與來賓使用者的 SAML/WS-Fed 識別提供者同盟

適用於： Workforce 租用戶外部租用戶 (深入了解 (部分機器翻譯))

注意

Microsoft Entra 外部 ID 中的直接同盟現在稱為「SAML/WS-Fed 識別提供者 (IdP) 同盟」。

本文說明如何與任何組織中可支援 SAML 2.0 或 WS-Fed 通訊協定的識別提供者 (IdP) 設定同盟。 在設定與合作夥伴的 IdP 同盟後，來自該網域的新來賓使用者便可以使用其由 IdP 管理的自有組織帳戶登入您的 Microsoft Entra 租用戶，並開始與您共同作業。 來賓使用者不需要建立個別的 Microsoft Entra 帳戶。

重要

• 您現在可以使用 Microsoft Entra ID 驗證網域來設定 SAML/WS-Fed IdP 同盟。 已驗證的網域必須位於您設定同盟的個別租用戶中。 完成設定之後，您可以透過在輸入 B2B 共同作業的跨租用戶存取設定中設定邀請兌換順序 (部分機器翻譯)，確保使用者使用同盟 IdP 而非 Microsoft Entra ID 登入。
• 我們不再支援適用於新 SAML/WS-Fed IdP 同盟的 IdP 允許清單。 當您設定新的外部同盟時，請參閱步驟 1：判斷合作夥伴是否需要更新其 DNS 文字記錄。
• 在 Microsoft Entra ID 對外部同盟傳送的 SAML 要求中，簽發者 URL 為租用戶端點。 針對任何新的同盟，我們建議所有合作夥伴將 SAML 或 IdP　(以 WS-Fed 為基礎) 的對象設定為租用戶端點。 請參閱 SAML 2.0 和 WS-Fed 的必要屬性和宣告區段。 任何以全域端點設定的現有同盟都會繼續運作，但如果您的外部 IdP 在 SAML 要求中預期的是全域簽發者 URL，那麼新的同盟會停止運作。
• 我們已移除單一網域限制。 您現在可以將多個網域與個別同盟設定建立關聯。
• 我們已移除需要驗證 URL 網域以符合目標網域或需要來自允許的 IdP 的限制。 如需詳細資訊，請參閱步驟 1：判斷夥伴是否需要更新其 DNS 文字記錄。

來賓使用者何時向 SAML/WS-Fed IdP 同盟進行驗證？

設定與組織的 SAML/WS-Fed IdP 同盟之後：

• 如果您同盟的網域並非 Microsoft Entra ID 驗證網域，則您邀請的任何新來賓使用者都會使用該 SAML/WS-Fed IdP 進行驗證。

• 如果網域已通過 Microsoft Entra ID 驗證，您還必須在輸入 B2B 共同作業的跨租用戶存取設定中設定兌換順序設定 (預覽) (部分機器翻譯)，以優先使用同盟 IdP 進行兌換。 然後，您邀請的任何新來賓使用者都會使用該 SAML/WS-Fed IdP 進行驗證。

請務必注意，若來賓使用者早已兌換您所提出的邀請，則設定同盟並不會變更其驗證方法。 以下列出一些範例：

• 來賓使用者已從您兌換邀請，然後稍後您與組織的 SAML/WS-Fed IdP 設定同盟。 在您設定同盟之前，這些來賓使用者會繼續使用他們所使用的相同驗證方法。
• 您設定與組織的 SAML/WS-Fed IdP 同盟，並邀請來賓使用者，然後合作夥伴組織稍後移至 Microsoft Entra ID。 只要租用戶中有同盟原則，已兌換邀請的來賓使用者就會繼續使用同盟 SAML/WS-Fed IdP。
• 您可以刪除與組織的 SAML/WS-Fed IdP 同盟。 目前使用 SAML/WS-Fed IdP 的任何來賓使用者都無法登入。

