Delen via

Voorbeeld: SAML/WS-Fed IdP-federatie instellen met AD FS voor B2B-samenwerking

Van toepassing op: Groene cirkel met een wit vinkje. Werknemershuurders Witte cirkel met een grijs X-symbool. Externe huurders (Meer informatie)

Notitie

Directe federatie in Microsoft Entra Externe ID wordt nu aangeduid als SAML/WS-Fed identity provider (IdP) federatie.

In dit artikel wordt beschreven hoe u SAML/WS-Fed IdP-federatie instelt met behulp van Active Directory Federation Services (AD FS) als een SAML 2.0 of WS-Fed IdP. Om federatie te ondersteunen, moeten bepaalde kenmerken en claims worden geconfigureerd bij de IdP. Ter illustratie van het configureren van een IdP voor federatie, gebruiken we Active Directory Federation Services (AD FS) als voorbeeld. We laten zien hoe u AD FS instelt als een SAML IdP en als een WS-Fed IdP.

Notitie

In dit artikel wordt beschreven hoe u AD FS instelt voor zowel SAML als WS-Fed voor illustratiedoeleinden. Voor federatie-integraties waarbij de IdP AD FS is, raden we aan WS-Fed als het protocol te gebruiken.

AD FS voor SAML 2.0-federatie configureren

Microsoft Entra B2B kan worden geconfigureerd voor federatie met IDP's die gebruikmaken van het SAML-protocol met specifieke vereisten die hieronder worden vermeld. Ter illustratie van de SAML-configuratiestappen ziet u in deze sectie hoe u AD FS instelt voor SAML 2.0.

Als u federatie wilt instellen, moeten de volgende kenmerken worden ontvangen in het SAML 2.0-antwoord van de IdP. Deze kenmerken kunnen worden geconfigureerd door een koppeling te maken naar het XML-bestand van de online beveiligingstokenservice of door ze handmatig in te voeren. Stap 12 in Een AD FS-testexemplaar maken beschrijft hoe u de AD FS-eindpunten kunt vinden of hoe u uw metagegevens-URL kunt genereren, bijvoorbeeld https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.

Kenmerk Waarde
AssertionConsumerService https://login.microsoftonline.com/login.srf
Doelgroep urn:federation:MicrosoftOnline
Verlener De issuer-URI van de partner-IdP, bijvoorbeeld http://www.example.com/exk10l6w90DHM0yi...

De volgende claims moeten worden geconfigureerd in het SAML 2.0-token dat is uitgegeven door de IdP:

Kenmerk Waarde
NameID-indeling urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress Het e-mailadres van de gebruiker

In de volgende sectie ziet u hoe u de vereiste kenmerken en claims configureert met AD FS als voorbeeld van een SAML 2.0 IdP.

Voordat u begint

Een AD FS-server moet al zijn ingesteld en functioneren voordat u met deze procedure begint.

Voeg de claimbeschrijving toe

  1. Selecteer op uw AD FS-server Hulpprogramma's>AD FS-beheer.

  2. Selecteer in het navigatiedeelvenster Service>Claimbeschrijvingen.

  3. Selecteer Claimbeschrijving toevoegen onder Acties.

  4. Geef in het venster Voeg een claimbeschrijving toe de volgende waarden op:

    • Weergavenaam: persistente identificator
    • Claim-id: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
    • Selecteer het selectievakje voor Publiceer deze claimbeschrijving in federatiemetagegevens als een claimtype dat door deze federatieservice kan accepteren.
    • Selecteer het selectievakje voor Publiceer deze claimbeschrijving in federatiemetagegevens als een claimtype dat door deze federatieservice kan worden verzonden.

  5. Selecteer Oké.

Voeg de vertrouwensrelatie van de Relying Party toe

  1. Ga op de AD FS-server naar Hulpprogramma's>AD FS-beheer.

  2. Selecteer in het navigatiedeelvenster Vertrouwensrelaties van Vertrouwende Partijen.

  3. Onder Acties, selecteer Vertrouwensrelatie voor relying party toevoegen.

  4. Selecteer Claimbewust in de wizard Vertrouwensrelaties Relying Party toevoegen en vervolgens Starten.

  5. Selecteer in de sectie Gegevensbron selecteren het selectievakje voor Gegevens importeren over de Relying Party die online of op een lokaal netwerk zijn gepubliceerd. Voer deze URL voor federatieve metagegevens in: https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. Selecteer Volgende.

