Chinese instantie van Microsoft 365, moet het volgende federatie-eindpunt worden gebruikt: https://nexus.partner.microsoftonline-p.cn/federationmetadata/saml20/federationmetadata.xml

SAML-protocolvereisten

In deze sectie wordt beschreven hoe de aanvraag- en antwoordberichtparen worden samengesteld, zodat u uw berichten correct kunt opmaken.

Microsoft Entra-id kan worden geconfigureerd voor gebruik met id-providers die gebruikmaken van het SAML 2.0 SP Lite-profiel met een aantal specifieke vereisten, zoals hieronder wordt vermeld. Met behulp van de voorbeeld-SAML-aanvraag- en antwoordberichten, samen met geautomatiseerde en handmatige tests, kunt u samenwerken aan interoperabiliteit met Microsoft Entra-id.

Vereisten voor handtekeningblokken

In het SAML-antwoordbericht bevat het handtekeningknooppunt informatie over de digitale handtekening voor het bericht zelf. Voor het handtekeningblok gelden de volgende vereisten:

1. Het assertie-knooppunt zelf moet zijn ondertekend
2. Het RSA-sha1-algoritme moet worden gebruikt als de DigestMethod. Andere digitale handtekeningalgoritmen worden niet geaccepteerd. <ds:DigestMethod Algorithm="https://www.w3.org/2000/09/xmldsig#sha1"/>
3. U kunt het XML-document ook ondertekenen.
4. Het transformatiealgoritme moet overeenkomen met de waarden in het volgende voorbeeld: <ds:Transform Algorithm="https://www.w3.org/2000/09/xmldsig#enveloped-signature"/> <ds:Transform Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#"/>
5. Het SignatureMethod-algoritme moet overeenkomen met het volgende voorbeeld: <ds:SignatureMethod Algorithm="https://www.w3.org/2000/09/xmldsig#rsa-sha1"/>

Notitie

Om het sha-1-algoritme voor beveiliging te verbeteren, wordt afgeschaft. Zorg ervoor dat u een veiliger algoritme zoals SHA-256 gebruikt. Meer informatie vindt u hier.

Ondersteunde bindingen

Bindingen zijn de communicatieparameters voor het transport die vereist zijn. De volgende vereisten zijn van toepassing op de bindingen

1. HTTPS is het vereiste transport.
2. Microsoft Entra ID vereist HTTP POST voor het verzenden van tokens tijdens het aanmelden.
3. Microsoft Entra ID maakt gebruik van HTTP POST voor de verificatieaanvraag voor de id-provider en OMLEIDEN voor het afmeldingsbericht bij de id-provider.

Vereiste kenmerken

In deze tabel worden de vereisten vermeld voor specifieke kenmerken in het SAML 2.0-bericht.

Kenmerk	Beschrijving
NameID	De waarde van deze assertie moet hetzelfde zijn als de ImmutableID van de Microsoft Entra-gebruiker. Deze mag maximaal 64 alfanumerieke tekens bevatten. Alle veilige tekens die geen HTML-tekens zijn, moeten worden gecodeerd, Een '+'-teken wordt bijvoorbeeld weergegeven als '.2B'.
IDPEmail	De User Principal Name (UPN) wordt in het SAML-antwoord vermeld als een element met de naam IDPEmail De userPrincipalName (UPN) van de gebruiker in Microsoft Entra ID/Microsoft 365. De UPN heeft de notatie van een e-mailadres. UPN-waarde in Windows Microsoft 365 (Microsoft Entra-id).
Verlener	Moet een URI van de id-provider te zijn. Gebruik de verlener niet opnieuw vanuit de voorbeeldberichten. Als u meerdere domeinen op het hoogste niveau in uw Microsoft Entra-tenants hebt, moet de verlener overeenkomen met de opgegeven URI-instelling die per domein is geconfigureerd.

Belangrijk

Microsoft Entra ID ondersteunt momenteel de volgende NameID Format URI voor SAML 2.0:urn:oasis:names:tc:SAML:2.0:nameid-format:persistent.

