Örnek: B2B işbirliği için AD FS ile SAML/WS-Fed IdP federasyonu ayarlama
Şunlar için geçerlidir: 
İş gücü kiracıları
Dış kiracılar (daha fazla bilgi edinin)
Not
Microsoft Entra Dış Kimlik'daki doğrudan federasyon artık SAML/WS-Fed kimlik sağlayıcısı (IdP) federasyonu olarak adlandırılır.
Bu makalede, SAML 2.0 veya WS-Fed IdP olarak Active Directory Federasyon Hizmetleri (AD FS) (AD FS) kullanılarak SAML/WS-Fed IdP federasyonu nasıl ayarlanacağı açıklanmaktadır. Federasyonu desteklemek için, idp'de belirli özniteliklerin ve taleplerin yapılandırılması gerekir. Federasyon için IdP'yi yapılandırmayı göstermek için örnek olarak Active Directory Federasyon Hizmetleri (AD FS) (AD FS) kullanırız. AD FS'yi hem SAML IdP hem de WS-Fed IdP olarak ayarlamayı gösteriyoruz.
Not
Bu makalede, çizim amacıyla hem SAML hem de WS-Fed için AD FS'nin nasıl ayarlanacağı açıklanmaktadır. IdP'nin AD FS olduğu federasyon tümleştirmeleri için protokol olarak WS-Fed kullanmanızı öneririz.
SAML 2.0 federasyonu için AD FS'yi yapılandırma
Microsoft Entra B2B, aşağıda listelenen belirli gereksinimlerle SAML protokolunu kullanan IdP'ler ile federasyon oluşturacak şekilde yapılandırılabilir. SAML yapılandırma adımlarını göstermek için, bu bölümde SAML 2.0 için AD FS'nin nasıl ayarlanacağı gösterilmektedir.
Federasyonu ayarlamak için, IDP'den SAML 2.0 yanıtında aşağıdaki özniteliklerin alınması gerekir. Bu öznitelikler, çevrimiçi güvenlik belirteci hizmeti XML dosyasına bağlanarak veya el ile girilerek yapılandırılabilir. Test AD FS örneği oluşturma başlığındaki 12. adım, AD FS uç noktalarının nasıl bulunacağını veya meta veri URL'nizin nasıl oluşturulacağını açıklar. Örneğinhttps://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.
| Öznitelik | Değer |
|---|---|
| AssertionConsumerService | https://login.microsoftonline.com/login.srf |
| Hedef Kitle | urn:federation:MicrosoftOnline |
| Sertifikayı veren | İş ortağı IdP'sinin veren URI'si, örneğin http://www.example.com/exk10l6w90DHM0yi... |
Aşağıdaki taleplerin IdP tarafından verilen SAML 2.0 belirtecinde yapılandırılması gerekir:
| Öznitelik | Değer |
|---|---|
| NameID Biçimi | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
| emailaddress | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Sonraki bölümde, SAML 2.0 IdP örneği olarak AD FS kullanılarak gerekli özniteliklerin ve taleplerin nasıl yapılandırılma işlemi gösterilmektedir.
Başlamadan önce
Bu yordama başlamadan önce bir AD FS sunucusu zaten ayarlanmış ve çalışıyor olmalıdır.
Talep açıklamasını ekleme
AD FS sunucunuzda Araçlar>AD FS yönetimi'ne tıklayın.
Gezinti bölmesinde Hizmet>Talebi Açıklamaları'nı seçin.
Eylemler'in altında Talep Açıklaması Ekle'yi seçin.
Talep Açıklaması Ekle penceresinde aşağıdaki değerleri belirtin:
- Görünen Ad: Kalıcı Tanımlayıcı
- Talep tanımlayıcısı:
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent - Bu talep açıklamasını federasyon meta verilerinde bu federasyon hizmetinin kabul edebileceği bir talep türü olarak yayımla onay kutusunu seçin.
- Bu talep açıklamasını federasyon meta verilerinde bu federasyon hizmetinin gönderebileceği bir talep türü olarak yayımla onay kutusunu seçin.
Tamam'ı seçin.
Bağlı olan taraf güvenini ekleme
AD FS sunucusunda Araçlar>AD FS Yönetimi'ne gidin.
Gezinti bölmesinde Bağlı Olan Taraf Güvenleri'ni seçin.
Eylemler'in altında Bağlı Olan Taraf Güveni Ekle'yi seçin.
