Federação com provedores de identidade SAML/WS-Fed para usuários convidados

  • Artigo

Observação

  • A Federação direta na ID externa do Microsoft Entra agora é conhecida como Federação do IdP (provedor de identidade) do SAML/WS-Fed.

Este artigo descreve como configurar a federação com qualquer organização cujo IdP (provedor de identidade) ofereça suporte aos protocolos SAML 2.0 ou WS-Fed. Quando você configura a federação com o IdP de um parceiro, os usuários convidados desse domínio podem usar as respectivas contas institucionais gerenciadas pelo IdP para entrar no seu locatário do Microsoft Entra e começar a colaborar com você. Não é necessário que o usuário convidado crie uma conta do Microsoft Entra separada.

Importante

  • Agora, você pode configurar a federação do IdP SAML/WS-Fed com domínios verificados do Microsoft Entra ID e configurar a ordem de resgate de convite (versão prévia) para garantir que, quando os usuários convidados entrarem, eles resgatem seus convites usando o IdP federado em vez do Microsoft Entra ID. As configurações da ordem de resgate estão disponíveis nas configurações de acesso entre locatários para colaboração B2B de entrada.
  • Não damos mais suporte a uma lista de permitidos de IdPs para novas federações IdP SAML/WS-Fed. Quando você estiver configurando uma nova federação externa, veja a Etapa 1: Determinar se o parceiro precisa atualizar os registros de texto DNS.
  • Na solicitação SAML enviada pelo Microsoft Entra ID para federações externas, a URL do Emissor é um ponto de extremidade locatário. Para novas federações, recomendamos que todos os nossos parceiros definam a audiência do IdP baseado em SAML ou WS-Fed como um ponto de extremidade locatário. Consulte as seções de atributos e declarações obrigatórias SAML 2.0 e WS-Fed. As federações existentes configuradas com o ponto de extremidade global continuarão funcionando, mas novas federações deixarão de funcionar se o IdP externo estiver esperando uma URL do emissor global na solicitação SAML.
  • A limitação de domínio único foi removida. Agora é possível associar vários domínios a uma configuração de federação individual.
  • Removemos a limitação que exigia que o domínio da URL de autenticação coincida com o domínio de destino ou que pertença a um IdP permitido. Para obter detalhes, consulte Etapa 1: determinar se o parceiro precisa atualizar seus registros de texto de DNS.

Quando um usuário convidado é autenticado com a federação do idP do SAML/WS-Fed?

Depois de você configurar a federação com o IdP SAML/WS-Fed de uma organização:

  • Se o domínio com o qual você está federando não for um domínio verificado do Microsoft Entra ID, os novos usuários convidados que você convidar serão autenticados usando esse IdP SAML/WS-Fed.
  • Se o domínio for verificado pelo Microsoft Entra ID, você também precisará definir as configurações de Ordem de resgate nas configurações de acesso entre locatários para colaboração B2B de entrada para priorizar o resgate com o IdP federado. Em seguida, todos os novos usuários convidados que você convidou serão autenticados usando esse IdP SAML/WS-Fed.

É importante observar que a configuração da federação não altera o método de autenticação para usuários convidados que já resgataram um convite enviado por você. Estes são alguns exemplos:

  • Os usuários convidados já resgataram seus convites e, posteriormente, você configurou a federação com o IdP SAML/WS-Fed da organização. Esses usuários convidados continuam usando o mesmo método de autenticação que usaram antes de você configurar a federação.
  • Configure a federação com o IdP SAML/WS-Fed de uma organização e convide usuários convidados. Em seguida, a organização parceira mudará posteriormente para o Microsoft Entra ID. Os usuários convidados que já resgataram os convites continuarão usando o IdP SAML/WS-Fed federado, desde que exista a política de federação do seu locatário.
  • Exclua a federação com o IdP SAML/WS-Fed de uma organização. Qualquer usuário convidado que esteja usando o IdP SAML/WS-Fed não conseguirá entrar.

Em qualquer um desses cenários, você pode atualizar o método de autenticação de um usuário convidado redefinindo seu status de resgate.

A federação do idP do SAML/WS-Fed está vinculada a namespaces de domínio, como contoso.com e fabrikam.com. Ao estabelecer uma federação com o AD FS ou um IdP de terceiros, as organizações associam um ou mais namespaces de domínio a esses IdPs.

