Federatie met SAML/WS-Fed-id-providers voor gastgebruikers

  • Artikel

Notitie

  • Directe federatie in Microsoft Entra Externe ID wordt nu aangeduid als SAML/WS-Fed identity provider (IdP) federatie.

In dit artikel wordt beschreven hoe u federatie instelt met elke organisatie waarvan de id-provider (IdP) het SAML 2.0- of WS-Fed-protocol ondersteunt. Wanneer u federatie instelt met idP van een partner, kunnen nieuwe gastgebruikers uit dat domein hun eigen door IdP beheerde organisatieaccount gebruiken om u aan te melden bij uw Microsoft Entra-tenant en met u samen te werken. De gastgebruiker hoeft geen afzonderlijk Microsoft Entra-account te maken.

Belangrijk

  • U kunt nu SAML/WS-Fed IdP-federatie instellen met geverifieerde domeinen van Microsoft Entra ID en de inwisselingsorder voor uitnodigingen configureren om ervoor te zorgen dat wanneer uitgenodigde gebruikers zich aanmelden, hun uitnodigingen inwisselen met behulp van de federatieve IdP in plaats van Microsoft Entra-id. Instellingen voor inwisselingsorders zijn beschikbaar in de toegangsinstellingen voor meerdere tenants voor binnenkomende B2B-samenwerking.
  • We bieden geen ondersteuning meer voor een acceptatielijst met id's voor nieuwe SAML-/WS-Fed IdP-federaties. Wanneer u een nieuwe externe federatie instelt, raadpleegt u Stap 1: Bepalen of de partner zijn DNS-tekstrecords moet bijwerken.
  • In de SAML-aanvraag die is verzonden door Microsoft Entra ID voor externe federaties, is de URL van de uitgever een tenant-eindpunt. Voor nieuwe federaties raden we aan dat al onze partners de doelgroep van de SAML of WS-Fed idP instellen op een tenant-eindpunt. Raadpleeg de vereiste kenmerken en claims van SAML 2.0 en WS-Fed . Alle bestaande federaties die zijn geconfigureerd met het globale eindpunt blijven werken, maar nieuwe federaties werken niet meer als uw externe IdP een URL van een globale uitgever verwacht in de SAML-aanvraag.
  • We hebben de beperking van één domein verwijderd. U kunt nu meerdere domeinen koppelen aan een afzonderlijke federatieconfiguratie.
  • We hebben de beperking verwijderd die vereist dat het verificatie-URL-domein overeenkomt met het doeldomein of afkomstig is van een toegestane IdP. Voor meer informatie, zie Stap 1: Bepalen of de partner de DNS-tekstrecords moet bijwerken.

Wanneer wordt een gastgebruiker geverifieerd met SAML/WS-Fed IdP-federatie?

Nadat u federatie hebt ingesteld met de SAML/WS-Fed IdP van een organisatie:

Het is belangrijk om op te merken dat met het instellen van federatie de verificatiemethode niet wordt gewijzigd voor gastgebruikers die al een uitnodiging van u hebben gebruikt. Hieronder volgen een aantal voorbeelden:

  • Gastgebruikers hebben al uitnodigingen van u ingewisseld en vervolgens hebt u later federatie ingesteld met de SAML/WS-Fed IdP van de organisatie. Deze gastgebruikers blijven dezelfde verificatiemethode gebruiken die ze hebben gebruikt voordat u federatie instelt.
  • U stelt federatie in met de SAML/WS-Fed IdP van een organisatie en nodigt gastgebruikers uit en vervolgens wordt de partnerorganisatie later verplaatst naar Microsoft Entra-id. De gastgebruikers die al uitnodigingen hebben ingewisseld, blijven de federatieve SAML/WS-Fed IdP gebruiken, zolang het federatiebeleid in uw tenant bestaat.
  • U verwijdert federatie met de SAML/WS-Fed IdP van een organisatie. Gastgebruikers die momenteel de SAML/WS-Fed IdP gebruiken, kunnen zich niet aanmelden.