在上述案例中，您可以藉由重設其兌換狀態來更新來賓使用者的驗證方法。

SAML/WS-Fed IdP 同盟會繫結至網域命名空間，例如 contoso.com 與 fabrikam.com。 組織在建立與 AD FS 或第三方 IdP 同盟時，會將一或多個網域命名空間與這些 IdP 相關聯。

終端使用者體驗

有了 SAML/WS-Fed 同盟，來賓使用者可以使用自己的組織帳戶來登入 Microsoft Entra 租用戶。 當使用者在存取共用資源並收到登入提示時，系統會將他們重新導向至其 IdP。 成功登入之後，使用者會返回 Microsoft Entra ID 以存取資源。 如果 Microsoft Entra 工作階段過期或變成無效，且同盟 IdP 已啟用 SSO，則使用者會遇到 SSO。 如果同盟使用者的工作階段有效，則不會提示使用者再次登入。 否則，系統會將使用者重新導向至其 IdP 以進行登入。

登入端點

SAML/WS-Fed IdP 同盟來賓使用者現在可以使用通用端點 (換句話說，就是不包括租用戶內容的一般應用程式 URL) 來登入您的多租用戶或 Microsoft 第一方應用程式。 在登入流程中，來賓使用者會選擇 [登入選項]，然後選取 [登入組織]。 使用者接著輸入您的組織名稱，並繼續使用自己的認證登入。

SAML/WS-Fed IdP 同盟來賓使用者也可以使用包括您租用戶資訊的應用程式端點，例如：

• https://myapps.microsoft.com/?tenantid=<your tenant ID>
• https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
• https://portal.azure.com/<your tenant ID>

您也可以將應用程式或資源的直接連結提供給來賓使用者，包括您的租用戶資訊，例如 https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>。

常見問題集

我可以使用 Microsoft Entra ID 驗證網域來設定 SAML/WS-Fed IdP 同盟嗎？

是，您現在可以使用其他 Microsoft Entra ID 驗證網域來設定 SAML/WS-Fed IdP 同盟。 這包括租用戶已執行系統管理員接管的已驗證網域。 如果您要同盟的網域已通過 Microsoft Entra ID 驗證，您還必須在輸入 B2B 共同作業的跨租用戶存取設定中設定兌換順序設定 (預覽) (部分機器翻譯)，以確保當受邀的使用者登入時，他們會使用同盟 IdP 而非Microsoft Entra ID 兌換邀請。

目前，雲端不支援兌換順序設定。 如果您要同盟的網域已於不同的 Microsoft 雲端中通過 Microsoft Entra ID 驗證，則一律優先採用 Microsoft Entra 兌換。

我可以為存在非受控 (透過電子郵件驗證) 租用戶的網域設定 SAML/WS-Fed IdP 同盟嗎？

是，您可以使用未在 Microsoft Entra ID 中驗證 DNS 的網域來設定 SAML/WS-Fed IdP 同盟，包括非受控 (電子郵件驗證或「病毒式」) Microsoft Entra 租用戶。 當使用者兌換 B2B 邀請或使用目前不存在的網域執行自助式 Microsoft Entra ID 註冊時，系統就會建立租用戶。

我可以建立多少個同盟關聯性？

目前，支援最大 1,000 個同盟關聯。 這項限制包括內部同盟和 SAML/WS-Fed IdP 同盟。

我可以與同一租用戶的多個網域設定同盟嗎？

是，我們目前支援相同租用戶的多網域 SAML/WS-Fed IdP 同盟。

當簽署憑證到期時，是否需要更新該憑證？

如果您在 IdP 設定中指定中繼資料 URL，Microsoft Entra ID 便會在簽署憑證到期時自動予以更新。 不過，如果憑證因任何原因而在到期之前輪替，或如果您未提供中繼資料 URL，Microsoft Entra ID 便無法加以更新。 在此情況下，您必須手動更新簽署憑證。