Experiência do usuário final

Com a federação do IdP do SAML/WS-Fed, os usuários convidados usam as respectivas contas organizacionais para entrar em seu locatário do Microsoft Entra. Quando eles estão acessando recursos compartilhados e são solicitados a entrar, os usuários são redirecionados para seu IdP. Após a entrada bem-sucedida, eles são redirecionados ao Microsoft Entra para acessar os recursos. Se a sessão do Microsoft Entra expirar ou se tornar inválida e o IdP federado tiver o SSO habilitado, o usuário terá a experiência de SSO. Se a sessão do usuário federado for válida, ele não será solicitado a entrar novamente. Caso contrário, o usuário é redirecionado para seu IdP para entrar.

Pontos de extremidade de entrada

Agora os usuários convidados da federação do IdP do SAML/WS-Fed podem entrar em seus aplicativos multilocatário ou internos da Microsoft usando um ponto de extremidade comum (em outras palavras, uma URL de aplicativo geral que não inclui o contexto do locatário). Durante o processo de entrada, o usuário convidado escolhe Opções de entrada e seleciona Entrar em uma organização. Em seguida, ele digita o nome da sua organização e continua a entrada usando as respectivas credenciais.

Os usuários convidados da federação do IdP do SAML/WS-Fed também podem usar pontos de extremidade de aplicativos que incluam suas informações de locatário, por exemplo:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

Você também pode fornecer aos usuários convidados um link direto para um aplicativo ou recurso incluindo suas informações de locatário, por exemplo, https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Perguntas frequentes

Posso configurar a federação de IdP SAML/WS-Fed com domínios verificados do Microsoft Entra ID?

Sim, você pode configurar a federação do IdP SAML/WS-Fed com outros domínios verificados do Microsoft Entra ID. Isso inclui domínios verificados em que o locatário passou por uma aquisição de administrador. Se o domínio com o qual você está federando for verificado pelo Microsoft Entra ID, você também precisará definir as configurações da Ordem de resgate em suas configurações de acesso entre locatários para colaboração B2B de entrada para garantir que, quando os usuários convidados entrarem, eles resgatem seus convites usando o IdP federado em vez do Microsoft Entra ID.

Atualmente, não há suporte para configurações de ordem de resgate entre nuvens. Se o domínio com o qual você está federando for o Microsoft Entra ID verificado em uma nuvem diferente da Microsoft, o resgate do Microsoft Entra sempre terá precedência.

Posso configurar a federação do idP do SAML/WS-Fed com um domínio para o qual exista um locatário não gerenciado (verificado por email)?

Sim, é possível configurar a federação do IdP do SAML/WS-Fed com os domínios que não são verificados por DNS no Microsoft Entra ID, incluindo locatários do Microsoft Entra não gerenciados (verificados por email ou "virais"). Esses locatários são criados quando um usuário resgata um convite B2B ou executa uma inscrição por autoatendimento para o Microsoft Entra ID usando um domínio que não existe atualmente.

Quantos relacionamentos de federação eu posso criar?

Atualmente, o limite máximo de 1.000 relações de federação é compatível. Esse limite inclui tanto federações internas quando federações do IdP do SAML/WS-Fed.

Posso configurar a federação com vários domínios do mesmo locatário?

Sim, agora há suporte para federações de IdP de SAML/WS-Fed com vários domínios do mesmo locatário.

Preciso renovar o certificado de autenticação quando ele expirar?

Se você especificar a URL de metadados nas configurações do IdP, o Microsoft Entra ID renovará automaticamente o certificado de assinatura quando ele expirar. No entanto, se o certificado for rotacionado por qualquer motivo antes do prazo de expiração, ou se você não fornecer uma URL de metadados, o Microsoft Entra ID não poderá renová-lo. Nesse caso, você precisa atualizar o certificado de assinatura manualmente.

Se a federação do IdP do SAML/WS-Fed e a autenticação de senha de uso único por email estiverem habilitadas, qual método terá precedência?

Quando se estabelece uma federação do IdP do SAML/WS-Fed com uma organização parceira, ela tem precedência sobre a autenticação de senha de uso único por email para novos usuários convidados dessa organização. Se um usuário convidado resgatou um convite usando a autenticação por senha de uso único antes de você configurar a federação de IdP SAML/WS-Fed, ele continuará a usar a autenticação por senha de uso único.