In een van deze scenario's kunt u de verificatiemethode van een gastgebruiker bijwerken door de inwisselingsstatus opnieuw in te stellen.

SAML/WS-Fed IdP-federatie is gekoppeld aan domeinnaamruimten, zoals contoso.com en fabrikam.com. Bij het tot stand brengen van federatie met AD FS of een idP van derden, koppelen organisaties een of meer domeinnaamruimten aan deze id's.

Ervaring voor de eindgebruiker

Met SAML/WS-Fed IdP-federatie melden gastgebruikers zich aan bij uw Microsoft Entra-tenant met hun eigen organisatieaccount. Wanneer ze toegang hebben tot gedeelde resources en worden gevraagd om zich aan te melden, worden gebruikers omgeleid naar hun IdP. Na een geslaagde aanmelding worden gebruikers teruggezet naar De Microsoft Entra-id voor toegang tot resources. Als de Microsoft Entra-sessie verloopt of ongeldig wordt en de federatieve IdP eenmalige aanmelding heeft ingeschakeld, SSO voor de gebruikerservaring. Als de sessie van de federatieve gebruiker geldig is, wordt de gebruiker niet gevraagd zich opnieuw aan te melden. Anders wordt de gebruiker omgeleid naar de IdP voor aanmelding.

Aanmeldingseindpunten

SamL-/WS-Fed IdP-gastgebruikers kunnen zich nu aanmelden bij uw multitenant- of Microsoft first-party-apps met behulp van een gemeenschappelijk eindpunt (met andere woorden een algemene app-URL die uw tenantcontext niet bevat). Tijdens het aanmeldingsproces kiest de gastgebruiker Aanmeldingsopties en selecteert vervolgens Aanmelden bij een organisatie. De gebruiker typt vervolgens de naam van uw organisatie en blijft zich aanmelden met zijn eigen gegevens.

Gastgebruikers van SAML/WS-Fed IdP-federatie kunnen ook toepassingseindpunten gebruiken die uw tenantgegevens bevatten, bijvoorbeeld:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

U kunt gastgebruikers ook een directe koppeling naar een toepassing of resource geven door uw tenantgegevens op te geven, bijvoorbeeld https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Veelgestelde vragen

Kan ik SAML/WS-Fed IdP-federatie instellen met geverifieerde domeinen van Microsoft Entra ID?

Ja, u kunt nu SAML/WS-Fed IdP-federatie instellen met andere geverifieerde domeinen van Microsoft Entra ID. Dit omvat geverifieerde domeinen waarvoor de tenant een beheerdersovername heeft ondergaan. Als het domein waarmee u federatief bent, is geverifieerd met Microsoft Entra ID, moet u ook de instellingen voor de inwisselingsorder (preview) configureren in uw instellingen voor binnenkomende B2B-samenwerking om ervoor te zorgen dat wanneer uitgenodigde gebruikers zich aanmelden, hun uitnodigingen inwisselen met behulp van de federatieve IdP in plaats van Microsoft Entra-id.

Op dit moment worden instellingen voor inwisselingsorders niet ondersteund in clouds. Als het domein waarmee u federatief bent, Microsoft Entra ID is geverifieerd in een andere Microsoft-cloud, heeft Microsoft Entra-inwisseling altijd voorrang.

Kan ik SAML/WS-Fed IdP-federatie instellen met een domein waarvoor een onbeheerde (e-mail geverifieerde) tenant bestaat?

Ja, u kunt SAML/WS-Fed IdP-federatie instellen met domeinen die niet door DNS zijn geverifieerd in Microsoft Entra ID, inclusief onbeheerde (e-mail geverifieerd of 'viral') Microsoft Entra-tenants. Dergelijke tenants worden gemaakt wanneer een gebruiker een B2B-uitnodiging inwisselt of selfserviceregistratie uitvoert voor Microsoft Entra-id met behulp van een domein dat momenteel niet bestaat.

Hoeveel federatierelaties kan ik maken?

Momenteel worden maximaal 1000 federatierelaties ondersteund. Deze limiet omvat zowel interne federaties als SAML/WS-Fed IdP-federaties.

