Exemplo: Configurar a federação de IdP SAML/WS-Fed com o AD FS para colaboração B2B

Aplica-se a: Locatários da força de trabalho (saiba mais)

Observação

A federação direta no Microsoft Entra External ID agora é chamada de federação do provedor de identidade (IdP) SAML/WS-Fed.

Esse artigo descreve como configurar a federação SAML/WS-Fed IdP usando os Serviços de Federação do Active Directory (AD FS) como um SAML 2.0 ou WS-Fed IdP. Para dar suporte à federação, certos atributos e declarações devem ser configurados no IdP. Para ilustrar como configurar um IdP para federação, usamos os Serviços de Federação do Active Directory (AD FS) como exemplo. Mostramos como configurar o AD FS tanto como IdP SAML quanto como IdP WS-Fed.

Observação

Esse artigo descreve como configurar o AD FS para SAML e WS-Fed para fins ilustrativos. Para integrações de federação em que o IdP é o AD FS, recomendamos usar o WS-Fed como protocolo.

Configurar AD FS para federação SAML 2.0

O Microsoft Entra B2B pode ser configurado para federar com IdPs que usam o protocolo SAML com os requisitos específicos listados abaixo. Para ilustrar as etapas de configuração do SAML, esta seção mostra como configurar o AD FS para o SAML 2.0.

Para configurar a federação, os atributos a seguir precisam ser recebidos na resposta SAML 2.0 do IdP. Esses atributos podem ser configurados vinculando ao arquivo XML do serviço de token de segurança online ou inserindo-os manualmente. A etapa 12 emCriar uma instância de teste dos Serviços de Federação do Active Directory (AD FS)descreve como localizar os pontos de extremidade dos Serviços de Federação do Active Directory (AD FS) ou como gerar a URL de metadados, por exemplo https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.

Atributo	Valor
AssertionConsumerService	https://login.microsoftonline.com/login.srf
Público	urn:federation:MicrosoftOnline
Emissor	O URI do emissor do IdP do parceiro, por exemplo http://www.example.com/exk10l6w90DHM0yi...

As seguintes declarações precisam ser configuradas no token SAML 2.0 emitido pelo IdP:

Atributo	Valor
Formato NameID	urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	O endereço de email do usuário

A próxima seção ilustra como configurar os atributos e declarações necessários por meio dos AD FS como um exemplo de um IdP do SAML 2.0.

Antes de começar

Um servidor dos Serviços de Federação do Active Directory (AD FS) já deve estar configurado e funcionando antes de você iniciar este procedimento.

Adicionar uma descrição da declaração

1. No servidor dos Serviços de Federação do Active Directory (AD FS),selecioneFerramentas>gerenciamento dos Serviços de Federação do Active Directory (AD FS) .

2. No painel de navegação, selecione Serviço>Descrições de Solicitações.

3. EmAções,selecioneAdicionar Descrição da Declaração.

4. Na janelaAdicionar uma Descrição da Declaração, especifique os seguintes valores:

   • Nome de Exibição: Identificador Persistente
   • Identificador da Reclamaçãourn:oasis:names:tc:SAML:2.0:nameid-format:persistent
   • Selecione a caixa de seleção para Publicar essa descrição de reivindicação nos metadados da federação como um tipo de reivindicação que este serviço de federação pode aceitar.
   • Selecione a caixa de seleção para Publicar essa descrição de reivindicação nos metadados da federação como um tipo de reivindicação que esse serviço de federação pode enviar.

5. Selecione OK.

Adicionar a parte confiável

1. No servidor dos Serviços de Federação do Active Directory (AD FS),vá paraFerramentas>Gerenciamento dos Serviços de Federação do Active Directory (AD FS).

2. No painel de navegação, selecione Confiança de Partes Confiáveis.

3. Em Ações, selecione Adicionar Confiança de Terceiros.

4. No assistente Adicionar Confiança de Parte Confiável, selecione Reivindicações cientes e, em seguida, selecione Iniciar.