如果同時啟用 SAML/WS-Fed IdP 同盟和電子郵件一次性密碼驗證，會優先使用哪種方法？

如果已與夥伴組織建立 SAML/WS-Fed IdP 同盟，則來自該組織的新來賓使用者會優先採用 SAML/WS-Fed IdP 同盟，而非電子郵件一次性密碼驗證。 如果在您設定 SAML/WS-Fed IdP 同盟之前，來賓使用者已使用一次性密碼驗證兌換了邀請，則會繼續使用一次性密碼驗證。

SAML/WS-Fed IdP 同盟能解決登入問題，是不是因為其採用部分同步租用？

不是，在此案例中應該使用電子郵件單次密碼功能。 「部分同步租用」是指內部部署使用者身分識別不會完全同步到雲端的合作夥伴 Microsoft Entra 租用戶。 來賓的身分識別若未存在於雲端中，卻嘗試兌換 B2B 邀請，則無法登入。 單次密碼功能會讓此來賓能夠登入。 SAML/WS-Fed IdP 同盟功能解決了來賓有 IdP 所管理的自有組織帳戶，但組織內卻完全沒有任何 Microsoft Entra 的情況。

在組織設為 SAML/WS-Fed IdP 同盟之後，是否須向每位來賓傳送個別邀請並請其完成兌換？

邀請新來賓時，您仍須傳送邀請或提供直接連結，以便來賓完成兌換步驟。 針對現有來賓，則不一定得傳送新的邀請。 現有來賓會繼續使用其在設定同盟之前所使用的驗證方法。 如果您希望這些來賓開始使用同盟進行驗證，則可以重設其兌換狀態。 然後，下次他們存取您的應用程式或使用邀請中的連結時，便會重複兌換流程，並開始使用同盟作為其驗證方法。

是否有任何方法可將已簽署的要求傳送至 SAML 識別提供者？

目前，Microsoft Entra SAML/WS-Fed IdP 同盟功能不支援將已簽署的驗證權杖傳送至 SAML 識別提供者。

設定 SAML/Ws-Fed 識別提供者需要哪些權限？

您必須至少是外部識別提供者管理員 (部分機器翻譯)，才能設定 SAML/Ws-Fed 識別提供者。

採用同盟是否代表無須在我的目錄中為 B2B 共同作業使用者建立來賓帳戶？

否。 無論使用何種驗證或同盟方法，都必須在目錄中為 B2B 共同作業用者建立來賓帳戶。 此使用者物件可讓您授與應用程式存取權、指派角色，以及定義安全性群組的成員資格。

步驟 1：判斷夥伴是否需要更新其 DNS 文字記錄

根據合作夥伴的 IdP，合作夥伴可能需要更新其 DNS 記錄，以啟用與您的同盟。 使用下列步驟來判斷是否需要更新 DNS。

注意

我們不再支援適用於新 SAML/WS-Fed IdP 同盟的 IdP 允許清單。

1. 請檢查合作夥伴的 IdP 被動驗證 URL，以查看網域是否符合目標網域或目標網域中的主機。 換句話說，設定 fabrikam.com 同盟時：

   • 如果被動驗證端點是 https://fabrikam.com 或 https://sts.fabrikam.com/adfs (相同網域中的主機)，則不需要進行任何 DNS 變更。
   • 如果被動驗證端點為 https://fabrikamconglomerate.com/adfs 或 https://fabrikam.com.uk/adfs，則網域與 fabrikam.com 網域不相符，因此合作夥伴必須將驗證 URL 的文字記錄新增至其 DNS 設定。

2. 如果根據上一個步驟需要進行 DNS 變更，請要求合作夥伴將 TXT 記錄新增至其網域的 DNS 記錄，如下列範例所示：

   fabrikam.com.  IN   TXT   DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs

步驟 2：設定夥伴組織的 IdP

接著，夥伴組織需要使用所需的宣告和信賴憑證者的信任來設定其 IdP。

注意

為了說明如何設定 SAML/WS-Fed IdP 同盟，我們會使用 Active Directory 同盟服務 (AD FS) 做為範例。 請參閱透過 AD FS 設定 SAML/WS-Fed IdP 同盟一文，以取得如何將 AD FS 設定為 SAML 2.0 或 WS-Fed IdP 的範例，來為同盟預做準備。

