الاتحاد مع موفري هوية SAML/WS-Fed للمستخدمين الضيوف
ملاحظة
- يُشار الآن إلى الاتحاد المباشر في Microsoft Azure Active Directory باسم اتحاد موفر الهوية (IdP) SAML/WS-Fed.
توضح هذه المقالة كيفية إعداد الاتحاد مع أي مؤسسة يدعم موفر الهوية الخاص بها (IdP) يعتمد بروتوكول SAML 2.0 أو WS-Fed. عند إعداد الاتحاد باستخدام IdP الخاص بشريك، يمكن للمستخدمين الضيوف الجدد من هذا المجال استخدام حساب المؤسسة الخاص بهم المدار بواسطة IdP لتسجيل الدخول إلى مستأجر Microsoft Azure Active Directory والبدء في التعاون معك. لا يحتاج المستخدم الضيف لإنشاء حساب Microsoft Azure AD منفصل.
هام
- لم نعد ندعم قائمة السماح لموفر الهوية لاتحادات موفر الهوية الجديدة لـ SAML/WS-Fed. عند إعداد اتحاد خارجي جديد، راجع الخطوة 1: تحديد ما إذا كان الشريك بحاجة إلى تحديث سجلاته النصية لنظام أسماء النطاقات.
- في طلب SAML المُرسل بواسطة Microsoft Azure Active Directory للاتحادات الخارجية، URL المصدر هو نقطة نهاية مستأجرة. بالنسبة لأي اتحادات جديدة، نوصي بأن يقوم جميع شركائنا بتعيين جمهور SAML أو IdP المستند إلى WS-Fed إلى نقطة نهاية مستأجرة. راجع أقسام السمات والمطالبات SAML 2.0 وWS-Fed المطلوبة أدناه. أي اتحادات موجودة تم تكوينها مع نقطة النهاية العمومية ستستمر في العمل، ولكن الاتحادات الجديدة ستتوقف عن العمل إذا كان IdP الخارجي الخاص بك يتوقع URL مصدر عمومي في طلب SAML.
- يمكنك حالياً إضافة مجال واحد فقط إلى اتحادك الخارجي. نحن نعمل بنشاط على السماح بمجالات إضافية.
- لقد أزلنا القيد الذي يتطلب أن يتطابق نطاق عنوان URL للمصادقة مع النطاق الهدف أو أن يكون من IdP مسموح به. للحصول على التفاصيل، راجع الخطوة 1: تحديد ما إذا كان الشريك بحاجة إلى تحديث سجلات DNS النصية الخاصة به.
متى تتم مصادقة مستخدم ضيف مع اتحاد SAML/WS-Fed IdP؟
بعد إعداد الاتحاد مع معرف SAML/WS-Fed للمؤسسة، سيتم مصادقة أي مستخدمين ضيوف جدد تدعوهم باستخدام معرف SAML/WS-Fed. من المهم ملاحظة أن إعداد الاتحاد لا يغير طريقة المصادقة للمستخدمين الضيوف الذين قاموا بالفعل باسترداد دعوة منك. نضرب فيما يلي بعض الأمثلة:
- إذا قام المستخدمون الضيوف باسترداد الدعوات منك بالفعل، ثم قمت بعد ذلك بإعداد الاتحاد مع SAML/WS-Fed IdP الخاص بالمؤسسة، فسيستمر هؤلاء المستخدمون الضيوف في استخدام نفس أسلوب المصادقة الذي استخدموه قبل إعداد الاتحاد.
- إذا قمت بإعداد الاتحاد مع مؤسسة SAML/WS-Fed IdP ودعوة المستخدمين الضيوف، ثم تنتقل المؤسسة الشريكة لاحقا إلى Microsoft Azure Active Directory، سيستمر المستخدمون الضيوف الذين قاموا باسترداد الدعوات بالفعل في استخدام معرف SAML/WS-Fed الفيدرالي، طالما أن نهج الاتحاد في المستأجر موجودة.
- إذا قمت بحذف الاتحاد مع مؤسسة SAML/WS-Fed IdP، لن يتمكن أي مستخدم ضيف يستخدم حالياً SAML/WS-Fed IdP من تسجيل الدخول.
في أي من هذه السيناريوهات، يمكنك تحديث أسلوب مصادقة المستخدم الضيف عن طريق إعادة تعيين حالة الاسترداد الخاصة بهم.
يرتبط اتحاد SAML/WS-Fed IdP بمساحات أسماء النطاقات، مثل contoso.com وfabrikam.com. عند تأسيس الاتحاد مع AD FS أو IdP لجهة خارجية، تقوم المؤسسات بربط مساحة اسم مجال واحدة أو أكثر بمساحات أسماء النطاقات هذه.
تجربة المستخدم
مع اتحاد SAML/WS-Fed IdP، يقوم المستخدمون الضيوف بتسجيل الدخول إلى مستأجر Microsoft Azure Active Directory باستخدام حساب المؤسسة الخاص بهم. عند وصولهم إلى الموارد المشتركة ومطالبتهم بتسجيل الدخول، تتمت إعادة توجيه المستخدمين إلى موفِر الهوية. بعد تسجيل الدخول بنجاح، يتم إرجاع المستخدمين إلى Microsoft Azure Active Directory للوصول إلى الموارد. رموز التحديث الخاصة بهم صالحة لمدة 12 ساعة، الطول الافتراضي لرمز تحديث المرور في Microsoft Azure Active Directory. إذا تم تمكين تسجيل الدخول الأحادي (SSO) في IdP، فسيختبر المستخدم تسجيل الدخول الأحادي (SSO) ولن يرى أي مطالبة بتسجيل الدخول بعد المصادقة الأولية.