Voorbeelden van SAML-aanvraagberichten en -antwoordberichten

Er wordt een aanvraag- en antwoordberichtpaar weergegeven voor de berichtenuitwisseling. Hier volgt een voorbeeld van een aanvraagbericht dat wordt verzonden van Microsoft Entra-id naar een saml 2.0-voorbeeldidentiteitsprovider. De voorbeeld-SAML 2.0-identiteitsprovider is via Active Directory Federation Services (AD FS) geconfigureerd om het SAML-P protocol toe te passen. Interoperabiliteitstests zijn ook uitgevoerd met andere SAML 2.0-id-providers.

<samlp:AuthnRequest ID="_1e089e5c-a976-4881-af74-3b92c89e7e2c" Version="2.0" IssueInstant="2024-03-12T14:00:18.450Z" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">urn:federation:MicrosoftOnline</Issuer><samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"/></samlp:AuthnRequest>

Als isSignedAuthenticationRequestRequired is ingeschakeld zoals uitgelegd in internaldomainfederation-update, ziet de aanvraag er als volgt uit:

  <samlp:AuthnRequest ID="_1868c6f2-1fdd-40b9-818f-b4b44efb92c5" Version="2.0" IssueInstant="2024-03-11T16:51:17.120Z" Destination="https://fs.contoso.com/adfs/ls/" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">urn:federation:MicrosoftOnline</Issuer><Signature xmlns="http://www.w3.org/2000/09/xmldsig#"><SignedInfo><CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/><SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/><Reference URI="#_1868c6f2-1fdd-40b9-818f-b4b44efb92c5"><Transforms><Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/><Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/></Transforms><DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/><DigestValue>FPM404CTAfI458trTryNB7mVS4Q=</DigestValue></Reference></SignedInfo><SignatureValue>CuCSgua+bCtV8mlJJUxtbz1tsZjj7RDfH73YyJgDbOvk9lIpdZkrCcz3r9Qqb4OP+3we8cauXAOEDGNke2QywkHyGHV55zJomb5pKNiX8r/2xAD+LaGEeOw3O4H0lGZCyvN32pbDi/aTr8ocZu6tTcW7CbD51TNCasc+YJALYAa73F9rhDqgy/eieC3HvM6e18QE/9URKrT7IT82hsmUcOGjvhSF6gvWtRtdwsJ+4LLR1FnTKCJvPcDU0AeKtvh9DDTrIEBY9OurB0VLYMQ75F9P2ijZXnBaITqx1nkdT70NjVmq+tUWl//24v1AnSu1Z7lTkYNlydV536epaYYb4Q==</SignatureValue><KeyInfo><ds:X509Data xmlns:ds="http://www.w3.org/2000/09/xmldsig#"><ds:X509SKI>bwzmkdKETWhixlS99FL36FH37EI=</ds:X509SKI></ds:X509Data><ds:KeyName xmlns:ds="http://www.w3.org/2000/09/xmldsig#">MicrosoftOnline</ds:KeyName></KeyInfo></Signature><samlp:NameIDPolicy Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"/></samlp:AuthnRequest>

Hier volgt een voorbeeld van een antwoordbericht dat wordt verzonden vanuit de samL 2.0-compatibele id-provider die compatibel is met Microsoft Entra ID/Microsoft 365.

