internalDomainFederation 资源类型
命名空间:microsoft.graph
表示与 Microsoft Entra ID 联合并验证的租户域的配置。 使用 Microsoft Entra ID 设置联合时,使用此资源配置联合设置。 有关联合的信息,请参阅什么是与 Microsoft Entra ID 联合?。
继承自 samlOrWsFedProvider。
方法
| 方法 | 返回类型 | Description |
|---|---|---|
| List | internalDomainFederation 集合 | 读取域的 internalDomainFederation 对象的属性。 |
| 创建 | internalDomainFederation | 创建新的 internalDomainFederation 对象。 |
| 获取 | internalDomainFederation | 读取 internalDomainFederation 对象的属性和关系。 |
| 更新 | internalDomainFederation | 更新 internalDomainFederation 对象的属性。 |
| 删除 | None | 删除 internalDomainFederation 对象。 |
属性
| 属性 | 类型 | 说明 |
|---|---|---|
| activeSignInUri | String | 使用 Microsoft Entra ID 中为单一登录设置的联合域进行身份验证时活动客户端使用的终结点的 URL。 对应于 Set-MsolDomainFederationSettings MSOnline v1 PowerShell cmdlet 的 ActiveLogOnUri 属性。 |
| displayName | String | 联合标识提供者的显示名称 (IdP) 。 继承自 identityProviderBase。 |
| federatedIdpMfaBehavior | federatedIdpMfaBehavior | 确定当联合用户访问受需要 MFA 的条件访问策略管理的应用程序时,Microsoft Entra ID是否接受联合 IdP 执行的 MFA。 可能的值包括 acceptIfMfaDoneByFederatedIdp、enforceMfaByFederatedIdp、rejectMfaByFederatedIdp、unknownFutureValue。 有关详细信息,请参阅 federatedIdpMfaBehavior 值。 |
| id | String | 联合标识提供者的标识符。 继承自 entity。 |
| isSignedAuthenticationRequestRequired | 布尔值 | 如果true为 ,则当 SAML 身份验证请求发送到联合 SAML IdP 时,Microsoft Entra ID将使用 OrgID 签名密钥对这些请求进行签名。 如果 false (默认) ,则不会对发送到联合 IdP 的 SAML 身份验证请求进行签名。 |
| issuerUri | String | 联合服务器的颁发者 URI。 继承自 samlOrWsFedProvider。 |
| metadataExchangeUri | String | 用于从富客户端应用程序进行身份验证的元数据交换终结点的 URI。 继承自 samlOrWsFedProvider。 |
| nextSigningCertificate | String | 回退令牌签名证书,该证书也可用于对令牌进行签名,例如,当主签名证书过期时。 格式为联合 IdP 令牌签名证书的公共部分的 Base64 编码字符串。 需要与 X509Certificate2 类兼容。 与 signingCertificate 非常类似,如果在自动滚动更新之外需要滚动更新、正在设置新的联合身份验证服务,或者在更新联合身份验证服务证书后联合属性中不存在新的令牌签名证书,则使用 nextSigningCertificate 属性。 |
| passiveSignInUri | String | 登录Microsoft Entra服务时,基于 Web 的客户端定向到的 URI。 继承自 samlOrWsFedProvider。 |
| preferredAuthenticationProtocol | authenticationProtocol | 首选身份验证协议。 必须显式配置此参数,联合被动身份验证流才能正常工作。 可能的值包括 wsFed、saml、unknownFutureValue。 继承自 samlOrWsFedProvider。 |
| promptLoginBehavior | promptLoginBehavior | 设置登录提示的首选行为。 可能的值包括 translateToFreshPasswordAuthentication、nativeSupport、disabled、unknownFutureValue。 |
| signingCertificate | String | 用于对传递到Microsoft 标识平台的令牌进行签名的当前证书。 证书的格式设置为联合 IdP 令牌签名证书的公共部分的 Base64 编码字符串,并且必须与 X509Certificate2 类兼容。 此属性在以下方案中使用: Microsoft Entra ID通过自动注册过程更新证书,在该过程中,它尝试在当前证书到期前 30 天从联合身份验证服务元数据中检索新证书。 如果新证书不可用,Microsoft Entra ID每天监视元数据,并在新证书可用时更新域的联合设置。 继承自 samlOrWsFedProvider。 |
| signingCertificateUpdateStatus | signingCertificateUpdateStatus | 提供签名证书上次更新的状态和时间戳。 |
| signOutUri | String | 客户端注销Microsoft Entra服务时重定向到的 URI。 对应于 Set-MsolDomainFederationSettings MSOnline v1 PowerShell cmdlet 的LogOffUri 属性。 |
注意
自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模块已弃用。 若要了解详细信息,请阅读 弃用更新。 在此日期之后,对这些模块的支持仅限于Microsoft Graph PowerShell SDK 和安全修补程序的迁移帮助。 弃用的模块将继续运行到 2025 年 3 月 30 日。
建议迁移到 Microsoft Graph PowerShell,以便与以前的 Azure AD) Microsoft Entra ID (交互。 有关常见的迁移问题,请参阅 迁移常见问题解答。 注意: MSOnline 1.0.x 版可能会在 2024 年 6 月 30 日之后遇到中断。
federatedIdpMfaBehavior 值
| 成员 | 说明 |
|---|---|
| acceptIfMfaDoneByFederatedIdp | Microsoft Entra ID接受联合标识提供者执行的 MFA。 如果联合标识提供者未执行 MFA,Microsoft Entra ID执行 MFA。 |
| enforceMfaByFederatedIdp | Microsoft Entra ID接受联合标识提供者执行的 MFA。 如果联合标识提供者未执行 MFA,它会将请求重定向到联合标识提供者以执行 MFA。 |
| rejectMfaByFederatedIdp | Microsoft Entra ID始终执行 MFA 并拒绝联合标识提供者执行的 MFA。 |
注意
federatedIdpMfaBehavior 是 Set-MsolDomainFederationSettings MSOnline v1 PowerShell cmdlet 的 SupportsMfa 属性的演变版本。
- 不支持在 federatedIdpMfaBehavior 和 SupportsMfa 之间切换。
- 设置 federatedIdpMfaBehavior 属性时,Microsoft Entra ID忽略 SupportsMfa 设置。
- 如果从未设置 federatedIdpMfaBehavior 属性,Microsoft Entra ID将继续遵循 SupportsMfa 设置。
- 如果未设置 federatedIdpMfaBehavior 和 SupportsMfa,Microsoft Entra ID将默认为
acceptIfMfaDoneByFederatedIdp行为。
关系
无。
JSON 表示形式
以下 JSON 表示形式显示了资源类型。
{
"@odata.type": "#microsoft.graph.internalDomainFederation",
"id": "String (identifier)",
"displayName": "String",
"issuerUri": "String",
"metadataExchangeUri": "String",
"signingCertificate": "String",
"passiveSignInUri": "String",
"preferredAuthenticationProtocol": "String",
"activeSignInUri": "String",
"signOutUri": "String",
"promptLoginBehavior": "String",
"isSignedAuthenticationRequestRequired": "Boolean",
"nextSigningCertificate": "String",
"signingCertificateUpdateStatus": {
"certificateUpdateResult": "String",
"@odata.type": "microsoft.graph.signingCertificateUpdateStatus"
},
"federatedIdpMfaBehavior": "String"
}