Bağlı Olan Taraf Güveni Ekle sihirbazında Talep kullanan'ı ve ardından Başlat'ı seçin.
Veri Kaynağı Seç bölümünde, Bağlı olan tarafla ilgili verileri çevrimiçi veya yerel ağda içeri aktar onay kutusunu seçin. Şu federasyon meta veri URL'sini girin:
https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. İleri'yi seçin.Diğer ayarları varsayılan seçeneklerinde bırakın. İleri'yi seçmeye devam edin ve son olarak kapat'ı seçerek sihirbazı kapatın.
AD FS Yönetimi'nde, Bağlı Olan Taraf Güvenleri'nin altında, az önce oluşturduğunuz bağlı olan taraf güveni'ne sağ tıklayın ve Özellikler'i seçin.
İzleme sekmesinde bağlı olan tarafı izle kutusunun işaretini kaldırın.
Tanımlayıcılar sekmesinde, hizmet ortağının Microsoft Entra kiracısının kiracı kimliğini kullanarak Bağlı olan taraf tanımlayıcısı metin kutusuna girin
https://login.microsoftonline.com/<tenant ID>/. Ekle'yi seçin.Not
Kiracı kimliğinden sonra eğik çizgi (/) eklediğinizden emin olun, örneğin:
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.Tamam'ı seçin.
Talep kuralları oluşturma
Oluşturduğunuz bağlı olan taraf güvene sağ tıklayın ve ardından Talep Verme İlkesini Düzenle'yi seçin.
Talep Kurallarını Düzenle sihirbazında Kural Ekle'yi seçin.
Talep kuralı şablonunda LDAP Özniteliklerini Talep Olarak Gönder'i seçin.
Talep Kuralını Yapılandır bölümünde aşağıdaki değerleri belirtin:
- Talep kuralı adı: E-posta talep kuralı
- Öznitelik deposu: Active Directory
- LDAP Özniteliği: E-Posta Adresleri
- Giden Talep Türü: E-posta Adresi
Bitir'i seçin.
Kural Ekle'yi seçin.
Talep kuralı şablonunda Gelen Talebi Dönüştür'ü ve ardından İleri'yi seçin.
Talep Kuralını Yapılandır bölümünde aşağıdaki değerleri belirtin:
- Talep kuralı adı: E-posta dönüştürme kuralı
- Gelen talep türü: E-posta Adresi
- Giden talep türü: Ad Kimliği
- Giden ad kimliği biçimi: Kalıcı Tanımlayıcı
- Tüm talep değerlerini geçir'i seçin.
Bitir'i seçin.
Talep Kurallarını Düzenle bölmesinde yeni kurallar gösterilir. Uygula'yı seçin.
Tamam'ı seçin. AD FS sunucusu artık SAML 2.0 protokolü kullanılarak federasyon için yapılandırıldı.
WS-Fed federasyonu için AD FS'yi yapılandırma
Microsoft Entra B2B, aşağıda listelenen belirli gereksinimlerle WS-Fed protokolunu kullanan IdP'ler ile federasyon oluşturacak şekilde yapılandırılabilir. Şu anda iki WS-Fed sağlayıcısı AD FS ve Shibboleth dahil Microsoft Entra Dış Kimlik uyumluluk açısından test edilmiştir. Burada WS-Fed IdP örneği olarak Active Directory Federasyon Hizmetleri (AD FS) (AD FS) kullanıyoruz. Microsoft Entra Dış Kimlik ile WS-Fed uyumlu bir sağlayıcı arasında bağlı olan taraf güveni oluşturma hakkında daha fazla bilgi için Microsoft Entra kimlik sağlayıcısı uyumluluk belgelerini indirin.
Federasyonu ayarlamak için WS-Fed iletisinde IdP'den aşağıdaki özniteliklerin alınması gerekir. Bu öznitelikler, çevrimiçi güvenlik belirteci hizmeti XML dosyasına bağlanarak veya el ile girilerek yapılandırılabilir. Test AD FS örneği oluşturma başlığındaki 12. adım, AD FS uç noktalarının nasıl bulunacağını veya meta veri URL'nizin nasıl oluşturulacağını açıklar. Örneğinhttps://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.
| Öznitelik | Değer |
|---|---|
| PassiveRequestorEndpoint | https://login.microsoftonline.com/login.srf |
| Hedef Kitle | urn:federation:MicrosoftOnline |
| Sertifikayı veren | İş ortağı IdP'sinin veren URI'si, örneğin http://www.example.com/exk10l6w90DHM0yi... |
IdP tarafından verilen WS-Fed belirteci için gerekli talepler:
| Öznitelik | Değer |
|---|---|
| SabitId | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
| emailaddress | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Sonraki bölümde, WS-Fed IdP örneği olarak AD FS kullanılarak gerekli özniteliklerin ve taleplerin nasıl yapılandırılıp yapılandırılması gösterilmektedir.