A federação do IdP do SAML/WS-Fed resolve problemas de entrada devidos a uma locação parcialmente sincronizada?

Não, o recurso de senha de uso único por email deve ser usado neste cenário. Uma "locação parcialmente sincronizada" refere-se a um locatário do Microsoft Entra de parceiro no qual as identidades de usuário local não estão totalmente sincronizadas com a nuvem. Um hóspede cuja identidade ainda não existe na nuvem, mas que tenta resgatar seu convite B2B, não conseguirá entrar. O recurso de senha de uso único permitiria que esse convidado entrasse. O recurso de federação do IdP do SAML/WS-Fed aborda os cenários em que o convidado tem sua própria conta institucional gerenciada por IdP, mas não há nenhuma presença do Microsoft Entra na organização.

Quando a federação do IdP do SAML/WS-Fed é configurada em uma organização, é necessário que cada convidado receba um convite individual e resgate esse convite?

Ao chamar novos convidados, você ainda precisa enviar convites ou fornecer links diretos para que os convidados possam concluir as etapas de resgate. Para convidados existentes, você não precisa necessariamente enviar novos convites. Os convidados existentes continuarão usando o método de autenticação utilizado antes da configuração da federação. Se você quiser que esses convidados comecem a usar a federação para autenticação, você pode redefinir o status de resgate. Na próxima vez que acessarem o aplicativo ou usarem o link no convite, eles repetirão o processo de resgate e começarão a usar a federação como método de autenticação.

Há uma forma de enviar uma solicitação assinada para o provedor de identidade SAML?

Atualmente, o recurso de federação SAML/WS-Fed do Microsoft Entra não dá suporte ao envio de um token de autenticação assinado para o provedor de identidade SAML.

Quais permissões são necessárias para configurar um provedor de identidade SAML/Ws-Fed?

Você precisa ser um Administrador do Provedor de Identidade Externo ou um Administrador Global no seu locatário do Microsoft Entra para configurar um provedor de identidade SAML/Ws-Fed.

Etapa 1: determinar se o parceiro precisa atualizar seus registros de texto de DNS

A depender do IdP do parceiro, ele pode precisar atualizar seus registros DNS para habilitar a federação com você. Use as etapas a seguir para determinar se são necessárias atualizações de DNS.

Observação

Não damos mais suporte a uma lista de permitidos de IdPs para novas federações IdP SAML/WS-Fed.

  1. Verifique a URL de autenticação passiva do IdP do parceiro para conferir se o domínio corresponde ao domínio de destino ou a um host dentro do domínio de destino. Em outras palavras, ao configurar a federação para fabrikam.com:

    • Se a ponto de extremidade de autenticação passiva for https://fabrikam.com ou https://sts.fabrikam.com/adfs (um host no mesmo domínio), nenhuma alteração de DNS será necessária.
    • Se o ponto de extremidade de autenticação passiva for https://fabrikamconglomerate.com/adfs ou https://fabrikam.com.uk/adfs, o domínio não corresponde ao domínio fabrikam.com, portanto, o parceiro precisa adicionar um registro de texto para a URL de autenticação à sua configuração DNS.

  2. Se forem necessárias alterações de DNS com base na etapa anterior, peça ao parceiro para adicionar um registro TXT aos registros DNS do domínio do parceiro, como no exemplo a seguir:

    fabrikam.com.  IN   TXT   DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs

Etapa 2: configurar o provedor de identidade da organização parceira

Em seguida, a organização parceira precisa configurar o respectivo provedor de identidade com as declarações e relações de confiança da terceira parte confiável necessárias.

Observação

Para ilustrar como configurar um IdP do SAML/WS-Fed para uma federação, usaremos os Serviços de Federação do Active Directory (AD FS) como exemplo. Confira o artigo Configurar a federação do IdP do SAML/WS-Fed com o AD FS, que fornece exemplos de como configurar o AD FS como um provedor de identidade SAML 2.0 ou WS-Fed em preparação para a federação.