Kan ik federatie instellen met meerdere domeinen van dezelfde tenant?

Ja, we ondersteunen nu SAML/WS-Fed IdP-federatie met meerdere domeinen van dezelfde tenant.

Moet ik het handtekeningcertificaat vernieuwen wanneer het verloopt?

Als u de metagegevens-URL opgeeft in de IdP-instellingen, wordt het handtekeningcertificaat automatisch vernieuwd wanneer het verloopt. Als het certificaat echter om welke reden dan ook vóór de verlooptijd wordt geroteerd of als u geen metagegevens-URL opgeeft, kan de Microsoft Entra-id het niet vernieuwen. In dit geval moet u het handtekeningcertificaat handmatig bijwerken.

Als eenmalige wachtwoordcodeverificatie voor SAML/WS-Fed IdP en e-mail is ingeschakeld, heeft welke methode voorrang?

Wanneer SAML/WS-Fed IdP-federatie tot stand is gebracht met een partnerorganisatie, heeft deze voorrang op verificatie via eenmalige wachtwoordcode voor nieuwe gastgebruikers van die organisatie. Als een gastgebruiker een uitnodiging heeft ingewisseld met eenmalige wachtwoordcodeverificatie voordat u SAML-/WS-Fed IdP-federatie instelt, blijven ze eenmalige wachtwoordcodeverificatie gebruiken.

Verhelpt SAML/WS-Fed IdP-federatie aanmeldingsproblemen vanwege een gedeeltelijk gesynchroniseerde tenancy?

Nee, de functie eenmalige wachtwoordcode per e-mail moet in dit scenario worden gebruikt. Een gedeeltelijk gesynchroniseerde tenancy verwijst naar een Partner Microsoft Entra-tenant waarbij on-premises gebruikersidentiteiten niet volledig met de cloud worden gesynchroniseerd. Een gast waarvan de identiteit nog niet bestaat in de cloud, maar die uw B2B-uitnodiging probeert in te wisselen, kan zich niet aanmelden. Met de functie eenmalige wachtwoordcode kan deze gast zich aanmelden. De federatiefunctie SAML/WS-Fed IdP behandelt scenario's waarbij de gast zijn eigen door IdP beheerde organisatieaccount heeft, maar de organisatie helemaal geen Microsoft Entra-aanwezigheid heeft.

Zodra SAML/WS-Fed IdP-federatie is geconfigureerd met een organisatie, moet elke gast een afzonderlijke uitnodiging verzenden en inwisselen?

Wanneer u nieuwe gasten uitnodigt, moet u nog steeds uitnodigingen verzenden of directe koppelingen opgeven, zodat de gasten de inwisselingsstappen kunnen voltooien. Voor bestaande gasten hoeft u niet per se nieuwe uitnodigingen te verzenden. Bestaande gasten blijven de verificatiemethode gebruiken die ze hebben gebruikt voordat federatie is ingesteld. Als u wilt dat deze gasten federatie gaan gebruiken voor verificatie, kunt u de inwisselingsstatus opnieuw instellen. De volgende keer dat ze toegang hebben tot uw app of de koppeling in uw uitnodiging gebruiken, herhalen ze het inwisselingsproces en gaan ze federatie gebruiken als verificatiemethode.

Is er een manier om een ondertekende aanvraag naar de SAML-id-provider te verzenden?

Momenteel biedt de federatiefunctie Microsoft Entra SAML/WS-Fed geen ondersteuning voor het verzenden van een ondertekend verificatietoken naar de SAML-id-provider.

Welke machtigingen zijn vereist voor het configureren van een SAML/Ws-Fed-id-provider?

U moet een externe id-provider zijn Beheer istrator of een globale Beheer istrator in uw Microsoft Entra-tenant om een SAML-/Ws-Fed-id-provider te configureren.

Stap 1: Bepalen of de partner de DNS-tekstrecords moet bijwerken

Afhankelijk van de IdP van de partner moet de partner mogelijk zijn DNS-records bijwerken om federatie met u in te schakelen. Gebruik de volgende stappen om te bepalen of DNS-updates nodig zijn.