    <samlp:Response ID="_592c022f-e85e-4d23-b55b-9141c95cd2a5" Version="2.0" IssueInstant="2014-01-31T15:36:31.357Z" Destination="https://login.microsoftonline.com/login.srf" Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified" InResponseTo="_049917a6-1183-42fd-a190-1d2cbaf9b144" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
    <Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">http://WS2012R2-0.contoso.com/adfs/services/trust</Issuer>
    <samlp:Status>
    <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" />
    </samlp:Status>
    <Assertion ID="_7e3c1bcd-f180-4f78-83e1-7680920793aa" IssueInstant="2014-01-31T15:36:31.279Z" Version="2.0" xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
    <Issuer>http://WS2012R2-0.contoso.com/adfs/services/trust</Issuer>
    <ds:Signature xmlns:ds="https://www.w3.org/2000/09/xmldsig#">
      <ds:SignedInfo>
        <ds:CanonicalizationMethod Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#" />
        <ds:SignatureMethod Algorithm="https://www.w3.org/2000/09/xmldsig#rsa-sha1" />
        <ds:Reference URI="#_7e3c1bcd-f180-4f78-83e1-7680920793aa">
          <ds:Transforms>
            <ds:Transform Algorithm="https://www.w3.org/2000/09/xmldsig#enveloped-signature" />
            <ds:Transform Algorithm="https://www.w3.org/2001/10/xml-exc-c14n#" />
          </ds:Transforms>
          <ds:DigestMethod Algorithm="https://www.w3.org/2000/09/xmldsig#sha1" />
          <ds:DigestValue>CBn/5YqbheaJP425c0pHva9PhNY=</ds:DigestValue>
        </ds:Reference>
      </ds:SignedInfo>
      <ds:SignatureValue>TciWMyHW2ZODrh/2xrvp5ggmcHBFEd9vrp6DYXp+hZWJzmXMmzwmwS8KNRJKy8H7XqBsdELA1Msqi8I3TmWdnoIRfM/ZAyUppo8suMu6Zw+boE32hoQRnX9EWN/f0vH6zA/YKTzrjca6JQ8gAV1ErwvRWDpyMcwdYCiWALv9ScbkAcebOE1s1JctZ5RBXggdZWrYi72X+I4i6WgyZcIGai/rZ4v2otoWAEHS0y1yh1qT7NDPpl/McDaTGkNU6C+8VfjD78DrUXEcAfKvPgKlKrOMZnD1lCGsViimGY+LSuIdY45MLmyaa5UT4KWph6dA==</ds:SignatureValue>
      <KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
          <ds:X509Certificate>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</ds:X509Certificate>
        </ds:X509Data>
      </KeyInfo>
    </ds:Signature>
    <Subject>
      <NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">ABCDEG1234567890</NameID>
      <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
        <SubjectConfirmationData InResponseTo="_049917a6-1183-42fd-a190-1d2cbaf9b144" NotOnOrAfter="2014-01-31T15:41:31.357Z" Recipient="https://login.microsoftonline.com/login.srf" />
      </SubjectConfirmation>
    </Subject>
    <Conditions NotBefore="2014-01-31T15:36:31.263Z" NotOnOrAfter="2014-01-31T16:36:31.263Z">
      <AudienceRestriction>
        <Audience>urn:federation:MicrosoftOnline</Audience>
      </AudienceRestriction>
    </Conditions>
    <AttributeStatement>
      <Attribute Name="IDPEmail">
        <AttributeValue>administrator@contoso.com</AttributeValue>
      </Attribute>
    </AttributeStatement>
    <AuthnStatement AuthnInstant="2014-01-31T15:36:30.200Z" SessionIndex="_7e3c1bcd-f180-4f78-83e1-7680920793aa">
      <AuthnContext>
        <AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</AuthnContextClassRef>
      </AuthnContext>
    </AuthnStatement>
    </Assertion>
    </samlp:Response>

Uw id-provider die compatibel is met SAML 2.0 configureren

Deze sectie bevat richtlijnen voor het configureren van uw SAML 2.0-id voor federatie met Microsoft Entra ID om eenmalige aanmelding mogelijk te maken voor een of meer Microsoft-cloudservices (zoals Microsoft 365) met behulp van het SAML 2.0-protocol. De SAML 2.0-relying party voor een Microsoft-cloudservice die in dit scenario wordt gebruikt, is Microsoft Entra-id.

Microsoft Entra-metagegevens toevoegen

Uw SAML 2.0-id-provider moet voldoen aan informatie over de Relying Party van Microsoft Entra-id. Microsoft Entra-id publiceert metagegevens op https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml.

Het is raadzaam altijd de meest recente Microsoft Entra-metagegevens te importeren bij het configureren van uw SAML 2.0-id-provider.

Notitie

Microsoft Entra-id leest geen metagegevens van de id-provider.

Microsoft Entra-id toevoegen als relying party

U moet communicatie tussen uw SAML 2.0-id-provider en Microsoft Entra-id inschakelen. Deze configuratie is afhankelijk van uw specifieke id-provider. Raadpleeg hiervoor de documentatie. Normaal gesproken stelt u de relying party-id in op dezelfde als de entityID uit de Metagegevens van Microsoft Entra.

Notitie

Controleer of de klok op de server voor uw SAML 2.0-id-provider is gesynchroniseerd met een nauwkeurige tijdbron. Een onjuiste kloktijd kan ertoe leiden dat federatieve aanmeldingen mislukken.

