Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy: 
Dzierżawcy siły roboczej Dzierżawcy zewnętrzni (dowiedz się więcej)
W kontekście Microsoft Entra, dla pracowników i dzierżawców zewnętrznych, można skonfigurować federację z innymi organizacjami korzystającymi z dostawcy tożsamości, takiego jak SAML lub WS-Fed. Użytkownicy z organizacji zewnętrznej mogą następnie używać własnych kont zarządzanych przez IdP do logowania się do aplikacji lub zasobów podczas realizacji zaproszenia lub rejestracji samoobsługowej bez potrzeby tworzenia nowych poświadczeń Microsoft Entra. Użytkownik jest przekierowywany do swojego dostawcy usług tożsamości podczas rejestrowania się lub logowania do Twojej aplikacji, a następnie wraca do Microsoft Entra po pomyślnym zalogowaniu.
Można skojarzyć wiele domen z jedną konfiguracją federacyjną. Domena partnera może być zweryfikowana przez Microsoft Entra lub niezweryfikowana.
Skonfigurowanie federacji IdP SAML/WS-Fed wymaga konfiguracji zarówno na koncie dzierżawcy, jak i w IdP organizacji zewnętrznej. W niektórych przypadkach partner musi zaktualizować swoje rekordy tekstowe DNS. Muszą również zaktualizować swojego dostawcę tożsamości, korzystając z wymaganych oświadczeń i zaufania stron polegających.
Uwierzytelnianie użytkowników za pomocą federacji SAML/WS-Fed IdP
Po skonfigurowaniu federacji z dostawcą tożsamości SAML/WS-Fed partnera użytkownicy mogą się zarejestrować lub zalogować, wybierając opcję Zarejestruj się z lub Zaloguj się z. Są one przekierowywane do dostawcy tożsamości, a następnie wracane do firmy Microsoft Entra po pomyślnym zalogowaniu.
W przypadku dzierżaw zewnętrznych adres e-mail logowania użytkownika nie musi być zgodny ze wstępnie zdefiniowanymi domenami skonfigurowanymi podczas federacji SAML. Jeśli użytkownik nie ma konta w zewnętrznej dzierżawie i wprowadza adres e-mail na stronie logowania, który pasuje do wstępnie zdefiniowanej domeny u dowolnego zewnętrznego dostawcy tożsamości, jest przekierowywany, aby się uwierzytelnić za pomocą tego dostawcy tożsamości.
Zweryfikowane i niezweryfikowane domeny
Środowisko logowania użytkownika zależy od tego, czy domena partnera jest zweryfikowana przez firmę Microsoft Entra.
Domeny niezweryfikowane to domeny , które nie są weryfikowane przez system DNS w identyfikatorze Entra firmy Microsoft. Po federacji użytkownicy mogą logować się przy użyciu poświadczeń z domeny niezweryfikowanej.
Dzierżawy niezarządzane (zweryfikowane e-mailem lub "viralne") są tworzone, gdy użytkownik realizuje zaproszenie lub wykonuje rejestrację samoobsługową w Microsoft Entra ID, korzystając z domeny, która w chwili obecnej nie istnieje. Po federacji użytkownicy mogą logować się przy użyciu poświadczeń z niezarządzanej dzierżawy.
Zweryfikowane domeny Microsoft Entra ID to domeny, które zostały zweryfikowane przez system DNS używając Microsoft Entra, w tym domeny, w których dzierżawca przeszedł przejęcie administratora. Po federacji:
- W przypadku rejestracji samoobsługowej użytkownicy mogą używać poświadczeń związanych z własną domeną.
- W przypadku realizacji zaproszenia, Microsoft Entra ID pozostaje podstawowym dostawcą tożsamości (IdP). W dzierżawie pracowników można określić priorytety federacyjnego dostawcy tożsamości na potrzeby realizacji zaproszenia, zmieniając zamówienie realizacji.
Uwaga / Notatka
Zmiana kolejności realizacji nie jest obecnie obsługiwana w zewnętrznych dzierżawach ani w chmurach.
Wpływ federacji na bieżących użytkowników zewnętrznych
Jeśli użytkownik zewnętrzny już zrealizował zaproszenie lub użył rejestracji samoobsługowej, metoda uwierzytelniania nie zmienia się podczas konfigurowania federacji. Nadal korzystają z oryginalnej metody uwierzytelniania (na przykład jednorazowego kodu dostępu). Nawet jeśli użytkownik z domeny niezweryfikowanej korzysta z federacji, a organizacja później przechodzi do firmy Microsoft Entra, nadal korzysta z federacji.
W przypadku współpracy B2B w dzierżawcy pracowników nie musisz wysyłać nowych zaproszeń do istniejących użytkowników, ponieważ nadal korzystają z dotychczasowej metody logowania. Można jednak zresetować status realizacji użytkownika. Następnym razem, gdy użytkownik uzyskuje dostęp do aplikacji, powtórzy kroki realizacji i będzie mógł przełączyć się na federację.