Configuração do SAML 2.0

O Microsoft Entra B2B pode ser configurado para federar com IdPs que usam o protocolo SAML com os requisitos específicos listados nesta seção. Para obter mais informações sobre como configurar uma relação de confiança entre seu IdP SAML e o Microsoft Entra ID, consulte Usar um IdP (provedor de identidade) SAML 2.0 para SSO.

Observação

Você pode configurar a federação do IdP SAML/WS-Fed com outros domínios verificados do Microsoft Entra ID. Confira a seção Perguntas frequentes para obter detalhes.

Atributos e declarações SAML 2.0 necessários

As tabelas a seguir mostram os requisitos para declarações e atributos específicos que devem ser configurados no provedor de identidade de terceiros. Para configurar a federação, os atributos a seguir precisam ser recebidos na resposta SAML 2.0 do IdP. Esses atributos podem ser configurados vinculando ao arquivo XML do serviço de token de segurança online ou inserindo-os manualmente.

Observação

Certifique-se de que o valor corresponda à nuvem para a qual você está configurando a federação externa.

Atributos necessários para a resposta SAML 2.0 do IdP:

Atributo Valor
AssertionConsumerService https://login.microsoftonline.com/login.srf
Público https://login.microsoftonline.com/<tenant ID>/ (Recomendável) Substitua <tenant ID> pela ID de locatário do locatário do Microsoft Entra com o qual você está configurando a federação.

Na solicitação SAML enviada pelo Microsoft Entra ID para federações externas, a URL do Emissor é um ponto de extremidade locatário (por exemplo, https://login.microsoftonline.com/<tenant ID>/). Para novas federações, recomendamos que todos os nossos parceiros definam a audiência do IdP baseado em SAML ou WS-Fed como um ponto de extremidade locatário. As federações existentes configuradas com o ponto de extremidade global (por exemplo, urn:federation:MicrosoftOnline) continuarão funcionando, mas as novas federações deixarão de funcionar se o IdP externo estiver esperando uma URL do emissor global na solicitação SAML enviada pelo Microsoft Entra ID.
Emissor O URI do emissor do IdP do parceiro, por exemplo, http://www.example.com/exk10l6w90DHM0yi...

Declarações necessárias para o token SAML 2.0 emitido pelo IdP:

Nome do atributo Valor
Formato NameID urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress emailaddress

Configuração de WS-Fed

O Microsoft Entra B2B pode ser configurado para federar com IdPs que usam o protocolo WS-Fed. Esta seção discute os requisitos. Atualmente, os dois provedores WS-Fed que foram testados quanto à compatibilidade com o Microsoft Entra ID incluem o AD FS e o Shibboleth. Para obter mais informações sobre como estabelecer um objeto de confiança de terceira parte confiável entre o Microsoft Entra ID e um provedor em conformidade com o WS-Fed, confira o "Documento de integração do STS usando protocolos WS", disponível nos Documentos de compatibilidade do provedor de identidade do Microsoft Entra.

Observação

Você pode configurar a federação do IdP SAML/WS-Fed com outros domínios verificados do Microsoft Entra ID. Confira a seção Perguntas frequentes para obter detalhes.

Atributos e declarações WS-Fed necessários

As tabelas a seguir mostram os requisitos para declarações e atributos específicos que devem ser configurados no provedor de identidade WS-FED de terceiros. Para configurar a federação, os atributos a seguir precisam ser recebidos na mensagem WS-Fed do IdP. Esses atributos podem ser configurados vinculando ao arquivo XML do serviço de token de segurança online ou inserindo-os manualmente.

Observação

Certifique-se de que o valor corresponda à nuvem para a qual você está configurando a federação externa.

Atributos necessários na mensagem WS-Fed do IdP:

Atributo Valor
PassiveRequestorEndpoint https://login.microsoftonline.com/login.srf
Público https://login.microsoftonline.com/<tenant ID>/ (Recomendável) Substitua <tenant ID> pela ID de locatário do locatário do Microsoft Entra com o qual você está configurando a federação.

Na solicitação SAML enviada pelo Microsoft Entra ID para federações externas, a URL do Emissor é um ponto de extremidade locatário (por exemplo, https://login.microsoftonline.com/<tenant ID>/). Para novas federações, recomendamos que todos os nossos parceiros definam a audiência do IdP baseado em SAML ou WS-Fed como um ponto de extremidade locatário. As federações existentes configuradas com o ponto de extremidade global (por exemplo, urn:federation:MicrosoftOnline) continuarão funcionando, mas as novas federações deixarão de funcionar se o IdP externo estiver esperando uma URL do emissor global na solicitação SAML enviada pelo Microsoft Entra ID.
Emissor O URI do emissor do IdP do parceiro, por exemplo, http://www.example.com/exk10l6w90DHM0yi...

