Поделиться через

Создание internalDomainFederation

Пространство имен: microsoft.graph

Создайте объект internalDomainFederation .

Этот API доступен в следующих национальных облачных развертываниях.

Глобальная служба Правительство США L4 Правительство США L5 (DOD) Китай управляется 21Vianet

Разрешения

Выберите разрешение или разрешения, помеченные как наименее привилегированные для этого API. Используйте более привилегированное разрешение или разрешения только в том случае, если это требуется приложению. Дополнительные сведения о делегированных разрешениях и разрешениях приложений см. в разделе Типы разрешений. Дополнительные сведения об этих разрешениях см. в справочнике по разрешениям.

Тип разрешения Разрешения с наименьшими привилегиями Более высокие привилегированные разрешения
Делегированные (рабочая или учебная учетная запись) Domain-InternalFederation.ReadWrite.All Domain.ReadWrite.All
Делегированные (личная учетная запись Майкрософт) Не поддерживается. Не поддерживается.
Приложение Domain-InternalFederation.ReadWrite.All Domain.ReadWrite.All

Важно!

Чтобы обновить свойство authenticationType , вызывающему приложению должно быть назначено разрешение Domain-InternalFederation.ReadWrite.All .

В делегированных сценариях с рабочими или учебными учетными записями вошедшему пользователю должна быть назначена поддерживаемая роль Microsoft Entra или настраиваемая роль с разрешением поддерживаемой роли. Для этой операции поддерживаются следующие роли с наименьшими привилегиями.

  • Администратор доменных имен
  • Администратор внешнего поставщика удостоверений
  • Администратор гибридных удостоверений
  • Администратор безопасности

HTTP-запрос

POST /domains/{domainsId}/federationConfiguration

Заголовки запросов

Имя Описание
Авторизация Bearer {token}. Обязательно. Дополнительные сведения о проверке подлинности и авторизации.
Content-Type application/json. Обязательно.

Текст запроса

В тексте запроса укажите представление объекта internalDomainFederation в формате JSON.

При создании internalDomainFederation можно указать следующие свойства.

Свойство Тип Описание
displayName String Отображаемое имя федеративного поставщика удостоверений.
issuerUri String URI издателя сервера федерации.
metadataExchangeUri String URI конечной точки обмена метаданными, используемой для проверки подлинности из расширенных клиентских приложений.
signingCertificate String Текущий сертификат, используемый для подписывания маркеров, переданных платформа удостоверений Майкрософт. Сертификат имеет формат строки в кодировке Base 64 общедоступной части сертификата подписи маркера федеративного поставщика удостоверений и должен быть совместим с классом X509Certificate2.
Это свойство используется в следующих сценариях:
  • Если требуется откат за пределами автоматического обновления
  • Настраивается новая служба федерации
  • Если новый сертификат подписи маркера отсутствует в свойствах федерации после обновления сертификата службы федерации.
    Microsoft Entra ID обновляет сертификаты с помощью процесса автоматической переключения, в котором пытается получить новый сертификат из метаданных службы федерации за 30 дней до истечения срока действия текущего сертификата. Если новый сертификат недоступен, Microsoft Entra ID ежедневно отслеживает метаданные и обновляет параметры федерации для домена при появлении нового сертификата.
    		•
    passiveSignInUri String URI, на который направляются веб-клиенты при входе в службы Microsoft Entra.
    preferredAuthenticationProtocol authenticationProtocol Предпочтительный протокол проверки подлинности. Этот параметр должен быть явно настроен, чтобы поток пассивной проверки подлинности федерации работал. Допустимые значения: wsFed, saml, unknownFutureValue.
    activeSignInUri String URL-адрес конечной точки, используемой активными клиентами при проверке подлинности с федеративными доменами, настроенными для единого входа в Microsoft Entra ID. Соответствует свойству ActiveLogOnUriкомандлета PowerShell Set-EntraDomainFederationSettings.
    signOutUri String URI, на который перенаправляются клиенты при выходе из Microsoft Entra служб. Соответствует свойству LogOffUriкомандлета PowerShell Set-EntraDomainFederationSettings.
    promptLoginBehavior promptLoginBehavior Задает предпочтительное поведение для запроса на вход. Допустимые значения: translateToFreshPasswordAuthentication, nativeSupport, disabled, unknownFutureValue.
    isSignedAuthenticationRequestRequired Логический Если задано значение true, то при отправке запросов на проверку подлинности SAML федеративной поставщику удостоверений SAML Microsoft Entra ID подписывает эти запросы с помощью ключа подписи OrgID. Если задано значение false (по умолчанию), запросы проверки подлинности SAML, отправленные федеративным поставщику удостоверений, не подписываются.
    nextSigningCertificate String Резервный сертификат для подписи маркеров, который используется для подписи маркеров по истечении срока действия основного сертификата подписи. Отформатированные как строки в кодировке Base 64 общедоступной части сертификата подписи маркера федеративного поставщика удостоверений. Должен быть совместим с классом X509Certificate2. Как и в случае с подписьюCertificate, свойство nextSigningCertificate используется, если требуется откат вне обновления автоматической перенаправки, настраивается новая служба федерации или если новый сертификат подписи маркера отсутствует в свойствах федерации после обновления сертификата службы федерации.
    signingCertificateUpdateStatus signingCertificateUpdateStatus Предоставляет состояние и метку времени последнего обновления сертификата подписи.
    federatedIdpMfaBehavior federatedIdpMfaBehavior Определяет, принимает ли Microsoft Entra ID MFA, выполняемую федеративным поставщиком удостоверений, когда федеративный пользователь обращается к приложению, управляемому политикой условного доступа, требующей многофакторной проверки подлинности. Допустимые значения: acceptIfMfaDoneByFederatedIdp, enforceMfaByFederatedIdp, rejectMfaByFederatedIdp, unknownFutureValue. Дополнительные сведения см. в разделе Значения federatedIdpMfaBehavior.