PowerShell installeren voor aanmelding met SAML 2.0-id-provider

Nadat u uw SAML 2.0-id-provider hebt geconfigureerd voor gebruik met microsoft Entra-aanmelding, moet u de Microsoft Graph PowerShell-module downloaden en installeren. Nadat u deze cmdlets hebt geïnstalleerd, gebruikt u deze cmdlets om uw Microsoft Entra-domeinen te configureren als federatieve domeinen.

De Microsoft Graph PowerShell-module is een download voor het beheren van uw organisatiegegevens in Microsoft Entra-id. Met deze module wordt een set cmdlets geïnstalleerd in PowerShell; U voert deze cmdlets uit om eenmalige aanmeldingstoegang tot Microsoft Entra-id in te stellen en vervolgens alle cloudservices waarop u bent geabonneerd. Zie De Microsoft Graph PowerShell SDK installeren voor instructies over het downloaden en installeren van de cmdlets.

Een vertrouwensrelatie instellen tussen uw SAML-id en Microsoft Entra-id

Voordat u federatie configureert in een Microsoft Entra-domein, moet er een aangepast domein zijn geconfigureerd. U kunt het standaarddomein dat door Microsoft wordt geleverd, niet federeren. Het standaarddomein van Microsoft eindigt met onmicrosoft.com. U voert een reeks PowerShell-cmdlets uit om domeinen toe te voegen of te converteren voor eenmalige aanmelding.

Elk Microsoft Entra-domein dat u wilt federeren met uw SAML 2.0-id-provider, moet worden toegevoegd als een domein voor eenmalige aanmelding of geconverteerd naar een domein voor eenmalige aanmelding van een standaarddomein. Als u een domein toevoegt of converteert, wordt een vertrouwensrelatie ingesteld tussen uw SAML 2.0-id en Microsoft Entra-id.

In de volgende procedure wordt beschreven hoe u een bestaand standaarddomein converteert naar een federatief domein met behulp van SAML 2.0 SP-Lite.

Notitie

Uw domein ondervindt mogelijk een storing die tot 2 uur nadat u deze stap hebt uitgevoerd gevolgen heeft voor de gebruikers.

Een domein configureren in uw Microsoft Entra Directory voor federatie

1. Verbinding maken als tenantbeheerder naar uw Microsoft Entra Directory:

   Connect-MgGraph -Scopes "Domain.ReadWrite.All"
   

2. Configureer uw gewenste Microsoft 365-domein voor het gebruik van een federatie met SAML 2.0:

   $Domain = "contoso.com"  
   $LogOnUrl = "https://WS2012R2-0.contoso.com/passiveLogon" 
   $LogOffUrl = "https://WS2012R2-0.contoso.com/passiveLogOff" 
   $ecpUrl = "https://WS2012R2-0.contoso.com/PAOS" 
   $MyUri = "urn:uri:MySamlp2IDP"
   $idptokensigningcert = [System.Security.Cryptography.X509Certificates.X509Certificate2]("C:\temp\contosoidptokensign.cer")  
   $MySigningCert = [system.convert]::tobase64string($idptokensigningcert.rawdata) 
   $Protocol = "saml"
   
   New-MgDomainFederationConfiguration `
     -DomainId $Domain `
     -ActiveSignInUri $ecpUrl `
     -IssuerUri $MyUri `
     -PassiveSignInUri $LogOnUrl `
     -PreferredAuthenticationProtocol $Protocol `
     -SignOutUri $LogOffUrl `
     -SigningCertificate $MySigningCert
   

3. U kunt de tekenreeks met base64-codering voor het handtekeningcertificaat verkrijgen uit uw bestand met IDP-metagegevens. Hieronder ziet u een voorbeeld van deze locatie, maar kan enigszins verschillen op basis van uw implementatie.