Notitie

We bieden geen ondersteuning meer voor een acceptatielijst met id's voor nieuwe SAML-/WS-Fed IdP-federaties.

  1. Controleer de passieve verificatie-URL van de partner om te zien of het domein overeenkomt met het doeldomein of een host in het doeldomein. Met andere woorden, bij het instellen van federatie voor fabrikam.com:

    • Als het eindpunt voor passieve verificatie https://fabrikam.com of https://sts.fabrikam.com/adfs is (een host in hetzelfde domein), zijn er geen DNS-wijzigingen nodig.
    • Als het eindpunt voor passieve verificatie wel of https://fabrikamconglomerate.com/adfshttps://fabrikam.com.uk/adfsniet overeenkomt met het fabrikam.com domein, moet de partner dus een tekstrecord voor de verificatie-URL toevoegen aan de DNS-configuratie.

  2. Als DNS-wijzigingen nodig zijn op basis van de vorige stap, vraagt u de partner om een TXT-record toe te voegen aan de DNS-records van zijn domein, zoals in het volgende voorbeeld:

    fabrikam.com.  IN   TXT   DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs

Stap 2: De IdP van de partnerorganisatie configureren

Vervolgens moet uw partnerorganisatie zijn IdP configureren met de vereiste claims en vertrouwensrelaties van Relying Party.

Notitie

Ter illustratie van het configureren van een SAML/WS-Fed IdP voor federatie, gebruiken we Active Directory Federation Services (AD FS) als voorbeeld. Zie het artikel SAML/WS-Fed IdP-federatie configureren met AD FS, die voorbeelden geeft van het configureren van AD FS als SAML 2.0 of WS-Fed IdP ter voorbereiding op federatie.

SAML 2.0-configuratie

Microsoft Entra B2B kan worden geconfigureerd voor federatie met IDP's die gebruikmaken van het SAML-protocol met specifieke vereisten die in deze sectie worden vermeld. Zie Een SAML 2.0 Identity Provider (IdP) gebruiken voor eenmalige aanmelding voor meer informatie over het instellen van een vertrouwensrelatie tussen uw SAML IdP en Microsoft Entra-id.

Notitie

U kunt nu SAML/WS-Fed IdP-federatie instellen met andere geverifieerde domeinen van Microsoft Entra ID. Zie de sectie Veelgestelde vragen voor meer informatie.

Vereiste SAML 2.0-kenmerken en -claims

De volgende tabellen bevatten vereisten voor specifieke kenmerken en claims die moeten worden geconfigureerd op de IdP van derden. Als u federatie wilt instellen, moeten de volgende kenmerken worden ontvangen in het SAML 2.0-antwoord van de IdP. Deze kenmerken kunnen worden geconfigureerd door een koppeling te maken naar het XML-bestand van de online beveiligingstokenservice of door ze handmatig in te voeren.

Notitie

Zorg ervoor dat de waarde overeenkomt met de cloud waarvoor u externe federatie instelt.

Vereiste kenmerken voor het SAML 2.0-antwoord van de IdP:

Kenmerk Weergegeven als
AssertionConsumerService https://login.microsoftonline.com/login.srf
Doelgroep https://login.microsoftonline.com/<tenant ID>/ (Aanbevolen) Vervang <tenant ID> door de tenant-id van de Microsoft Entra-tenant waarmee u federatie instelt.

In de SAML-aanvraag die is verzonden door Microsoft Entra ID voor externe federaties, is de URL van de uitgever een tenanteindpunt (bijvoorbeeld https://login.microsoftonline.com/<tenant ID>/). Voor nieuwe federaties raden we aan dat al onze partners de doelgroep van de SAML of WS-Fed idP instellen op een tenant-eindpunt. Eventuele bestaande federaties die zijn geconfigureerd met het globale eindpunt (bijvoorbeeld urn:federation:MicrosoftOnline) blijven werken, maar nieuwe federaties werken niet meer als uw externe IdP een url van een globale verlener verwacht in de SAML-aanvraag die is verzonden door Microsoft Entra-id.
Verlener De verlener-URI van de IdP van de partner, bijvoorbeeld http://www.example.com/exk10l6w90DHM0yi...