Declarações necessárias para o token WS-Fed emitido pelo IdP:

Atributo Valor
ImmutableID http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
emailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Etapa 3: configurar a federação do IdP do SAML/WS-Fed no Microsoft Entra ID

Em seguida, configure a federação com o IdP configurado na etapa 1 no Microsoft Entra ID. Use o centro de administração do Microsoft Entra ou a API do Microsoft Graph. Pode levar de 5 a 10 minutos para a política de federação entrar em vigor. Durante esse tempo, não tente resgatar um convite para o domínio da federação. Os atributos a seguir são obrigatórios:

  • URI do emissor do IdP do parceiro
  • Ponto de extremidade de autenticação passiva do parceiro IdP (apenas https é compatível)
  • Certificado

Para configurar a federação no centro de administração do Microsoft Entra

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador Provedor de identidade externa.

  2. Navegue até Identidade>Identidades Externas>Todos os provedores de identidade.

  3. Selecione Novo SAML/WS-Fed IdP.

    Captura de tela mostrando o botão para adicionar um IdP de SAML ou WS-Fed.

  4. Na página Novo IdP de SAML/WS-Fed, insira o seguinte:

    • Nome de exibição – insira um nome para identificar o IdP do parceiro.
    • Protocolo do provedor de identidade – selecione SAML ou WS-Fed.
    • Nome de domínio do IdP da federação – insira o nome de domínio de destino do IdP do parceiro para federação. Durante essa configuração inicial, insira apenas um nome de domínio. Você pode adicionar mais domínios posteriormente.

    Captura de tela mostrando a nova página do IdP de SAML ou WS-Fed.

  5. Selecione um método para preencher os metadados. É possível inserir metadados manualmente ou, caso você tenha um arquivo com eles, preencher os campos automaticamente selecionando Analisar arquivo de metadados e procurando o arquivo.

    • URI do emissor – o URI do emissor do IdP do parceiro.
    • Ponto de extremidade de autenticação passiva – o ponto de extremidade passivo do solicitante do IdP do parceiro.
    • Certificado – A ID do certificado de autenticação.
    • URL de metadados – o local dos metadados do IdP para a renovação automática do certificado de assinatura.

    Captura de tela mostrando campos de metadados.

    Observação

    A URL de metadados é opcional, no entanto, é altamente recomendável. Se você fornecer a URL de metadados, o Microsoft Entra ID poderá renovar automaticamente o certificado de autenticação quando ele expirar. Se a rotação do certificado for realizada por qualquer motivo antes da hora de expiração ou se você não fornecer uma URL de metadados, o Microsoft Entra ID não poderá renová-lo. Nesse caso, você precisará atualizar o certificado de autenticação manualmente.

  6. Clique em Salvar. O provedor de identidade é adicionado à lista de Provedores de identidade de SAML/WS-Fed.

    Captura de tela mostrando a lista de provedores de identidade de SAML/WS-Fed com a nova entrada.

  7. (Opcional) Para adicionar mais nomes de domínio ao provedor de identidade federada, faça o seguinte:

    1. Selecione o link na coluna Domínios.

      Captura de tela mostrando o link para adicionar domínios ao provedor de identidade de SAML/WS-Fed.

    2. Ao lado de Nome de domínio do IdP de federação, digite o nome do domínio e clique em Adicionar. Repita a etapa para cada domínio que você deseja adicionar. Quando tiver terminado, selecione Concluído.

      Captura de tela mostrando o botão “Adicionar” no painel de detalhes do domínio.

Para configurar a federação usando a API do Microsoft Graph

Você pode usar o tipo de recurso samlOrWsFedExternalDomainFederation da API do Microsoft Graph para configurar a federação com um provedor de identidade que dá suporte ao protocolo SAML ou WS-Fed.