Başlamadan önce
Bu yordama başlamadan önce bir AD FS sunucusu zaten ayarlanmış ve çalışıyor olmalıdır.
Bağlı olan taraf güvenini ekleme
AD FS sunucusunda Araçlar>AD FS yönetimi'ne gidin.
Gezinti bölmesinde Güven İlişkileri>Bağlı Olan Taraf Güvenleri'ni seçin.
Eylemler'in altında Bağlı Olan Taraf Güveni Ekle'yi seçin.
Bağlı Olan Taraf Güveni Ekle sihirbazında Talep kullanan'ı ve ardından Başlat'ı seçin.
Veri Kaynağı Seç bölümünde Bağlı olan tarafla ilgili verileri el ile girin'i ve ardından İleri'yi seçin.
Görünen Ad Belirtin sayfasında Görünen ad alanına bir ad yazın. İsteğe bağlı olarak Bu bağlı olan taraf güveni için Notlar bölümüne bir açıklama girebilirsiniz. İleri'yi seçin.
İsteğe bağlı olarak, Sertifikayı Yapılandır sayfasında, belirteç şifreleme sertifikanız varsa, bir sertifika dosyasını bulmak için Gözat'ı seçin. İleri'yi seçin.
URL'yi Yapılandır sayfasında WS-Federasyon Pasif protokolü desteğini etkinleştir onay kutusunu seçin. Bağlı olan taraf WS-Federasyon Pasif protokolü URL'si altında aşağıdaki URL'yi girin:
https://login.microsoftonline.com/login.srfİleri'yi seçin.
Tanımlayıcıları Yapılandır sayfasında aşağıdaki URL'leri girin ve Ekle'yi seçin. İkinci URL'de hizmet ortağının Microsoft Entra kiracısının kiracı kimliğini girin.
urn:federation:MicrosoftOnlinehttps://login.microsoftonline.com/<tenant ID>/
Not
Kiracı kimliğinden sonra eğik çizgi (/) eklediğinizden emin olun, örneğin:
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.İleri'yi seçin.
Erişim Denetimi İlkesi Seç sayfasında bir ilke seçin ve ardından İleri'yi seçin.
Güven Eklemeye Hazır sayfasında ayarları gözden geçirin ve ardından bağlı olan taraf güven bilgilerinizi kaydetmek için İleri'yi seçin.
Son sayfasında Kapat'ı seçin. Bağlı Olan Taraf Güveni'ni seçin ve Talep Verme İlkesini Düzenle'yi seçin.
Talep kuralları oluşturma
Yeni oluşturduğunuz Bağlı Olan Taraf Güveni'ni ve ardından Talep Verme İlkesini Düzenle'yi seçin.
Kural ekle'yi seçin.
LDAP Özniteliklerini Talep Olarak Gönder'i ve ardından İleri'yi seçin.
Talep Kuralını Yapılandır bölümünde aşağıdaki değerleri belirtin:
- Talep kuralı adı: E-posta talep kuralı
- Öznitelik deposu: Active Directory
- LDAP Özniteliği: E-Posta Adresleri
- Giden Talep Türü: E-posta Adresi
Bitir'i seçin.
Aynı Talep Kurallarını Düzenle sihirbazında Kural Ekle'yi seçin.
Özel Kural Kullanarak Talep Gönder'i ve ardından İleri'yi seçin.
Talep Kuralını Yapılandır bölümünde aşağıdaki değerleri belirtin:
- Talep kuralı adı: Sabit kimlik sorunu
- Özel kural:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), query = "samAccountName={0};objectGUID;{1}", param = regexreplace(c.Value, "(?<domain>[^\\]+)\\(?<user>.+)", "${user}"), param = c.Value);
Bitir'i seçin.
Tamam'ı seçin. AD FS sunucusu artık WS-Fed kullanılarak federasyon için yapılandırıldı.
Sonraki adımlar
Ardından Azure portalında veya Microsoft Graph API'sini kullanarak Microsoft Entra Dış Kimlik SAML/WS-Fed IdP federasyonu yapılandıracaksınız.