   <IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
     <KeyDescriptor use="signing">
       <KeyInfo xmlns="https://www.w3.org/2000/09/xmldsig#">
        <X509Data>
          <X509Certificate> MIIC5jCCAc6gAwIBAgIQLnaxUPzay6ZJsC8HVv/QfTANBgkqhkiG9w0BAQsFADAvMS0wKwYDVQQDEyRBREZTIFNpZ25pbmcgLSBmcy50ZWNobGFiY2VudHJhbC5vcmcwHhcNMTMxMTA0MTgxMzMyWhcNMTQxMTA0MTgxMzMyWjAvMS0wKwYDVQQDEyRBREZTIFNpZ25pbmcgLSBmcy50ZWNobGFiY2VudHJhbC5vcmcwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCwMdVLTr5YTSRp+ccbSpuuFeXMfABD9mVCi2wtkRwC30TIyPdORz642MkurdxdPCWjwgJ0HW6TvXwcO9afH3OC5V//wEGDoNcI8PV4enCzTYFe/h//w51uqyv48Fbb3lEXs+aVl8155OAj2sO9IX64OJWKey82GQWK3g7LfhWWpp17j5bKpSd9DBH5pvrV+Q1ESU3mx71TEOvikHGCZYitEPywNeVMLRKrevdWI3FAhFjcCSO6nWDiMqCqiTDYOURXIcHVYTSof1YotkJ4tG6mP5Kpjzd4VQvnR7Pjb47nhIYG6iZ3mR1F85Ns9+hBWukQWNN2hcD/uGdPXhpdMVpBAgMBAAEwDQYJKoZIhvcNAQELBQADggEBAK7h7jF7wPzhZ1dPl4e+XMAr8I7TNbhgEU3+oxKyW/IioQbvZVw1mYVCbGq9Rsw4KE06eSMybqHln3w5EeBbLS0MEkApqHY+p68iRpguqa+W7UHKXXQVgPMCpqxMFKonX6VlSQOR64FgpBme2uG+LJ8reTgypEKspQIN0WvtPWmiq4zAwBp08hAacgv868c0MM4WbOYU0rzMIR6Q+ceGVRImlCwZ5b7XKp4mJZ9hlaRjeuyVrDuzBkzROSurX1OXoci08yJvhbtiBJLf3uPOJHrhjKRwIt2TnzS9ElgFZlJiDIA26Athe73n43CT0af2IG6yC7e6sK4L3NEXJrwwUZk=</X509Certificate>
         </X509Data>
       </KeyInfo>
     </KeyDescriptor>
   </IDPSSODescriptor>
   

Zie New-MgDomainFederationConfiguration voor meer informatie.

Notitie

U moet $ecpUrl = "https://WS2012R2-0.contoso.com/PAOS" alleen gebruiken als u een ECP-extensie instelt voor uw id-provider. Exchange Online-clients, met uitzondering van Outlook Web Application (OWA), zijn afhankelijk van een actief eindpunt op basis van POST. Als uw SAML 2.0 STS een actief eindpunt implementeert dat vergelijkbaar is met de ECP-implementatie van een actief eindpunt van Shibboleth, is het mogelijk dat deze clients met uitgebreide gebruikersinteractie communiceren met de Exchange Online-service.

Zodra federatie is geconfigureerd, kunt u terugkeren naar 'niet-federatief' (of 'beheerd'), maar deze wijziging duurt maximaal twee uur en vereist het toewijzen van nieuwe willekeurige wachtwoorden voor aanmelding in de cloud aan elke gebruiker. In sommige scenario's kan het nodig zijn om terug te schakelen naar 'beheerd' om een fout in uw instellingen recht te zetten. Zie Remove-MgDomainFederationConfiguration voor meer informatie over domeinconversie.

Gebruikers-principals inrichten voor Microsoft Entra-id/Microsoft 365

Voordat u uw gebruikers kunt verifiëren bij Microsoft 365, moet u Microsoft Entra-id inrichten met gebruikersprincipals die overeenkomen met de assertie in de CLAIM SAML 2.0. Als deze gebruikersprincipals vooraf niet bekend zijn bij Microsoft Entra ID, kunnen ze niet worden gebruikt voor federatieve aanmelding. Microsoft Entra Verbinding maken of PowerShell kan worden gebruikt voor het inrichten van gebruikers-principals.

Microsoft Entra Verbinding maken kan worden gebruikt om principals in te richten voor uw domeinen in uw Microsoft Entra Directory vanuit de on-premises Active Directory. Zie Uw on-premises mappen integreren met Microsoft Entra ID voor meer informatie.

PowerShell kan ook worden gebruikt om het toevoegen van nieuwe gebruikers aan Microsoft Entra-id te automatiseren en wijzigingen vanuit de on-premises directory te synchroniseren. Als u de PowerShell-cmdlets wilt gebruiken, moet u de Microsoft Graph PowerShell-module downloaden.