Vereiste claims voor het SAML 2.0-token dat is uitgegeven door de IdP:

Kenmerknaam Weergegeven als
NameID-indeling urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress emailaddress

WS-Fed configuratie

Microsoft Entra B2B kan worden geconfigureerd voor federatie met IDP's die gebruikmaken van het WS-Fed-protocol. In deze sectie worden de vereisten besproken. Momenteel zijn de twee WS-Fed-providers getest op compatibiliteit met Microsoft Entra ID zijn AD FS en Shibboleth. Voor meer informatie over het tot stand brengen van een relying party-vertrouwensrelatie tussen een WS-Fed-compatibele provider met Microsoft Entra-id, raadpleegt u het 'STS Integration Paper using WS Protocols' (StS Integration Paper using WS Protocols) die beschikbaar is in de compatibiliteitsdocumenten voor Microsoft Entra-id-providers.

Notitie

U kunt nu SAML/WS-Fed IdP-federatie instellen met andere geverifieerde domeinen van Microsoft Entra ID. Zie de sectie Veelgestelde vragen voor meer informatie.

Vereiste WS-Fed kenmerken en claims

De volgende tabellen bevatten vereisten voor specifieke kenmerken en claims die moeten worden geconfigureerd op de WS-Fed IdP van derden. Als u federatie wilt instellen, moeten de volgende kenmerken worden ontvangen in het WS-Fed bericht van de IdP. Deze kenmerken kunnen worden geconfigureerd door een koppeling te maken naar het XML-bestand van de online beveiligingstokenservice of door ze handmatig in te voeren.

Notitie

Zorg ervoor dat de waarde overeenkomt met de cloud waarvoor u externe federatie instelt.

Vereiste kenmerken in het WS-Fed bericht van de IdP:

Kenmerk Weergegeven als
PassiveRequestorEndpoint https://login.microsoftonline.com/login.srf
Doelgroep https://login.microsoftonline.com/<tenant ID>/ (Aanbevolen) Vervang <tenant ID> door de tenant-id van de Microsoft Entra-tenant waarmee u federatie instelt.

In de SAML-aanvraag die is verzonden door Microsoft Entra ID voor externe federaties, is de URL van de uitgever een tenanteindpunt (bijvoorbeeld https://login.microsoftonline.com/<tenant ID>/). Voor nieuwe federaties raden we aan dat al onze partners de doelgroep van de SAML of WS-Fed idP instellen op een tenant-eindpunt. Eventuele bestaande federaties die zijn geconfigureerd met het globale eindpunt (bijvoorbeeld urn:federation:MicrosoftOnline) blijven werken, maar nieuwe federaties werken niet meer als uw externe IdP een url van een globale verlener verwacht in de SAML-aanvraag die is verzonden door Microsoft Entra-id.
Verlener De verlener-URI van de IdP van de partner, bijvoorbeeld http://www.example.com/exk10l6w90DHM0yi...

Vereiste claims voor het WS-Fed token dat is uitgegeven door de IdP:

Kenmerk Weergegeven als
ImmutableID http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
emailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Stap 3: SAML/WS-Fed IdP-federatie configureren in Microsoft Entra-id

Configureer vervolgens federatie met de IdP die is geconfigureerd in stap 1 in Microsoft Entra-id. U kunt het Microsoft Entra-beheercentrum of de Microsoft Graph API gebruiken. Het kan 5-10 minuten duren voordat het federatiebeleid van kracht wordt. Probeer gedurende deze tijd geen uitnodiging in te wisselen voor het federatiedomein. De volgende kenmerken zijn vereist:

  • URI van de verlener van de IdP van de partner
  • Passieve verificatie-eindpunt van partner-idP (alleen https wordt ondersteund)
  • Certificaat

Federatie configureren in het Microsoft Entra-beheercentrum

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

  1. Meld u als beheerder van een externe id-provider aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar >Externe identiteiten>alle id-providers.

