Aracılığıyla paylaş

Örnek: B2B işbirliği için AD FS ile SAML/WS-Fed IdP federasyonu ayarlama

Şunlar için geçerlidir: Aşağıdaki içeriğin iş gücü kiracıları için geçerli olduğunu gösteren beyaz onay işareti simgesine sahip yeşil daire. İş gücü kiracıları (daha fazla bilgi edinin)

Not

Microsoft Entra Dış Kimlik'daki doğrudan federasyon artık SAML/WS-Fed kimlik sağlayıcısı (IdP) federasyonu olarak adlandırılır.

Bu makalede, SAML 2.0 veya WS-Fed IdP olarak Active Directory Federasyon Hizmetleri (AD FS) (AD FS) kullanılarak SAML/WS-Fed IdP federasyonu nasıl ayarlanacağı açıklanmaktadır. Federasyonu desteklemek için, idp'de belirli özniteliklerin ve taleplerin yapılandırılması gerekir. Federasyon için IdP'yi yapılandırmayı göstermek amacıyla, örnek olarak Active Directory Federasyon Hizmetleri (AD FS) kullanıyoruz. AD FS'yi hem SAML IdP hem de WS-Fed IdP olarak ayarlamayı gösteriyoruz.

Not

Bu makalede, çizim amacıyla hem SAML hem de WS-Fed için AD FS'nin nasıl ayarlanacağı açıklanmaktadır. IdP'nin AD FS olduğu federasyon tümleştirmeleri için protokol olarak WS-Fed kullanmanızı öneririz.

SAML 2.0 federasyonu için AD FS'yi yapılandırma

Microsoft Entra B2B, aşağıda listelenen belirli gereksinimlerle SAML protokolunu kullanan IdP'ler ile federasyon oluşturacak şekilde yapılandırılabilir. SAML yapılandırma adımlarını göstermek için, bu bölümde SAML 2.0 için AD FS'nin nasıl ayarlanacağı gösterilmektedir.

Federasyonu ayarlamak için, IDP'den SAML 2.0 yanıtında aşağıdaki özniteliklerin alınması gerekir. Bu öznitelikler, çevrimiçi güvenlik belirteci hizmeti XML dosyasına bağlanarak veya el ile girilerek yapılandırılabilir. Test AD FS örneği oluşturma başlığındaki 12. adım, AD FS uç noktalarının nasıl bulunacağını veya meta veri URL'nizin nasıl oluşturulacağını açıklar. Örneğinhttps://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.

Öznitelik Değer
Assertion Tüketici Hizmeti https://login.microsoftonline.com/login.srf
İzleyici urn:federation:MicrosoftOnline
Sertifikayı veren İş ortağı IdP'sinin veren URI'si, örneğin http://www.example.com/exk10l6w90DHM0yi...

Aşağıdaki taleplerin IdP tarafından verilen SAML 2.0 belirtecinde yapılandırılması gerekir:

Öznitelik Değer
NameID Biçimi urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress Kullanıcının e-posta adresi

Sonraki bölümde, SAML 2.0 IdP örneği olarak AD FS kullanılarak gerekli özniteliklerin ve taleplerin nasıl yapılandırılma işlemi gösterilmektedir.

Başlamadan önce

Bu yordama başlamadan önce bir AD FS sunucusu zaten ayarlanmış ve çalışıyor olmalıdır.

Talep açıklamasını ekleme

  1. AD FS sunucunuzda Araçlar

  2. Gezinti bölmesinde Hizmet

  3. Eylemler'in altında Talep Açıklaması Ekle'yi seçin.

  4. Talep Açıklaması Ekle penceresinde aşağıdaki değerleri belirtin:

    • Görünen Ad: Kalıcı Tanımlayıcı
    • Talep tanımlayıcısı: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
    • Bu talep açıklamasını federasyon meta verilerinde bu federasyon hizmetinin kabul edebileceği bir talep türü olarak yayımla onay kutusunu seçin.
    • Bu talep açıklamasını federasyon meta verilerinde bu federasyon hizmetinin gönderebileceği bir talep türü olarak yayımla onay kutusunu seçin.

  5. Tamam'ı seçin.

Güvenen taraf güvenini ekle

  1. AD FS sunucusunda Araçlargidin.

  2. Gezinti bölmesinde Bağlanan Taraf Güvenleri'ni seçin.

  3. Eylemler altında Bağımlı Taraf Güveni Ekle'yi seçin.

  4. Bağlı Olan Taraf Güveni Ekle sihirbazında, Talep kullanan'ı seçin ve ardından Başlat'ı seçin.

  5. Veri Kaynağı Seç bölümünde, çevrimiçi veya yerel ağda yayınlanmış Bağlı taraf hakkında verileri içeri aktar onay kutusunu seçin. Şu federasyon meta veri URL'sini girin: https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. İleri'yi seçin.