In deze procedure ziet u hoe u één gebruiker toevoegt aan Microsoft Entra ID.

1. Verbinding maken naar uw Microsoft Entra Directory als tenantbeheerder met behulp van Verbinding maken-MgGraph.

2. Maak een nieuwe gebruikersprincipal:

   $Password =  -join ((48..57) + (97..122) | Get-Random -Count 12 | % {[char]$_})
   $PasswordProfile = @{ Password = "$Password" }
   
   New-MgUser `
     -UserPrincipalName "elwoodf1@contoso.com" `
     -DisplayName "Elwood Folk" `
     -GivenName "Elwood" `
     -Surname "Folk" `
     -AccountEnabled `
     -MailNickName 'ElwoodFolk' `
     -OnPremisesImmutableId ABCDEFG1234567890 `
     -OtherMails "Elwood.Folk@contoso.com" `
     -PasswordProfile $PasswordProfile `
     -UsageLocation "US"
   

Zie New-MgUser voor meer informatie.

Notitie

De waarde UserPrincipalName moet overeenkomen met de waarde die u verzendt voor 'IDPEmail' in uw SAML 2.0-claim en de waarde 'OnPremisesImmutableId' moet overeenkomen met de waarde die wordt verzonden in uw 'NameID'-assertie.

Eenmalige aanmelding met uw SAML 2.0 -id-provider controleren

Voordat u als beheerder eenmalige aanmelding (ook wel id-federatie genoemd) controleert en beheert, controleert u de gegevens en voert u de stappen in de volgende artikelen uit om eenmalige aanmelding in te stellen met uw id-provider die compatibel is met SAML 2.0 SP-Lite:

1. U hebt de Microsoft Entra SAML 2.0-protocolvereisten beoordeeld
2. U hebt uw SAML 2.0-id-provider geconfigureerd
3. PowerShell installeren voor eenmalige aanmelding (SSO) met SAML 2.0-id-provider
4. Een vertrouwensrelatie instellen tussen saml 2.0-id en Microsoft Entra-id
5. Een bekende testgebruiker-principal ingericht voor Microsoft Entra ID (Microsoft 365) via PowerShell of Microsoft Entra Verbinding maken.
6. Adreslijstsynchronisatie configureren met Behulp van Microsoft Entra Verbinding maken.

Nadat u eenmalige aanmelding hebt ingesteld met uw op SAML 2.0 SP-Lite gebaseerde id-provider, moet u controleren of deze correct werkt. Zie Eenmalige aanmelding op basis van Test SAML voor meer informatie over het testen van eenmalige aanmelding op basis van SAML.

Notitie

Als u een domein hebt geconverteerd in plaats van er een toe te voegen, kan het tot 24 uur duren voordat eenmalige aanmelding is ingesteld. Voordat u de eenmalige aanmelding controleert, moet u de Active Directory-synchronisatie hebben ingesteld, uw directory's hebben gesynchroniseerd en uw gesynchroniseerde gebruikers hebben geactiveerd.

Controleer handmatig of eenmalige aanmelding juist is ingesteld

Handmatige verificatie biedt meer stappen die u kunt uitvoeren om ervoor te zorgen dat uw SAML 2.0-id-provider in veel scenario's correct werkt. Voer de volgende stappen uit om te controleren of eenmalige aanmelding juist is ingesteld:

1. Meld u op een domein-gekoppelde computer aan bij uw cloudservice met dezelfde aanmeldingsnaam als die u gebruikt voor uw bedrijfsreferenties.
2. Selecteer in het wachtwoordvak. Als eenmalige aanmelding is ingesteld, wordt het wachtwoordvak gearceerd en ziet u het volgende bericht: 'U bent nu verplicht om u aan te melden bij <uw bedrijf>'.
3. Selecteer de aanmelding bij <uw bedrijfskoppeling> . Als u zich kunt aanmelden, is eenmalige aanmelding ingesteld.

Volgende stappen

• Active Directory Federation Services-beheer en -aanpassing met Microsoft Entra Verbinding maken
• Compatibiliteitslijst met Microsoft Entra-federatie
• Aangepaste installatie van Microsoft Entra Verbinding maken