Поделиться через


Создание samlOrWsFedExternalDomainFederation

Пространство имен: microsoft.graph

Важно!

API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.

Создайте новый объект samlOrWsFedExternalDomainFederation .

Этот API доступен в следующих национальных облачных развертываниях.

Глобальная служба Правительство США L4 Правительство США L5 (DOD) Китай управляется 21Vianet

Разрешения

Выберите разрешение или разрешения, помеченные как наименее привилегированные для этого API. Используйте более привилегированное разрешение или разрешения только в том случае, если это требуется приложению. Дополнительные сведения о делегированных разрешениях и разрешениях приложений см. в разделе Типы разрешений. Дополнительные сведения об этих разрешениях см. в справочнике по разрешениям.

Тип разрешения Разрешения с наименьшими привилегиями Более высокие привилегированные разрешения
Делегированные (рабочая или учебная учетная запись) IdentityProvider.ReadWrite.All Недоступно.
Делегированные (личная учетная запись Майкрософт) Не поддерживается. Не поддерживается.
Приложение IdentityProvider.ReadWrite.All Недоступно.

В делегированных сценариях с рабочими или учебными учетными записями вошедшему пользователю должна быть назначена поддерживаемая роль Microsoft Entra или настраиваемая роль с разрешением поддерживаемой роли. Администратор внешнего поставщика удостоверений — это наименее привилегированная роль, поддерживаемая для этой операции.

HTTP-запрос

POST /directory/federationConfigurations/microsoft.graph.samlOrWsFedExternalDomainFederation

Заголовки запросов

Имя Описание
Авторизация Bearer {token}. Обязательно. Дополнительные сведения о проверке подлинности и авторизации.
Content-Type application/json. Обязательно.

Текст запроса

В тексте запроса укажите представление объекта samlOrWsFedExternalDomainFederation в формате JSON.

В следующей таблице перечислены свойства, необходимые при создании samlOrWsFedExternalDomainFederation.

Свойство Тип Описание
displayName String Отображаемое имя поставщика удостоверений на основе SAML/WS-Fed. Унаследовано от identityProviderBase.
issuerUri String URI издателя сервера федерации. Наследуется от samlOrWsFedProvider.
metadataExchangeUri String URI конечной точки обмена метаданными, используемой для проверки подлинности из расширенных клиентских приложений. Наследуется от samlOrWsFedProvider.
passiveSignInUri String URI, на который направляются веб-клиенты при входе в службы Microsoft Entra. Наследуется от samlOrWsFedProvider.
preferredAuthenticationProtocol String Предпочтительный протокол проверки подлинности. Поддерживаемые значения: saml или wsfed. Наследуется от samlOrWsFedProvider.
signingCertificate String Текущий сертификат, используемый для подписи маркеров, передаваемых на платформу удостоверений Майкрософт. Сертификат имеет формат строки в кодировке Base64 общедоступной части сертификата подписи маркера федеративного поставщика удостоверений и должен быть совместим с классом X509Certificate2.

Это свойство используется в следующих сценариях:
  • Значение , если требуется откат за пределами автоматического обновления
  • настраивается новая служба федерации
  • Значение , если новый сертификат подписи маркера отсутствует в свойствах федерации после обновления сертификата службы федерации.


Microsoft Entra ID обновляет сертификаты с помощью процесса автоматической регистрации, в котором пытается получить новый сертификат из метаданных службы федерации за 30 дней до истечения срока действия текущего сертификата. Если новый сертификат недоступен, Microsoft Entra ID ежедневно отслеживает метаданные и обновляет параметры федерации для домена при появлении нового сертификата.

Отклик

В случае успешного 201 Created выполнения этот метод возвращает код отклика и объект samlOrWsFedExternalDomainFederation в теле отклика.

Примеры

Запрос

POST https://graph.microsoft.com/beta/directory/federationConfigurations/microsoft.graph.samlOrWsFedExternalDomainFederation
Content-Type: application/json

{
    "@odata.type": "microsoft.graph.samlOrWsFedExternalDomainFederation",
    "issuerUri": "https://contoso.com/issuerUri",
    "displayName": "contoso display name",
    "metadataExchangeUri": "https://contoso.com/metadataExchangeUri",
    "passiveSignInUri": "https://contoso.com/signin",
    "preferredAuthenticationProtocol": "wsFed",
    "domains": [
        {
            "@odata.type": "microsoft.graph.externalDomainName",
            "id": "contoso.com"
        }
    ],
    "signingCertificate": "MIIDADCCAeigAwIBAgIQEX41y8r6"
}

Отклик

Ниже показан пример отклика.

Примечание. Объект отклика, показанный здесь, может быть сокращен для удобочитаемости.

HTTP/1.1 201 Created
Content-Type: application/json

{
    "id": "3c41f317-9af3-4266-8ccf-26283ceec888",
    "displayName": "contoso display name"
}