Поделиться через

Пример. Настройка федерации поставщика удостоверений SAML/WS-Fed с AD FS для совместной работы B2B

  • Статья

Область применения: Зеленый круг с символом белой галочки. клиенты рабочей силы внешниеБелый круг с серым символом X. клиенты (дополнительные сведения)

Примечание.

Прямая федерация в Внешняя идентификация Microsoft Entra теперь называется федерацией поставщика удостоверений SAML/WS-Fed (IdP).

В этой статье описывается, как настроить федерацию с поставщиком удостоверений SAML/WS-Fed с использованием служб федерации Active Directory (AD FS) в качестве поставщика удостоверений SAML 2.0 или WS-Fed. Для поддержки федерации необходимо настроить определенные атрибуты и утверждения в поставщике удостоверений. Чтобы проиллюстрировать настройку поставщика удостоверений для федерации, мы используем службы федерации Active Directory (AD FS) (AD FS) в качестве примера. Мы покажем, как настроить AD FS как поставщик удостоверений SAML, так и как поставщик удостоверений WS-Fed.

Примечание.

В этой статье в качестве примера описывается, как настроить AD FS для SAML и WS-Fed. Для интеграции с федерацией, в которой в качестве поставщика удостоверений выступает AD FS, рекомендуется использовать протокол WS-Fed.

Настройка AD FS для федерации SAML 2.0

Microsoft Entra B2B можно настроить для федерации с поставщиками удостоверений, использующих протокол SAML с определенными требованиями, перечисленными ниже. Чтобы продемонстрировать поэтапную настройку SAML, в этом разделе показывается настройка AD FS для SAML 2.0.

Чтобы настроить федерацию, в ответе SAML 2.0 от поставщика удостоверений должны быть получены указанные ниже атрибуты. Их можно настроить путем связывания с XML-файлом службы токенов безопасности в сети или ввести вручную. На шаге 12 в разделе Создание тестового экземпляра AD FS описывается поиск конечных точек AD FS или создание URL-адреса метаданных, например https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.

Атрибут Значение
AssertionConsumerService https://login.microsoftonline.com/login.srf
Аудитория urn:federation:MicrosoftOnline
Издатель URI издателя IdP партнера, например http://www.example.com/exk10l6w90DHM0yi...

В токене SAML 2.0, выданном поставщиком удостоверений, необходимо настроить следующие утверждения.

Атрибут Значение
NameID Format urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
emailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

В следующем разделе демонстрируется, как настроить необходимые атрибуты и утверждения с использованием AD FS в качестве примера поставщика удостоверений SAML 2.0.

Подготовка к работе

Перед выполнением этой процедуры должен быть настроен и запущен сервер AD FS.

Добавление описания утверждения

  1. На сервере AD FS выберите Инструменты > Управление AD FS.

  2. В области навигации выберите Служба > Описания утверждений.

  3. В разделе Действия выберите Добавить описание утверждения.

  4. В окне Добавить описание утверждения укажите следующие значения.

    • Отображаемое имя — постоянный идентификатор.
    • Идентификатор утверждения — urn:oasis:names:tc:SAML:2.0:nameid-format:persistent.
    • Установите флажок Опубликовать это описание утверждения в метаданных федерации как тип утверждений, которые может принимать данная служба федерации.
    • Установите флажок Опубликовать это описание утверждения в метаданных федерации как тип утверждений, которые может отправлять данная служба федерации.

  5. Нажмите OK.

Добавление отношения доверия с проверяющей стороной

  1. На сервере AD FS перейдите в раздел "Сервис>управления AD FS".

  2. В области навигации выберите Отношения доверия с проверяющей стороной.

  3. В разделе Действия выберите Добавить отношение доверия с проверяющей стороной.

  4. В мастере добавления отношений доверия с проверяющей стороной выберите Поддерживающие утверждения и щелкните Запустить.