    Значения federatedIdpMfaBehavior

    Member Описание
    acceptIfMfaDoneByFederatedIdp Microsoft Entra ID принимает MFA, выполняемую федеративными поставщиками удостоверений. Если федеративный поставщик удостоверений не выполнил MFA, Microsoft Entra ID выполняет MFA.
    enforceMfaByFederatedIdp Microsoft Entra ID принимает MFA, выполняемую федеративными поставщиками удостоверений. Если федеративный поставщик удостоверений не выполнил MFA, он перенаправляет запрос федеративного поставщика удостоверений для выполнения MFA.
    rejectMfaByFederatedIdp Microsoft Entra ID всегда выполняет MFA и отклоняет MFA, выполняемую поставщиком федеративных удостоверений.

    Примечание.

    federatedIdpMfaBehavior — это усовершенствованая версия свойства SupportsMfaкомандлета PowerShell Set-EntraDomainFederationSettings.

    • Переключение между federatedIdpMfaBehavior и SupportsMfa не поддерживается.
    • Если задано свойство federatedIdpMfaBehavior, Microsoft Entra ID игнорирует параметр SupportsMfa.
    • Если свойство federatedIdpMfaBehavior никогда не задано, Microsoft Entra ID продолжит учитывать параметр SupportsMfa.
    • Если ни federatedIdpMfaBehavior, ни SupportsMfa не заданы, Microsoft Entra ID по умолчанию будет использоваться acceptIfMfaDoneByFederatedIdp поведение.

    Отклик

    В случае успешного выполнения этот метод возвращает код отклика 201 Created и объект internalDomainFederation в теле отклика.

    Примеры

    Запрос

    POST https://graph.microsoft.com/v1.0/domains/contoso.com/federationConfiguration
Content-Type: application/json

{
  "@odata.type": "#microsoft.graph.internalDomainFederation",
  "displayName": "Contoso",
  "issuerUri": "http://contoso.com/adfs/services/trust",
  "metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
  "signingCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
  "passiveSignInUri": "https://sts.contoso.com/adfs/ls",
  "preferredAuthenticationProtocol": "wsFed",
  "activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
  "signOutUri": "https://sts.contoso.com/adfs/ls",
  "promptLoginBehavior": "nativeSupport",
  "isSignedAuthenticationRequestRequired": true,
  "nextSigningCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
  "federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}

    Отклик

    Примечание. Объект отклика, показанный здесь, может быть сокращен для удобочитаемости.

    HTTP/1.1 201 Created
Content-Type: application/json

{
  "@odata.type": "#microsoft.graph.internalDomainFederation",
  "id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
   "displayName": "Contoso",
   "issuerUri": "http://contoso.com/adfs/services/trust",
   "metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
   "signingCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
   "passiveSignInUri": "https://sts.contoso.com/adfs/ls",
   "preferredAuthenticationProtocol": "wsFed",
   "activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
   "signOutUri": "https://sts.contoso.com/adfs/ls",
   "promptLoginBehavior": "nativeSupport",
   "isSignedAuthenticationRequestRequired": true,
   "nextSigningCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
   "signingCertificateUpdateStatus": {
        "certificateUpdateResult": "Success",
        "lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
    },
   "federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}
    • Last updated on