Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: 
Locatários da força de trabalho Locatários externos (saiba mais)
Na força de trabalho do Microsoft Entra e em locatários externos, você pode configurar a federação com outras organizações que usam um IdP (provedor de identidade) SAML ou WS-Fed. Os usuários da organização externa podem usar suas próprias contas gerenciadas por IdP para entrar em seus aplicativos ou recursos, seja durante o resgate de convites ou a inscrição por autoatendimento, sem precisar criar novas credenciais do Microsoft Entra. O usuário é redirecionado para o IdP ao se cadastrar ou fazer login no seu aplicativo e depois retornado ao Microsoft Entra assim que fizer login com êxito.
Você pode associar vários domínios a uma única configuração de federação. O domínio do parceiro pode ser verificado ou não verificado pelo Microsoft Entra.
Configurar a federação de IdP do SAML/WS-Fed exige a configuração tanto na instância quanto no IdP da organização externa. Em alguns casos, o parceiro precisa atualizar seus registros de texto DNS. Eles também precisam atualizar os respectivos IdPs com as declarações necessárias e as relações de confiança de terceira parte confiável.
Autenticação de usuário com federação de IdP do SAML/WS-Fed
Depois de configurar a federação com o IdP do SAML/WS-Fed de um parceiro, os usuários poderão se inscrever ou entrar selecionando a opção Inscrever-se com ou Entrar com. Eles são redirecionados para o provedor de identidade e, em seguida, retornados ao Microsoft Entra assim que entrarem com êxito.
Para locatários externos, o email de entrada de um usuário não precisa corresponder aos domínios predefinidos configurados durante a federação SAML. Se um usuário não tiver uma conta em seu locatário externo e inserir um endereço de email na página de entrada que corresponda a um domínio predefinido em qualquer um dos provedores de identidade externos, ele será redirecionado para autenticar com esse provedor de identidade.
Domínios verificados e não verificados
A experiência de entrada de um usuário depende se o domínio do parceiro é verificado pelo Microsoft Entra.
Domínios não verificados são domínios que não são verificados por DNS na ID do Microsoft Entra. Após a federação, os usuários podem entrar usando suas credenciais do domínio não verificado.
Locatários não gerenciados (verificados por email ou "virais") são criados quando um usuário resgata um convite ou executa a inscrição de autoatendimento para o Microsoft Entra ID usando um domínio que atualmente não existe. Após a federação, os usuários podem entrar usando suas credenciais do locatário não gerenciado.
Os domínios verificados do Microsoft Entra ID são domínios que foram verificados por DNS com o Microsoft Entra, incluindo aqueles nos quais o inquilino passou por uma aquisição por administrador. Após a federação:
- Para inscrição por autoatendimento, os usuários podem usar suas próprias credenciais de domínio.
- Para o resgate de convites, a Microsoft Entra ID continua sendo o IdP principal. Em um ambiente de trabalho, você pode dar prioridade ao IdP federado ao resgatar convites alterando a ordem de resgate.
Observação
Atualmente, não há suporte para alterar a ordem de resgate em locatários externos ou entre diferentes nuvens.
Como a federação afeta os usuários externos atuais
Se um usuário externo já resgatou um convite ou usou a inscrição de autoatendimento, seu método de autenticação não será alterado quando você configurar a federação. Eles continuam usando o método de autenticação original (por exemplo, senha única). Mesmo que um usuário de um domínio não verificado use federação e sua organização se mova posteriormente para o Microsoft Entra, ele continuará usando a federação.
Para colaboração B2B em um locatário empresarial, você não precisa enviar novos convites a usuários existentes porque eles continuam usando seu método atual de entrada. Mas você pode redefinir o status de resgate de um usuário. Na próxima vez que o usuário acessar seu aplicativo, ele repetirá as etapas de resgate e poderá mudar para a federação.