  6. Laat de overige instellingen ongemoeid in de standaardopties staan. Ga door met het selecteren van Volgende en selecteer ten slotte Sluiten om de wizard te sluiten.

  7. Klik in AD FS-beheer onder Relying Party Trusts met de rechtermuisknop op de relying party vertrouwensrelatie die u zojuist hebt gemaakt en selecteer Eigenschappen.

  8. Schakel op het tabblad Bewaking het selectievakje Bewaken van relying party uit.

  9. Op het tabblad Identifiers voert u https://login.microsoftonline.com/<tenant ID>/ in het tekstvak Relying party identifier in, met behulp van de tenant-id van de Microsoft Entra-tenant van de servicepartner. Selecteer Toevoegen.

    Notitie

    Zorg ervoor dat u een slash (/) opneemt na de tenant-id, bijvoorbeeld: https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.

  10. Selecteer OK.

Claimregels maken

  1. Klik met de rechtermuisknop op de vertrouwensrelatie van Relying Party die u hebt gemaakt en selecteer vervolgens Claimuitgiftebeleid bewerken.

  2. Selecteer Regel toevoegen in de wizard Claimregels bewerken.

  3. Selecteer Claimregelsjabloon en selecteer LDAP-kenmerken als claims verzenden.

  4. Geef in Claimregel configureren de volgende waarden op:

    • Claimregelnaam: Email-claimregel
    • Kenmerkarchief: Active Directory
    • LDAP-kenmerk: e-mailadressen
    • Uitgaand claimtype: e-mailadres

  5. Selecteer Voltooien.

  6. Selecteer Regel toevoegen.

  7. Selecteer Een binnenkomende claim transformeren in Claimregelsjabloon en selecteer vervolgens Volgende.

  8. Geef in Claimregel configureren de volgende waarden op:

    • Claimregelnaam: e-mmailadres transformatieregel
    • Inkomend claimtype: e-mailadres
    • Uitgaand claimtype: Naam ID
    • Indeling uitgaande naam-id: permanente id
    • Selecteer Alle claimwaarden doorgeven.

  9. Selecteer Voltooien.

  10. In het deelvenster Claimregels bewerken worden de nieuwe regels weergegeven. Selecteer Toepassen.

  11. Selecteer OK. De AD FS-server is nu geconfigureerd voor federatie met behulp van het SAML 2.0-protocol.

AD FS voor WS-Fed-federatie configureren

Microsoft Entra B2B kan worden geconfigureerd voor federatie met IDP's die gebruikmaken van het WS-Fed-protocol met de specifieke vereisten die hieronder worden vermeld. Momenteel zijn de twee WS-Fed-providers waarvan de compatibiliteit met Microsoft Entra Externe ID is getest, AD FS en Shibboleth. Hier gebruiken we Active Directory Federation Services (AD FS) als voorbeeld van de WS-Fed IdP. Voor meer informatie over het tot stand brengen van een relying party-vertrouwensrelatie tussen een WS-Fed-compatibele provider met Microsoft Entra Externe ID, downloadt u de compatibiliteitsdocumenten voor Microsoft Entra-id-providers.

Als u federatie wilt instellen, moeten de volgende attributen worden ontvangen in het WS-Fed-bericht van de IdP. Deze kenmerken kunnen worden geconfigureerd door een koppeling te maken naar het XML-bestand van de online beveiligingstokenservice of door ze handmatig in te voeren. Stap 12 in Een AD FS-testexemplaar maken beschrijft hoe u de AD FS-eindpunten kunt vinden of hoe u uw metagegevens-URL kunt genereren, bijvoorbeeld https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.

Kenmerk Waarde
PassieveRequestorEindpunt https://login.microsoftonline.com/login.srf
Doelgroep urn:federation:MicrosoftOnline
Verlener De issuer-URI van de partner-IdP, bijvoorbeeld http://www.example.com/exk10l6w90DHM0yi...