5. Na seção Selecionar Fonte de Dados, marque a caixa de seleção Importar dados sobre a terceira parte confiável publicados online ou em uma rede local. Indique este URL de metadados da Federação: https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. Selecione Avançar.

6. Deixe as outras configurações em suas opções padrão. Continue selecionando Avançar e, por fim, selecione Fechar para fechar o assistente.

7. No AD FS Management, em Relying Party Trusts, clique com o botão direito do mouse no trust da parte confiável que você acabou de criar e selecione Propriedades.

8. Na guia Monitoramento, desmarque a caixa Monitorar terceira parte confiável.

9. Na guia Identificadores, insira https://login.microsoftonline.com/<tenant ID>/ na caixa de texto Identificador da parte confiável usando a ID do locatário do Microsoft Entra do parceiro de serviço. Selecione Adicionar.

   Observação

   Certifique-se de incluir uma barra (/) após a ID do inquilino, por exemplo: https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.

10. Selecione OK.

Criar regras de declarações

1. Clique com o botão direito do mouse no trust da parte confiável que você criou e selecione Editar política de emissão de reivindicação.

2. No assistente Editar Regras da Declaração, selecione Adicionar Regra.

3. Em Modelo de regra de declaração, selecione Enviar atributos do LDAP como declarações.

4. EmConfigurar Regra de Declaração,especifique os seguintes valores:

   • Nome da regra de reivindicação: Regra de reivindicação de email
   • Armazenamento de Atributos: Active Directory
   • Atributo LDAP: Endereços de e-mail
   • Tipo de reclamação de saída: Endereço de email

5. Selecione Concluir.

6. Selecione Adicionar Regra.

7. Em modelo de regra de declaração, selecione transformar uma declaração de entradae, em seguida, selecione Avançar.

8. EmConfigurar Regra de Declaração,especifique os seguintes valores:

   • Nome da regra de reivindicação: Regra de transformação de email
   • Tipo de reivindicação de entrada: Endereço de e-mail
   • Tipo de reivindicação de saída: Nome ID
   • Arquivo de formato da ID do nome de saída: Identificador Persistente
   • Selecione Passar por todos os valores de reivindicação.

9. Selecione Concluir.

10. O painel Editar regras de declaração mostra as novas regras. Escolha Aplicar.

11. Selecione OK. O servidor dos AD FS agora está configurado para a federação por meio do protocolo SAML 2.0.

Configurar AD FS para federação WS-Fed

O Microsoft Entra B2B pode ser configurado para federar com os IdPs que usam o protocolo WS-Fed com os requisitos específicos listados abaixo. Atualmente, os dois provedores WS-Fed que foram testados quanto à compatibilidade com a ID externa do Microsoft Entra incluem o AD FS e o Shibboleth. Aqui, usamos os Serviços de Federação do Active Directory (AD FS) como exemplo do IdP do WS-Fed. Para obter mais informações sobre como estabelecer uma confiança de terceira parte entre um provedor em conformidade com o WS-Fed e a ID externa do Microsoft Entra, baixe a documentação de compatibilidade do provedor de identidade da Microsoft Entra.

Para configurar a federação, os atributos a seguir precisam ser recebidos na mensagem WS-Fed do IdP. Esses atributos podem ser configurados vinculando ao arquivo XML do serviço de token de segurança online ou inserindo-os manualmente. A etapa 12 emCriar uma instância de teste dos Serviços de Federação do Active Directory (AD FS)descreve como localizar os pontos de extremidade dos Serviços de Federação do Active Directory (AD FS) ou como gerar a URL de metadados, por exemplo https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.

Atributo	Valor
PassiveRequestorEndpoint	https://login.microsoftonline.com/login.srf
Público	urn:federation:MicrosoftOnline
Emissor	O URI do emissor do IdP do parceiro, por exemplo http://www.example.com/exk10l6w90DHM0yi...