Pontos de extremidade de entrada em locatários da força de trabalho
Quando a federação é configurada no locatário da força de trabalho, os usuários da organização federada podem entrar nos seus aplicativos multilocatário ou internos da Microsoft usando um ponto de extremidade comum (em outras palavras, uma URL de aplicativo geral que não inclua o contexto do locatário). Durante o processo de entrada, o usuário escolhe Opções de entrada e seleciona Entrar em uma organização. Eles digitam o nome da sua organização e continuam entrando usando suas próprias credenciais.
Os usuários da federação de IdP do SAML/WS-Fed também podem usar pontos de extremidade de aplicativos que incluam suas informações de locatário, por exemplo:
https://myapps.microsoft.com/?tenantid=<your tenant ID>https://myapps.microsoft.com/<your verified domain>.onmicrosoft.comhttps://portal.azure.com/<your tenant ID>
Você também pode fornecer aos usuários um link direto para um aplicativo ou recurso, incluindo suas informações de locatário, por exemplo, https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>.
Principais considerações para a federação SAML/WS-Fed
Requisitos de IdP do parceiro
Configurar a federação de IdP do SAML/WS-Fed exige a configuração tanto na instância quanto no IdP da organização externa. A depender do IdP do parceiro, ele pode precisar atualizar seus registros DNS para habilitar a federação com você. Confira Etapa 1: Determinar se o parceiro precisa atualizar os registros de texto de DNS.
O parceiro deve atualizar seu IdP com as declarações necessárias e as relações de confiança de terceira parte confiável. A URL do emissor na solicitação SAML enviada pelo Microsoft Entra ID para federações externas agora é um ponto de extremidade com locatários, enquanto anteriormente era um ponto de extremidade global. As federações existentes com o ponto de extremidade global continuam funcionando. Mas, para novas federações, defina o público-alvo do IdP do SAML ou do WS-Fed externo como um ponto de extremidade com locatários. Consulte a seção SAML 2.0 e a seção WS-Fed para obter os atributos e declarações necessários.
Expiração do certificado de assinatura
Se você especificar a URL de metadados nas configurações do IdP, o Microsoft Entra ID renovará automaticamente o certificado de assinatura quando ele expirar. No entanto, se o certificado for rotacionado por qualquer motivo antes do prazo de expiração, ou se você não fornecer uma URL de metadados, o Microsoft Entra ID não poderá renová-lo. Nesse caso, você precisa atualizar o certificado de assinatura manualmente.
Expiração da sessão
Se a sessão do Microsoft Entra expirar ou se tornar inválida e o IdP federado tiver o SSO habilitado, o usuário terá SSO. Se a sessão do usuário federado for válida, ele não será solicitado a entrar novamente. Caso contrário, o usuário é redirecionado para seu IdP para entrar.
Locação parcialmente sincronizada
A federação não resolve problemas de entrada causados por uma locação parcialmente sincronizada, em que as identidades de usuário local de um parceiro não são totalmente sincronizadas com o Microsoft Entra na nuvem. Esses usuários não podem entrar com um convite B2B; portanto, precisam usar o recurso de senha única por email . O recurso de federação de IdP do SAML/WS-Fed é para parceiros com suas próprias contas organizacionais gerenciadas por IdP, mas sem presença do Microsoft Entra.
Contas de convidado B2B
A federação não substitui a necessidade de contas de convidado B2B no seu diretório. Com a colaboração B2B, uma conta convidado é criada para o usuário no diretório do locatário da força de trabalho, independentemente do método de autenticação ou de federação usado. Esse objeto de usuário permite conceder acesso a aplicativos, atribuir funções e definir a associação em grupos de segurança.
Tokens de autenticação assinados
Atualmente, o recurso de federação SAML/WS-Fed do Microsoft Entra não dá suporte ao envio de um token de autenticação assinado para o provedor de identidade SAML.
Próximas etapas
Adicionar federação com um provedor de identidade SAML/WS-Fed