Punkty końcowe logowania w dzierżawach siły roboczej
Gdy federacja jest skonfigurowana w dzierżawie pracowników, użytkownicy z organizacji federacyjnej mogą logować się do aplikacji wielodostępnych lub aplikacji firmy Microsoft, korzystając z wspólnego punktu końcowego (innymi słowy, ogólny adres URL aplikacji, który nie zawiera kontekstu dzierżawy). Podczas procesu logowania użytkownik wybiera opcje logowania , a następnie wybiera pozycję Zaloguj się do organizacji. Wpiszą nazwę organizacji i kontynuują logowanie przy użyciu własnych poświadczeń.
Użytkownicy federacyjni dostawcy tożsamości SAML/WS-Fed mogą również używać punktów końcowych aplikacji zawierających informacje o dzierżawie, na przykład:
https://myapps.microsoft.com/?tenantid=<your tenant ID>https://myapps.microsoft.com/<your verified domain>.onmicrosoft.comhttps://portal.azure.com/<your tenant ID>
Możesz również nadać użytkownikom bezpośredni link do aplikacji lub zasobu, dołączając informacje o tenantcie, na przykład https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>.
Kluczowe zagadnienia dotyczące federacji SAML/WS-Fed
Wymagania partnera dotyczące dostawcy tożsamości
Skonfigurowanie federacji IdP SAML/WS-Fed wymaga konfiguracji zarówno na koncie dzierżawcy, jak i w IdP organizacji zewnętrznej. W zależności od dostawcy tożsamości partnera może być konieczne zaktualizowanie rekordów DNS w celu włączenia federacji z Tobą. Zobacz Krok 1: Określanie, czy partner musi zaktualizować swoje rekordy tekstowe DNS.
Partner musi zaktualizować swojego dostawcę tożsamości przy użyciu wymaganych oświadczeń i zaufania stron polegających. Adres URL wystawcy w żądaniu SAML wysyłanym przez Microsoft Entra ID dla federacji zewnętrznych jest teraz punktem końcowym specyficznym dla dzierżawcy, podczas gdy wcześniej był to globalny punkt końcowy. Istniejące federacje z globalnym punktem końcowym nadal działają. Jednak w przypadku nowych federacji ustaw odbiorcę zewnętrznego protokołu SAML lub dostawcę tożsamości WS-Fed na punkt końcowy najemcy. Zobacz sekcję SAML 2.0 oraz sekcję WS-Fed wymagane atrybuty i oświadczenia.
Wygaśnięcie certyfikatu podpisywania
Jeśli określisz adres URL metadanych w ustawieniach dostawcy tożsamości, identyfikator Entra firmy Microsoft automatycznie odnawia certyfikat podpisywania po wygaśnięciu. Jeśli jednak certyfikat jest obracany z jakiegokolwiek powodu przed upływem czasu wygaśnięcia lub jeśli nie podasz adresu URL metadanych, identyfikator Entra firmy Microsoft nie może go odnowić. W takim przypadku należy ręcznie zaktualizować certyfikat podpisywania.
Wygaśnięcie sesji
Jeśli sesja Microsoft Entra wygaśnie lub stanie się nieprawidłowa, a federacyjny dostawca tożsamości ma włączone logowanie jednokrotne, użytkownik doświadcza logowania jednokrotnego. Jeśli sesja użytkownika federacyjnego jest prawidłowa, użytkownik nie jest monitowany o ponowne zalogowanie. W przeciwnym razie użytkownik zostanie przekierowany do swojego dostawcy tożsamości na potrzeby logowania.
Częściowo zsynchronizowana dzierżawa
Federacja nie rozwiązuje problemów z logowaniem spowodowanych częściowo zsynchronizowaną dzierżawą, gdzie tożsamości użytkowników lokalnych u partnera nie mają pełnej synchronizacji z Microsoft Entra w chmurze. Ci użytkownicy nie mogą zalogować się przy użyciu zaproszenia B2B, więc zamiast tego muszą używać funkcji jednorazowego kodu dostępu z e-maila . Funkcja federacji dostawcy tożsamości SAML/WS-Fed jest przeznaczona dla partnerów z własnymi kontami organizacyjnymi zarządzanymi przez dostawcę tożsamości, ale bez uczestnictwa w usługach Microsoft Entra.
Konta gości B2B
Federacja nie zastępuje potrzeby kont gości B2B w Twoim katalogu. Dzięki współpracy B2B konto gościa jest tworzone dla użytkownika w katalogu dzierżawy pracowników niezależnie od używanej metody uwierzytelniania lub federacji. Ten obiekt użytkownika umożliwia udzielanie dostępu do aplikacji, przypisywanie ról i definiowanie członkostwa w grupach zabezpieczeń.
Podpisane tokeny uwierzytelniania
Obecnie funkcja federacyjna Microsoft Entra SAML/WS-Fed nie obsługuje wysyłania podpisanego tokenu uwierzytelniania do dostawcy tożsamości SAML.