Declarações necessárias para o token WS-Fed emitido pelo IdP:

Atributo	Valor
Identificador Imutável (ImmutableID)	http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
endereço de email	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

A próxima seção ilustra como configurar os atributos e declarações necessários usando o AD FS como um exemplo de um IdP WS-Fed.

Antes de começar

Um servidor dos Serviços de Federação do Active Directory (AD FS) já deve estar configurado e funcionando antes de você iniciar este procedimento.

Adicionar a parte confiável

1. No servidor dos Serviços de Federação do Active Directory (AD FS), vá para Ferramentas>Gerenciamento dos Serviços de Federação do Active Directory (AD FS).

2. No painel de navegação, selecione Relações de Confiança>Confianças de Terceiros Confiáveis.

3. Em Ações, selecione Adicionar Confiança de Terceiros.

4. No assistente Adicionar Relying Party Trust, selecione Reclamações cientes e, em seguida, selecione Iniciar.

5. Na seção Selecionar Fonte de Dados, selecione Inserir dados sobre a terceira parte confiável manualmente e selecione Avançar.

6. Na página Especificar Nome de Exibição, digite um nome em Nome de Exibição. Opcionalmente, você pode inserir uma descrição para essa parte confiável na seção Notas. Selecione Avançar.

7. Opcionalmente, na página Configurar Certificado, se você tiver um certificado de criptografia de tokens, selecione Procurar para localizar um arquivo de certificado. Selecione Avançar.

8. Na página Configurar URL, marque a caixa de seleção Habilitar suporte para o protocolo Passivo do Web Services Federation. Em URL do protocolo passivo WS-Federation da parte confiável, insira o seguinte URL: https://login.microsoftonline.com/login.srf

9. Selecione Avançar.

10. Na página Configurar Identificadores, insira as URLs a seguir e selecione Adicionar. Na segunda URL, insira o ID do locatário do Microsoft Entra do parceiro de serviço.

    • urn:federation:MicrosoftOnline
    • https://login.microsoftonline.com/<tenant ID>/

    Observação

    Certifique-se de incluir uma barra (/) após a ID do inquilino, por exemplo: https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.

11. Selecione Avançar.

12. Na página Escolher Política de Controle de Acesso, selecione uma política e, em seguida, clique em Avançar.

13. Na página Pronto para Adicionar Relação de Confiança, examine as configurações e, em seguida, clique em Avançar para salvar as informações de sua relação de confiança de terceira parte confiável.

14. Na página Concluir, selecione Fechar. selecione Relying Party Trust e selecione Editar Política de Emissão de Reivindicações.

Criar regras de declarações

1. Selecione o Relying Party Trust que você acabou de criar e, em seguida, selecione Editar política de emissão de reivindicação.

2. Selecione Adicionar regra.

3. Selecione Enviar Atributos LDAP como Declarações e, em seguida, selecione Avançar.

4. EmConfigurar Regra de Declaração,especifique os seguintes valores:

   • Nome da regra de reivindicação: Regra de reivindicação de email
   • Armazenamento de Atributos: Active Directory
   • Atributo LDAP: Endereços de e-mail
   • Tipo de reclamação de saída: Endereço de email

5. Selecione Concluir.

6. No mesmo assistente Editar regras de reivindicação, selecione Adicionar regra.

7. Selecione Enviar Declarações Usando uma Regra Personalizada e, em seguida, selecione Avançar.

8. EmConfigurar Regra de Declaração,especifique os seguintes valores:

   • Nome da regra de reivindicação: ID imutável do problema
   • Regra personalizadac:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), query = "samAccountName={0};objectGUID;{1}", param = regexreplace(c.Value, "(?<domain>[^\\]+)\\(?<user>.+)", "${user}"), param = c.Value);

9. Selecione Concluir.

10. Selecione OK. O servidor dos AD FS agora está configurado para a federação com o WS-Fed.

Próximas etapas

Em seguida, configure a federação de IdP SAML/WS-Fed no Microsoft Entra External ID no portal do Azure ou usando a API do Microsoft Graph.