  3. Selecteer Nieuwe SAML/WS-Fed IdP.

    Een schermopname van de knop waarmee een nieuwe SAML of WS-Fed IdP kan worden toegevoegd.

  4. Voer op de pagina Nieuwe SAML/WS-Fed IdP het volgende in:

    • Weergavenaam: voer een naam in om de IdP van de partner te identificeren.
    • Protocol van id-provider: selecteer SAML of WS-Fed.
    • Domeinnaam van federatieve IdP: voer de idP-doeldomeinnaam van uw partner in voor federatie. Voer tijdens deze initiële configuratie slechts één domeinnaam in. U kunt later meer domeinen toevoegen.

    Schermopname van de nieuwe SAML- of WS-Fed IdP-pagina.

  5. Selecteer een methode voor het invullen van metagegevens. U kunt metagegevens handmatig invoeren. Als u een bestand hebt dat de metagegevens bevat, kunt u de velden ook automatisch vullen door Metagegevensbestand parseren te selecteren en naar het bestand te bladeren.

    • URI van verlener: de URI van de verlener van de IdP van de partner.
    • Eindpunt voor passieve verificatie: het passieve eindpunt van de IdP van de partner.
    • Certificaat: de id van het handtekeningcertificaat.
    • Metagegevens-URL: de locatie van de metagegevens van de IdP voor automatische verlenging van het handtekeningcertificaat.

    Een schermopname van de metagegevens-velden.

    Notitie

    De URL voor metagegevens is optioneel, maar wordt ten zeerste aangeraden. Als u de METAGEGEVENS-URL opgeeft, kan Microsoft Entra ID het handtekeningcertificaat automatisch vernieuwen wanneer het verloopt. Als het certificaat om welke reden dan ook vóór de verlooptijd wordt geroteerd of als u geen metagegevens-URL opgeeft, kan microsoft Entra-id het niet vernieuwen. In dit geval moet u het handtekeningcertificaat handmatig bijwerken.

  6. Selecteer Opslaan. De id-provider wordt toegevoegd aan de lijst met SAML-/WS-Fed-id-providers .

    Schermopname van de lijst met saml-/WS-Fed-id-providers met de nieuwe vermelding.

  7. (Optioneel) Ga als volgt te werk om meer domeinnamen toe te voegen aan deze federatieve id-provider:

    1. Selecteer de koppeling in de kolom Domeinen .

      Schermopname van de koppeling voor het toevoegen van domeinen aan de SAML-/WS-Fed-id-provider.

    2. Typ naast de domeinnaam van federatieve IdP de domeinnaam en selecteer vervolgens Toevoegen. Herhaal dit voor elk domein dat u wilt toevoegen. Wanneer u klaar bent, selecteert u Gereed.

      Schermopname van de knop Toevoegen in het deelvenster Domeindetails.

Federatie configureren met behulp van de Microsoft Graph API

U kunt het resourcetype Microsoft Graph API samlOrWsFedExternalDomainFederation instellen met een id-provider die ondersteuning biedt voor het SAML- of WS-Fed-protocol.

Stap 4: De inwisselingsorder configureren voor geverifieerde domeinen van Microsoft Entra ID

Als het domein is geverifieerd met Microsoft Entra ID, configureert u de instellingen voor de inwisselingsorder in uw instellingen voor toegang tussen tenants voor binnenkomende B2B-samenwerking. Verplaats SAML/WS-Fed-id-providers naar het begin van de lijst met primaire id-providers om prioriteit te geven aan de inwisseling met de federatieve IdP.

Notitie

De instellingen van het Microsoft Entra-beheercentrum voor de configureerbare inwisselingsfunctie worden momenteel geïmplementeerd voor klanten. Totdat de instellingen beschikbaar zijn in het beheercentrum, kunt u de inwisselingsorder voor uitnodigingen configureren met behulp van de Microsoft Graph REST API (bètaversie). Zie voorbeeld 2: De standaardconfiguratie voor uitnodigingen inwisselen bijwerken in de microsoft Graph-referentiedocumentatie.