  6. Diğer ayarları varsayılan seçeneklerinde bırakın. İleri'yi seçmeye devam edin ve son olarak kapat'ı seçerek sihirbazı kapatın.

  7. AD FS Yönetimi'nde, Bağlı Olan Taraf Güvenleri'nin altında, az önce oluşturduğunuz bağlı olan taraf güveni'ne sağ tıklayın ve Özellikler'i seçin.

  8. İzleme sekmesinde, Bağlı tarafı izle kutusunun işaretini kaldırın.

  9. Tanımlayıcılar sekmesinde, hizmet ortağının https://login.microsoftonline.com/<tenant ID>/ metin kutusuna girin. Ekle'yi seçin.

    Not

    Kiracı kimliğinden sonra eğik çizgi (/) eklediğinizden emin olun, örneğin: https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.

  10. Tamam'ı seçin.

Talep kuralları oluşturma

  1. Oluşturduğunuz güvenilen taraf ilişkisine sağ tıklayın ve ardından Talep Yayınlama İlkesini Düzenle'yi seçin.

  2. Talep Kurallarını Düzenle sihirbazında Kural Ekle'yi seçin.

  3. Talep kuralı şablonunda LDAP Özniteliklerini Talep Olarak Gönder'i seçin.

  4. Talep Kuralını Yapılandır bölümünde aşağıdaki değerleri belirtin:

    • Talep kuralı adı: E-posta talep kuralı
    • Öznitelik deposu: Active Directory
    • LDAP Özniteliği: E-Posta Adresleri
    • Giden Talep Türü: E-posta Adresi

  5. Bitir'i seçin.

  6. Kural Ekle'yi seçin.

  7. Talep kuralı şablonunda Gelen Talebi Dönüştür'ü ve ardından İleri'yi seçin.

  8. Talep Kuralını Yapılandır bölümünde aşağıdaki değerleri belirtin:

    • Talep kuralı adı: E-posta dönüştürme kuralı
    • Gelen talep türü: E-posta Adresi
    • Giden talep türü: Ad Kimliği
    • Gönderilen ad ID biçimi: Kalıcı Tanımlayıcı
    • Tüm talep değerlerini geçir'i seçin.

  9. Bitir'i seçin.

  10. Talep Kurallarını Düzenle bölmesinde yeni kurallar gösterilir. Uygula'yı seçin.

  11. Tamam'ı seçin. AD FS sunucusu artık SAML 2.0 protokolü kullanılarak federasyon için yapılandırıldı.

WS-Fed federasyonu için AD FS'yi yapılandırma

Microsoft Entra B2B, aşağıda listelenen belirli gereksinimlerle WS-Fed protokolunu kullanan IdP'ler ile federasyon oluşturacak şekilde yapılandırılabilir. Şu anda, AD FS ve Shibboleth dahil olmak üzere iki WS-Fed sağlayıcısı, Microsoft Entra Dış Kimlik ile uyumluluk açısından test edilmiştir. Burada WS-Fed IdP'nin bir örneği olarak Active Directory Federasyonu Hizmetleri (AD FS) kullanıyoruz. Microsoft Entra Dış Kimlik ile WS-Fed uyumlu bir sağlayıcı arasında güvenen taraf ilişkisi kurma hakkında daha fazla bilgi için Microsoft Entra kimlik sağlayıcısı uyumluluk belgelerini indirin.

Federasyonu ayarlamak için WS-Fed iletisinde IdP'den aşağıdaki özniteliklerin alınması gerekir. Bu öznitelikler, çevrimiçi güvenlik belirteci hizmeti XML dosyasına bağlanarak veya el ile girilerek yapılandırılabilir. Test AD FS örneği oluşturma başlığındaki 12. adım, AD FS uç noktalarının nasıl bulunacağını veya meta veri URL'nizin nasıl oluşturulacağını açıklar. Örneğinhttps://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.

Öznitelik Değer
Pasif İstekçi Uç Noktası https://login.microsoftonline.com/login.srf
İzleyici urn:federation:MicrosoftOnline
Sertifikayı veren İş ortağı IdP'sinin veren URI'si, örneğin http://www.example.com/exk10l6w90DHM0yi...