Vereiste claims voor het WS-Fed token dat is uitgegeven door de IdP:

Kenmerk Waarde
OnveranderlijkeID http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
e-mailadres http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

In de volgende sectie ziet u hoe u de vereiste kenmerken en claims configureert met AD FS als voorbeeld van een WS-Fed IdP.

Voordat u begint

Een AD FS-server moet al zijn ingesteld en functioneren voordat u met deze procedure begint.

Voeg de vertrouwensrelatie van de Relying Party toe

  1. Ga op de AD FS-server naar Hulpprogramma's>AD FS-beheer.

  2. Selecteer in het navigatiedeelvenster Vertrouwensrelaties>Betrouwerrelaties.

  3. Onder Acties, selecteer Vertrouwensrelatie voor relying party toevoegen.

  4. Selecteer in de wizard Relying Party-vertrouwensrelatie toevoegen de optie 'claimbewust' en selecteer vervolgens 'Start'.

  5. Selecteer Gegevens over de Relying Party handmatig invoeren in de sectie Gegevensbron selecteren en selecteer vervolgens Volgende.

  6. Typ een naam in bij Weergavenaam op de Pagina Weergavenaam opgeven. U kunt desgewenst een beschrijving invoeren voor deze relying party-vertrouwensrelatie in de sectie Notities . Selecteer Volgende.

  7. Optioneel: In de pagina Certificaat configureren, kunt u, als u een tokenversleutelingscertificaat heeft, Bladeren selecteren om een certificaatbestand te zoeken. Selecteer Volgende.

  8. Configureer op de Configure URL pagina het selectievakje Ondersteuning inschakelen voor het WS-Federation Passive-protocol. Voer onder de URL van het passieve protocol van Relying Party WS-Federation de volgende URL in: https://login.microsoftonline.com/login.srf

  9. Selecteer Volgende.

  10. Op de Configureer Identifiers-pagina voert u de volgende URL's in en selecteert u Toevoegen. Voer in de tweede URL de tenant-id van de Microsoft Entra-tenant van de servicepartner in.

    • urn:federation:MicrosoftOnline
    • https://login.microsoftonline.com/<tenant ID>/

    Notitie

    Zorg ervoor dat u een slash (/) opneemt na de tenant-id, bijvoorbeeld: https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.

  11. Selecteer Volgende.

  12. Op de pagina Toegangsbeheerbeleid Kiezen, selecteer een beleid en selecteer vervolgens volgende.

  13. Controleer de instellingen op de pagina Gereed om vertrouwen toe te voegen en selecteer vervolgens Volgende om de vertrouwensinformatie van uw relying party op te slaan.

  14. Selecteer Sluiten op de pagina Voltooien. selecteer Relying Party Trust en selecteer Claimuitgiftebeleid bewerken.

Claimregels maken

  1. Selecteer de Relying Party Trust die u zojuist hebt gemaakt en klik vervolgens op Claimuitgiftebeleid bewerken.

  2. Selecteer Regel toevoegen.

  3. Selecteer LDAP-attributen verzenden als claims en selecteer Volgende vervolgens.

  4. Geef in Claimregel configureren de volgende waarden op:

    • Claimregelnaam: Email-claimregel
    • Kenmerkarchief: Active Directory
    • LDAP-kenmerk: e-mailadressen
    • Uitgaand claimtype: e-mailadres

  5. Selecteer Voltooien.

  6. Selecteer Regel toevoegen in de dezelfde wizard Claimregels bewerken.

  7. Selecteer Claims verzenden met een aangepaste regel en selecteer vervolgens Volgende.

  8. Geef in Claimregel configureren de volgende waarden op:

    • Claimregelnaam: Immutable-ID toewijzen
    • Aangepaste regel: c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), query = "samAccountName={0};objectGUID;{1}", param = regexreplace(c.Value, "(?<domain>[^\\]+)\\(?<user>.+)", "${user}"), param = c.Value);

  9. Selecteer Voltooien.

  10. Selecteer OK. De AD FS-server is nu geconfigureerd voor federatie met behulp van WS-Fed.

Volgende stappen

Vervolgens configureert u SAML/WS-Fed IdP-federatie in Microsoft Entra Externe ID in Azure Portal of met behulp van de Microsoft Graph API.

  • Last updated on