SAML 2.0 設定

Microsoft Entra B2B 可設為與使用 SAML 通訊協定的 IdP 同盟，但須符合本節列出的特定需求。 如需如何在 SAML IdP 與 Microsoft Entra ID 之間設定信任的詳細資訊，請參閱使用 SAML 2.0 識別提供者 (IdP) 來進行 SSO。

注意

您現在可以使用其他 Microsoft Entra ID 驗證網域來設定 SAML/WS-Fed IdP 同盟。 如需詳細資訊，請參閱常見問題一節。

所需的 SAML 2.0 屬性和宣告

下表顯示必須於第三方 IdP 設定的特定屬性和宣告需求。 若要設定同盟，則必須在來自 IdP 的 SAML 2.0 回應中收到下列屬性。 這定這些屬性的方式可以是連結至線上安全性權杖服務 XML 檔案，或手動輸入。

注意

請確定該值與您要設定外部同盟的雲端相符。

IdP 中 SAML 2.0 回應的必要屬性為：

屬性	值
AssertionConsumerService	https://login.microsoftonline.com/login.srf
適用對象	https://login.microsoftonline.com/<tenant ID>/ (建議) 使用您要設定同盟的 Microsoft Entra 租用戶的租用戶識別碼取代 <tenant ID>。 在 Microsoft Entra ID 對外部同盟傳送的 SAML 要求中，簽發者 URL 為租用戶端點 (例如 https://login.microsoftonline.com/<tenant ID>/)。 針對任何新的同盟，我們建議所有合作夥伴將 SAML 或 IdP　(以 WS-Fed 為基礎) 的對象設定為租用戶端點。 任何以全域端點設定的現有同盟 (例如 urn:federation:MicrosoftOnline) 都會繼續運作，但如果您的外部 IdP 期望由 Microsoft Entra ID 傳送的 SAML 要求中包含全域簽發者 URL，則新的同盟會停止運作。
Issuer	合作夥伴 IdP 的簽發者 URI，例如 http://www.example.com/exk10l6w90DHM0yi...

IdP 所發行 SAML 2.0 權杖的必要屬性為：

屬性名稱	值
NameID Format	urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	emailaddress

WS-Fed 設定

Microsoft Entra B2B 可設為與使用 WS-Fed 通訊協定的 IdP 同盟。 本節討論相關要求。 目前，兩個 WS-同盟提供者已經過 Microsoft Entra ID 的相容性測試，包含 AD FS 與 Shibboleth。 如需如何在 WS-Fed 相容提供者與 Microsoft Entra ID 之間建立信賴憑證者信任的詳細資訊，請參閱 Microsoft Entra 識別提供者相容性文件 (英文) 中的〈使用 WS 通訊協定的 STS 整合論文〉。

注意

您現在可以使用其他 Microsoft Entra ID 驗證網域來設定 SAML/WS-Fed IdP 同盟。 如需詳細資訊，請參閱常見問題一節。

所需的 WS-Fed 屬性和宣告

下表顯示必須於第三方 WS-Fed IdP 設定的特定屬性和宣告需求。 若要設定同盟，則必須在來自 IdP 的 WS-Fed 訊息中收到下列屬性。 這定這些屬性的方式可以是連結至線上安全性權杖服務 XML 檔案，或手動輸入。

注意

請確定該值與您要設定外部同盟的雲端相符。

IdP 的 WS-同盟訊息中的必要屬性：

屬性	值
PassiveRequestorEndpoint	https://login.microsoftonline.com/login.srf
適用對象	https://login.microsoftonline.com/<tenant ID>/ (建議) 使用您要設定同盟的 Microsoft Entra 租用戶的租用戶識別碼取代 <tenant ID>。 在 Microsoft Entra ID 對外部同盟傳送的 SAML 要求中，簽發者 URL 為租用戶端點 (例如 https://login.microsoftonline.com/<tenant ID>/)。 針對任何新的同盟，我們建議所有合作夥伴將 SAML 或 IdP　(以 WS-Fed 為基礎) 的對象設定為租用戶端點。 任何以全域端點設定的現有同盟 (例如 urn:federation:MicrosoftOnline) 都會繼續運作，但如果您的外部 IdP 期望由 Microsoft Entra ID 傳送的 SAML 要求中包含全域簽發者 URL，則新的同盟會停止運作。
Issuer	合作夥伴 IdP 的簽發者 URI，例如 http://www.example.com/exk10l6w90DHM0yi...