Stap 5: SAML/WS-Fed IdP-federatie testen in Microsoft Entra-id

Test nu uw federatie-instelling door een nieuwe B2B-gastgebruiker uit te nodigen. Zie Microsoft Entra B2B-samenwerkingsgebruikers toevoegen in het Microsoft Entra-beheercentrum voor meer informatie.

Hoe kan ik het certificaat of de configuratiegegevens bijwerken?

Op de pagina Alle id-providers kunt u de lijst met SAML-/WS-Fed-id-providers bekijken die u hebt geconfigureerd, evenals de vervaldatums van het certificaat. In deze lijst kunt u certificaten vernieuwen en andere configuratiegegevens wijzigen.

Een schermopname van een id-provider in de SAML WS-Fed-lijst

  1. Meld u als beheerder van een externe id-provider aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar >Externe identiteiten>alle id-providers.

  3. Beweeg onder SAML/WS-Fed-id-providers naar een id-provider in de lijst of gebruik het zoekvak.

  4. Ga als volgende te werk om het certificaat bij te werken of configuratiegegevens te wijzigen:

    • Selecteer in de kolom Configuratie voor de id-provider de koppeling Bewerken.
    • Wijzig op de configuratiepagina een van de volgende details:
      • Weergavenaam: weergavenaam voor de organisatie van de partner.
      • Protocol van id-provider: selecteer SAML of WS-Fed.
      • Eindpunt voor passieve verificatie: het passieve eindpunt van de IdP van de partner.
      • Certificaat: de id van het handtekeningcertificaat. Voer een nieuwe certificaat-id in om deze te vernieuwen.
      • Metagegevens-URL: de URL met de metagegevens van de partner, die wordt gebruikt voor het automatisch vernieuwen van het handtekeningcertificaat.
    • Selecteer Opslaan.

    Een schermopname van de IDP-configuratiegegevens.

  5. Als u de domeinen wilt bewerken die aan de partner zijn gekoppeld, selecteert u de koppeling in de kolom Domeinen . In het deelvenster Domeindetails:

    • Als u een domein wilt toevoegen, typt u de domeinnaam naast de domeinnaam van federatieve IdP en selecteert u Vervolgens Toevoegen. Herhaal dit voor elk domein dat u wilt toevoegen.
    • Als u een domein wilt verwijderen, selecteert u het pictogram Verwijderen naast het domein.
    • Wanneer u klaar bent, selecteert u Gereed.

    Een schermopname van de domeinconfiguratiepagina

    Notitie

    Als u federatie met de partner wilt verwijderen, verwijdert u alle domeinen behalve een van de domeinen en volgt u de stappen in de volgende sectie.

Hoe kan ik federatie verwijderen?

U kunt uw federatieconfiguratie verwijderen. Als u dit wel doet, kunnen federatieve gastgebruikers die hun uitnodigingen al hebben ingewisseld, zich niet meer aanmelden. U kunt ze echter opnieuw toegang geven tot uw resources door de inwisselingsstatus opnieuw in te stellen. Een configuratie voor een IdP verwijderen in het Microsoft Entra-beheercentrum:

  1. Meld u als beheerder van een externe id-provider aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar >Externe identiteiten>alle id-providers.

  3. Beweeg onder SAML/WS-Fed-id-providers naar de id-provider in de lijst of gebruik het zoekvak.

  4. Selecteer de koppeling in de kolom Domeinen om de domeingegevens van de IdP weer te geven.

  5. Verwijder alle domeinen behalve een van de domeinen in de lijst met domeinnamen.

  6. Selecteer Configuratie verwijderen en selecteer vervolgens Gereed.

    Een schermopname van het verwijderen van een configuratie.

  7. Selecteer OK om het verwijderen te bevestigen.

U kunt federatie ook verwijderen met behulp van het Microsoft Graph API resourcetype samlOrWsFedNalExternalDomainFederation.

Volgende stappen

Meer informatie over de inwisselingservaring voor uitnodigingen wanneer externe gebruikers zich aanmelden met verschillende id-providers.