Etapa 4: Configurar a ordem de resgate para domínios verificados do Microsoft Entra ID

Se o domínio for verificado pelo Microsoft Entra ID, defina as configurações de Ordem de resgate nas configurações de acesso entre locatários para colaboração B2B de entrada. Mova os provedores de identidade SAML/WS-Fed para a parte superior da lista de Provedores de identidade primários para priorizar o resgate com o IdP federado.

Observação

As configurações do centro de administração do Microsoft Entra para o recurso de resgate configurável estão sendo distribuídas para os clientes no momento. Até que as configurações estejam disponíveis no centro de administração, você poderá configurar a ordem de resgate de convite usando a API REST do Microsoft Graph (versão beta). Consulte Exemplo 2: Atualizar a configuração de resgate de convite padrão na documentação de referência do Microsoft Graph.

Etapa 5: Testar a federação do IdP SAML/WS-Fed no Microsoft Entra ID

Agora, teste a configuração da federação convidando um novo usuário B2B. Para ver mais detalhes, confira Adicionar usuários de colaboração do Microsoft Entra B2B no centro de administração do Microsoft Entra.

Como atualizar os detalhes do certificado ou da configuração?

Na página Todos os provedores de identidade, você pode exibir a lista de provedores de identidade SAML/WS-Fed que você configurou e as respectivas datas de validade de certificado. Nessa lista, você pode renovar certificados e modificar outros detalhes de configuração.

Captura de tela mostrando um provedor de identidade na lista de SAML/WS-Fed

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador Provedor de identidade externa.

  2. Navegue até Identidade>Identidades Externas>Todos os provedores de identidade.

  3. Em Provedores de identidade de SAML/WS-Fed, role para baixo até um provedor de identidade desejado na lista ou use a caixa de pesquisa.

  4. Como atualizar os detalhes do certificado ou modificar os detalhes da configuração:

    • Na coluna Configuração do provedor de identidade, selecione o link Editar.
    • Na página de configuração, modifique qualquer um dos seguintes detalhes:
      • Nome de exibição – nome de exibição da organização do parceiro.
      • Protocolo do provedor de identidade – selecione SAML ou WS-Fed.
      • Ponto de extremidade de autenticação passiva – o ponto de extremidade passivo do solicitante do IdP do parceiro.
      • Certificado – A ID do certificado de autenticação. Para renová-la, insira uma nova ID de certificado.
      • URL de metadados – a URL que contém os metadados do parceiro, usada para a renovação automática do certificado de autenticação.
    • Selecione Salvar.

    Captura de tela dos detalhes da configuração do IDP.

  5. Para editar os domínios associados ao parceiro, selecione o link na coluna Domínios. No painel de detalhes do domínio, faça o seguinte:

    • Para adicionar um domínio, digite o nome dele ao lado de Nome de domínio do IdP federado e clique em Adicionar. Repita a etapa para cada domínio que você deseja adicionar.
    • Para excluir um domínio, selecione o ícone de exclusão ao lado dele.
    • Quando tiver terminado, selecione Concluído.

    Captura de tela da página de configuração do domínio

    Observação

    Para remover a federação com o parceiro, exclua todos os domínios, exceto um, e siga as etapas na próxima seção.

Como fazer para remover uma federação?

É possível remover a configuração de federação. Se você fizer isso, os usuários convidados da federação que já resgataram seus convites não poderão mais entrar. Mas você pode dar a eles acesso aos seus recursos novamente redefinindo seu status de resgate. Para remover uma configuração de um IdP no centro de administração do Microsoft Entra:

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador Provedor de Identidade Externa.

  2. Navegue até Identidade>Identidades Externas>Todos os provedores de identidade.

  3. Em Provedores de identidade de SAML/WS-Fed, role para baixo até um provedor de identidade desejado na lista ou use a caixa de pesquisa.

  4. Selecione o link na coluna Domínios para exibir os detalhes do domínio do IdP.

  5. Exclua todos os domínios, exceto um, na lista de Nome de domínio.

  6. Selecione Excluir configuração e, em seguida, Concluído.

    Captura de tela da exclusão de uma configuração.

  7. Clique em OK para confirmar a exclusão.

Você também pode remover a federação usando o tipo de recurso samlOrWsFedExternalDomainFederation da API do Microsoft Graph.

Próximas etapas

Saiba mais sobre a experiência de resgate de convite quando usuários externos entram com vários provedores de identidade.