IdP 所發行 WS-同盟權杖的必要屬性為：

屬性	值
ImmutableID	http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
emailaddress	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

步驟 3：在 Microsoft Entra ID 中設定 SAML/WS-Fed IdP 同盟

接下來，請在 Microsoft Entra ID 中使用步驟 1 所設定的 IdP 來設定同盟。 您可以使用 Microsoft Entra 系統管理中心或 Microsoft Graph API (英文)。 可能需要 5 到 10 分鐘的時間，同盟原則才會生效。 在這段時間內，請勿嘗試兌換同盟網域的邀請。 以下為必要屬性：

• 合作夥伴 IdP 的簽發者 URI
• 合作夥伴 IdP 的被動驗證端點 (僅支援 https)
• [MSSQLSERVER 的通訊協定內容]

在 Microsoft Entra 系統管理中心設定同盟

提示

本文中的步驟可能略有不同，具體取決於您從哪個入口網站展開作業。

1. 至少以外部識別提供者管理員 (部分機器翻譯) 身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別] > [外部身分識別] > [所有識別提供者]。

3. 選取 [自訂] 索引標籤，然後選取 [新增] > [SAML/WS-Fed]。

   

4. 在 [新增 SAML/WS-Fed IdP] 頁面上，輸入下列內容：

   • 顯示名稱 - 輸入名稱，可協助您識別合作夥伴的 IdP。
   • 識別提供者通訊協定 - 選取 [SAML] 或 [WS-Fed]。
   • 同盟 IdP 的網域名稱 - 輸入合作夥伴 IdP 的目標網域名稱以進行同盟。 在此初始設定期間，只輸入一個網域名稱。 您稍後可以新增更多網域。

   

5. 選取填入中繼資料的方法。 如果您有包含中繼資料的檔案，則可以藉由選取 [剖析中繼資料檔案] 並瀏覽檔案來自動填入欄位。 您也可以選取 [手動輸入中繼資料]，然後輸入下列資訊：

   • 合作夥伴 SAML IdP 的 [簽發者 URI]，或合作夥伴 WS-Fed IdP 的 [實體識別碼]。
   • 合作夥伴 SAML IdP 的 [被動驗證端點]，或合作夥伴 WS-Fed IdP 的 [被動要求者端點]。
   • 憑證 - 簽署憑證的識別碼。
   • 中繼資料 URL - IdP 中繼資料的位置，該資料會用於簽署憑證的自動更新。

   

   注意

   中繼資料 URL 是選擇性的，但強烈建議您輸入此資訊。 如果您提供中繼資料 URL，Microsoft Entra ID 就可以在簽署憑證到期時自動予以更新。 如果憑證因任何原因而在到期之前輪替，或如果您未提供中繼資料 URL，Microsoft Entra ID 便無法加以更新。 在此情況下，您將必須手動更新簽署憑證。

6. 選取 [儲存]。 識別提供者會新增至 SAML/WS-Fed 識別提供者清單。

   

7. (選用) 若要將更多網域名稱新增至此同盟識別提供者：

   1. 選取 [動作] 資料行中的連結。

      

   2. 在 [同盟 IdP 的網域名稱] 旁，輸入網域名稱，然後選取 [新增]。 針對您要新增的每個網域重複執行。 完成之後，選取 [完成]。

      

使用 Microsoft Graph API 設定同盟

您可以使用 Microsoft Graph API samlOrWsFedExternalDomainFederation 資源類型來設定同盟，且該同盟具有支援 SAML 或 WS-Fed 通訊協定的識別提供者。