  5. В разделе Выбор источника данных установите флажок Импорт данных о проверяющей стороне, опубликованных в Интернете или локальной сети. Укажите URL-адрес метаданных федерации: https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. Выберите Далее.

  6. Для остальных параметров оставьте значения по умолчанию. Продолжайте выбирать Далее, а затем щелкните Закрыть, чтобы закрыть мастер.

  7. В разделе "Управление AD FS" в разделе "Доверие проверяющей стороны" щелкните правой кнопкой мыши только что созданное доверие проверяющей стороны и выберите "Свойства".

  8. На вкладке "Мониторинг" снимите флажок "Монитор проверяющей стороны".

  9. На вкладке "Идентификаторы" введите https://login.microsoftonline.com/<tenant ID>/ текстовое поле идентификатора проверяющей стороны с помощью идентификатора клиента партнера службы Microsoft Entra. Выберите Добавить.

    Примечание.

    Обязательно включите косую черту (/) после идентификатора клиента, например: https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/

  10. Нажмите ОК.

Создание правил утверждений

  1. Щелкните правой кнопкой мыши созданное отношение доверия с проверяющей стороной, а затем выберите Изменить политику выдачи утверждений.

  2. В окне мастера Изменение правил утверждений щелкните Добавить правило.

  3. В разделе Шаблон правила утверждения выберите Отправка атрибутов LDAP как утверждений.

  4. В разделе Настройте правило утверждения укажите следующие значения.

    • Имя правила утверждения — правило для утверждений электронной почты.
    • Хранилище атрибутов — Active Directory.
    • Атрибут LDAP — адреса электронной почты.
    • Тип исходящего утверждения — адрес электронной почты.

  5. Выберите Готово.

  6. Выберите Добавить правило.

  7. В поле Шаблон правила утверждения выберите Преобразовать входящее утверждение и щелкните Далее.

  8. В разделе Настройте правило утверждения укажите следующие значения.

    • Имя правила утверждения — правило преобразования электронной почты.
    • Тип входящего утверждения — адрес электронной почты.
    • Тип исходящего утверждения — идентификатор имени.
    • Формат идентификатора имени исходящего утверждения — постоянный идентификатор.
    • Выберите Передавать все значения требования.

  9. Выберите Готово.

  10. В области Изменение правил утверждений появятся новые правила. Выберите Применить.

  11. Нажмите ОК. Сервер AD FS теперь настроен для федерации с использованием протокола SAML 2.0.

Настройка AD FS для федерации WS-Fed

Microsoft Entra B2B можно настроить для федерации с поставщиками удостоверений, использующих протокол WS-Fed с определенными требованиями, перечисленными ниже. В настоящее время два поставщика WS-Fed были проверены на совместимость с Внешняя идентификация Microsoft Entra включают AD FS и Shibboleth. Здесь мы используем службы федерации Active Directory (AD FS) (AD FS) в качестве примера поставщика удостоверений WS-Fed. Дополнительные сведения о создании доверия проверяющей стороны между поставщиком, соответствующим WS-Fed, с Внешняя идентификация Microsoft Entra, скачайте документы о совместимости поставщика удостоверений Microsoft Entra.

Чтобы настроить федерацию, в сообщении WS-Fed от поставщика удостоверений должны быть получены указанные ниже атрибуты. Их можно настроить путем связывания с XML-файлом службы токенов безопасности в сети или ввести вручную. На шаге 12 в разделе Создание тестового экземпляра AD FS описывается поиск конечных точек AD FS или создание URL-адреса метаданных, например https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.

Атрибут Значение
PassiveRequestorEndpoint https://login.microsoftonline.com/login.srf
Аудитория urn:federation:MicrosoftOnline
Издатель URI издателя IdP партнера, например http://www.example.com/exk10l6w90DHM0yi...