IdP tarafından verilen WS-Fed belirteci için gerekli talepler:

Öznitelik Değer
SabitKimlik http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
e-posta adresi http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Sonraki bölümde, WS-Fed IdP örneği olarak AD FS kullanılarak gerekli taleplerin ve özniteliklerin nasıl yapılandırılacağı gösterilmektedir.

Başlamadan önce

Bu yordama başlamadan önce bir AD FS sunucusu zaten ayarlanmış ve çalışıyor olmalıdır.

Güvenen taraf güvenini ekle

  1. AD FS sunucusunda Araçlargidin.

  2. Gezinti Bölmesi'nde Güven İlişkileri>Bağlı Taraf Güvenleri'ni seçin.

  3. Eylemler altında Bağımlı Taraf Güveni Ekle'yi seçin.

  4. Bağlı Olan Taraf Güveni Ekle sihirbazında Talep Duyarlı seçeneğini seçin ve ardından Başlat'ı seçin.

  5. Veri Kaynağı Seç bölümünde Güvenen tarafla ilgili verileri el ile girin'i ve ardından Sonraki'yi seçin.

  6. Görünen Ad Belirtin sayfasında Görünen ad alanına bir ad yazın. Opsiyonel olarak, bu güvenilen taraf güveni için Notlar bölümüne bir açıklama girebilirsiniz. İleri'yi seçin.

  7. İsteğe bağlı olarak, Sertifikayı Yapılandır sayfasında, belirteç şifreleme sertifikanız varsa, bir sertifika dosyasını bulmak için "Gözat"'ı seçin. İleri'yi seçin.

  8. URL'yi Yapılandır sayfasında WS-Federasyon Pasif protokolü desteğini etkinleştir onay kutusunu seçin. Bağlı olan taraf WS-Federasyon Pasif protokolü URL'si altında aşağıdaki URL'yi girin:https://login.microsoftonline.com/login.srf

  9. İleri'yi seçin.

  10. Tanımlayıcıları Yapılandır sayfasında aşağıdaki URL'leri girin ve Ekle'yi seçin. İkinci URL'de hizmet ortağının Microsoft Entra kiracısının kiracı kimliğini girin.

    • urn:federation:MicrosoftOnline
    • https://login.microsoftonline.com/<tenant ID>/

    Not

    Kiracı kimliğinden sonra eğik çizgi (/) eklediğinizden emin olun, örneğin: https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.

  11. İleri'yi seçin.

  12. Erişim Denetimi İlkesi Seç sayfasında bir ilke seçin ve ardından İleri'yi seçin.

  13. Güven Eklemeye Hazır sayfasında ayarları gözden geçirin ve ardından bağlı olan taraf güven bilgilerinizi kaydetmek için İleri'yi seçin.

  14. Son sayfasında Kapat'ı seçin. Bağlı Taraf Güveni'ni seçin ve Talep Düzenleme İlkesini seçin.

Talep kuralları oluşturma

  1. Yeni oluşturduğunuz Bağlı Taraf Güveni'ni seçin ve ardından Talep Verme İlkesini Düzenle'yi seçin.

  2. Kural ekle'yi seçin.

  3. LDAP Özniteliklerini Talep Olarak Gönder'i ve ardından İleri'yi seçin.

  4. Talep Kuralını Yapılandır bölümünde aşağıdaki değerleri belirtin:

    • Talep kuralı adı: E-posta talep kuralı
    • Öznitelik deposu: Active Directory
    • LDAP Özniteliği: E-Posta Adresleri
    • Giden Talep Türü: E-posta Adresi

  5. Bitir'i seçin.

  6. Aynı Talep Kurallarını Düzenle sihirbazında Kural Ekle'yi seçin.

  7. Özel Kural Kullanarak Talep Gönder'i seçin ve ardından İleri'yi seçin.

  8. Talep Kuralını Yapılandır bölümünde aşağıdaki değerleri belirtin:

    • Talep kuralı adı: Sabit Kimlik Ver
    • Özel kural: c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), query = "samAccountName={0};objectGUID;{1}", param = regexreplace(c.Value, "(?<domain>[^\\]+)\\(?<user>.+)", "${user}"), param = c.Value);

  9. Bitir'i seçin.

  10. Tamam'ı seçin. AD FS sunucusu artık WS-Fed kullanılarak federasyon için yapılandırıldı.

Sonraki adımlar

Ardından, Azure portalında veya Microsoft Graph API'sini kullanarak Microsoft Entra Dış Kimlik'te SAML/WS-Fed IdP federasyonu yapılandıracaksınız.

  • Last updated on