步驟 4：設定 Microsoft Entra ID 驗證網域的兌換順序

如果網域已通過 Microsoft Entra ID 驗證，請在輸入 B2B 共同作業的跨租用戶存取設定中設定兌換順序設定 (部分機器翻譯)。 將 SAML/WS-Fed 識別提供者移至主要識別提供者清單頂端，以優先使用同盟 IdP 進行兌換。

注意

我們目前正在推出可設定兌換功能的 Microsoft Entra 系統管理中心設定，以供客戶使用。 在系統管理中心提供相關設定之前，您可以使用 Microsoft Graph REST API 搶鮮版 (Beta) 來設定邀請兌換順序。 請參閱 Microsoft Graph 參考文件中的範例 2：更新預設邀請兌換設定 (英文)。

步驟 5：在 Microsoft Entra ID 中測試 SAML/WS-Fed IdP 同盟

現在，請邀請新的 B2B 來賓使用者來測試您的同盟設定。 如需詳細資料，請參閱在 Microsoft Entra 系統管理中心中新增 Microsoft Entra B2B 共同作業使用者 (部分機器翻譯)。

如何更新憑證或設定的詳細資料？

在 [所有識別提供者] 頁面，您可以檢視您已設定的 SAML/WS-Fed 識別提供者清單以及識別提供者的憑證到期日。 在此清單中，您可以更新憑證並修改其他設定詳細資料。

1. 至少以外部識別提供者管理員 (部分機器翻譯) 身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別] > [外部身分識別] > [所有識別提供者]。

3. 選取 [自訂] 索引標籤。

4. 捲動至清單中的識別提供者，或使用搜尋方塊。

5. 若要更新憑證或修改設定詳細資料：

   • 在識別提供者的 [設定] 資料行中，選取 [編輯] 連結。
   • 在設定頁面中，修改任何下列詳細資料：
     • 顯示名稱 - 合作夥伴組織的顯示名稱。
     • 識別提供者通訊協定 - 選取 [SAML] 或 [WS-Fed]。
     • 被動驗證端點 - 合作夥伴 IdP 的被動要求者端點。
     • 憑證 - 簽署憑證的識別碼。 若要將其更新，請輸入新的憑證識別碼。
     • 中繼資料 URL - 包含了合作夥伴中繼資料的 URL，用於簽署憑證的自動更新。
   • 選取 [儲存]。

   

6. 若要編輯與合作夥伴相關聯的網域，請選取 [網域] 資料行中的連結。 在 [網域詳細資料] 窗格中：

   • 若要新增網域，在 [同盟 IdP 的網域名稱] 旁輸入網域名稱，然後選取 [新增]。 針對您要新增的每個網域重複執行。
   • 若要刪除網域，請選取網域旁的刪除圖示。
   • 完成之後，選取 [完成]。

   

   注意

   若要移除與合作夥伴的同盟，請刪除其中一個網域，並遵循下一節中的步驟。

如何移除同盟？

您可以移除同盟設定。 如果您這麼做，已兌換其邀請的同盟來賓使用者則無法再登入。 但是，您可以藉由重設其兌換狀態，讓他們再次存取您的資源。 若要在 Microsoft Entra 系統管理中心移除 IdP 的設定：

1. 至少以外部識別提供者管理員 (部分機器翻譯) 身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別] > [外部身分識別] > [所有識別提供者]。

3. 選取 [自訂] 索引標籤，然後捲動至清單中的識別提供者，或使用搜尋方塊。

4. 選取 [網域] 資料行中的連結以檢視 IdP 的網域詳細資料。

5. 刪除 [網域名稱] 清單中的其中一個網域。

6. 選取 [刪除設定]，然後選取 [完成]。

   

7. 選取 [確定] 以確認刪除。

您也可以使用 Microsoft Graph API samlOrWsFedExternalDomainFederation 資源類型來移除同盟。

下一步

深入瞭解當外部使用者以各種身分識別提供者登入時的邀請兌換體驗。