Обязательные утверждения для токена WS-Fed, выданного IdP:

Атрибут Значение
ImmutableID http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
emailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

В следующем разделе демонстрируется, как настроить необходимые атрибуты и утверждения с использованием AD FS в качестве примера поставщика удостоверений WS-Fed.

Подготовка к работе

Перед выполнением этой процедуры должен быть настроен и запущен сервер AD FS.

Добавление отношения доверия с проверяющей стороной

  1. На сервере AD FS выберите Инструменты > Управление AD FS.

  2. В области навигации выберите Отношения доверия > Отношения доверия с проверяющей стороной.

  3. В разделе Действия выберите Добавить отношение доверия с проверяющей стороной.

  4. В мастере добавления доверия проверяющей стороны выберите "Утверждения", а затем нажмите кнопку "Пуск".

  5. В разделе Выбор источника данных выберите элемент Ввод данных о проверяющей стороне вручную и нажмите кнопку Далее.

  6. На странице "Указание отображаемого имени" введите имя в отображаемом имени. При необходимости можно ввести описание для доверия проверяющей стороны в разделе "Заметки ". Выберите Далее.

  7. При необходимости на странице настройки сертификата , если у вас есть сертификат шифрования маркеров, нажмите кнопку "Обзор ", чтобы найти файл сертификата. Выберите Далее.

  8. На странице "Настройка URL-адреса" установите флажок "Включить поддержку пассивного протокола WS-Federation". В разделе URL-адрес пассивного протокола WS-FEDERATION введите следующий URL-адрес: https://login.microsoftonline.com/login.srf

  9. Выберите Далее.

  10. На странице "Настройка идентификаторов" введите следующие URL-адреса и нажмите кнопку "Добавить". Во втором URL-адресе введите идентификатор клиента клиента партнера службы Microsoft Entra.

    • urn:federation:MicrosoftOnline
    • https://login.microsoftonline.com/<tenant ID>/

    Примечание.

    Обязательно включите косую черту (/) после идентификатора клиента, например: https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/

  11. Выберите Далее.

  12. На странице "Выбор политики контроль доступа" выберите политику и нажмите кнопку "Далее".

  13. На странице "Готово к добавлению доверия" просмотрите параметры и нажмите кнопку "Далее", чтобы сохранить сведения о доверии проверяющей стороны.

  14. На странице "Готово" нажмите кнопку "Закрыть". выберите "Доверие проверяющей стороны" и выберите "Изменить политику выдачи утверждений".

Создание правил утверждений

  1. Выберите только что созданное доверие проверяющей стороны, а затем выберите изменить политику выдачи утверждений.

  2. Выберите Добавить правило.

  3. Выберите " Отправить атрибуты LDAP в качестве утверждений" и нажмите кнопку "Далее".

  4. В разделе Настройте правило утверждения укажите следующие значения.

    • Имя правила утверждения — правило для утверждений электронной почты.
    • Хранилище атрибутов — Active Directory.
    • Атрибут LDAP — адреса электронной почты.
    • Тип исходящего утверждения — адрес электронной почты.

  5. Выберите Готово.

  6. В том же окне мастера Изменение правил утверждений щелкните Добавить правило.

  7. Выберите " Отправить утверждения с помощью настраиваемого правила" и нажмите кнопку "Далее".

  8. В разделе Настройте правило утверждения укажите следующие значения.

    • Имя правила утверждения — выдача неизменяемого идентификатора.
    • Настраиваемое правило — c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), query = "samAccountName={0};objectGUID;{1}", param = regexreplace(c.Value, "(?<domain>[^\\]+)\\(?<user>.+)", "${user}"), param = c.Value);.

  9. Выберите Готово.

  10. Нажмите ОК. Сервер AD FS теперь настроен для федерации с использованием протокола WS-Fed.

Следующие шаги

Затем настройте федерацию поставщика удостоверений SAML/WS-Fed в Внешняя идентификация Microsoft Entra в портал Azure или с помощью API Microsoft Graph.