نقاط نهاية تسجيل الدخول
يمكن للمستخدمين الضيوف في اتحاد SAML/WS-Fed IdP تسجيل الدخول الآن إلى تطبيقات متعددة المستأجرين أو تطبيقات Microsoft من الطرف الأول باستخدام نقطة نهاية شائعة (وبعبارة أخرى، عنوان URL للتطبيق العام لا يتضمن سياق المستأجر). أثناء عملية تسجيل الدخول، يختار المستخدم الضيف خيارات تسجيل الدخول، ثم يحدد تسجيل الدخول إلى مؤسسة. ثم يقوم المستخدم بكتابة اسم المؤسسة الخاصة بك ويستمر في تسجيل الدخول باستخدام معلومات تسجيل الدخول الخاصة به.
يمكن للمستخدمين الضيوف في اتحاد SAML/WS-Fed IdP أيضا استخدام نقاط نهاية التطبيق التي تتضمن معلومات المستأجر، على سبيل المثال:
https://myapps.microsoft.com/?tenantid=<your tenant ID>https://myapps.microsoft.com/<your verified domain>.onmicrosoft.comhttps://portal.azure.com/<your tenant ID>
يمكنك أيضا منح المستخدمين الضيوف رابطا مباشرا إلى تطبيق أو مورد عن طريق تضمين معلومات المستأجر الخاصة بك، على سبيل https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID> المثال.
الأسئلة المتداولة
هل يمكنني إعداد اتحاد SAML/WS-Fed IdP مع نطاقات Microsoft Azure Active Directory التي تم التحقق منها؟
لا، نحن نمنع اتحاد SAML/WS-Fed IdP لنطاقات Microsoft Azure Active Directory التي تم التحقق منها لصالح قدرات النطاقات المدارة في Microsoft Azure Active Directory الأصلية. إذا حاولت إعداد اتحاد SAML/WS-Fed IdP مع مجال تم التحقق من صحة DNS له في Microsoft Azure Active Directory، فسترى خطأ ما.
هل يمكنني إعداد اتحاد SAML/WS-Fed IdP مع مجال يوجد له مستأجر غير مدار (تم التحقق منه عبر البريد الإلكتروني)؟
نعم، يمكنك إعداد اتحاد SAML/WS-Fed IdP مع مجالات لم يتم التحقق من صحة DNS في Microsoft Azure Active Directory، بما في ذلك مستأجري Microsoft Azure Active Directory غير مدارين (تم التحقق من بريدهم الإلكتروني أو "فيروسي"). يتم إنشاء هؤلاء المستأجرين عندما يقوم مستخدم باسترداد دعوة B2B أو يقوم بتسجيل الاشتراك في الخدمة الذاتية لـ Microsoft Azure Active Directory باستخدام نطاق غير موجود حاليا. إذا لم يتم التحقق من النطاق ولم يخضع المستأجر لعملية استحواذ على المشرف، فيمكنك إعداد الاتحاد مع هذا النطاق.
كم عدد علاقات الاتحاد التي يمكنني إنشاؤها؟
يتم في الوقت الحالي دعم 1000 علاقة اتحاد كحد أقصى. ويشمل هذا الحد كلاً من الاتحادات الداخلية واتحادات الاتحادات التي تضم اتحادات الاتحادات الدولية لتغذية المواليد/البنك الاحتياطي الفيدرالي.
هل يمكنني إعداد اتحاد مع نطاقات متعددة من المستأجر نفسه؟
نحن لا ندعم حالياً اتحاد SAML/WS-Fed IdP مع نطاقات متعددة من نفس المستأجر.
هل أحتاج إلى تجديد شهادة التوقيع عند انتهاء صلاحيتها؟
إذا قمت بتحديد URL بيانات التعريف في إعدادات IdP، سيتم تجديد Microsoft Azure Active Directory تلقائياً شهادة التوقيع عند انتهاء صلاحيتها. ومع ذلك، إذا تم تدوير الشهادة لأي سبب قبل وقت انتهاء الصلاحية، أو إذا لم توفر عنوان URL لبيانات التعريف، فلن يتمكن Microsoft Azure Active Directory من تجديدها. في هذه الحالة، ستحتاج إلى تحديث شهادة التوقيع يدوياً.
إذا تم تمكين اتحاد SAML/WS-Fed IdP ومصادقة رمز المرور لمرة واحدة عبر البريد الإلكتروني، فأي طريقة لها الأسبقية؟
عندما يتم تأسيس اتحاد SAML/WS-Fed IdP مع مؤسسة شريكة، فإنه يأخذ الأسبقية على مصادقة رمز المرور لمرة واحدة عبر البريد الإلكتروني للمستخدمين الضيوف الجدد من تلك المؤسسة. إذا قام مستخدم ضيف باسترداد دعوة باستخدام مصادقة رمز المرور لمرة واحدة قبل إعداد اتحاد SAML/WS-Fed IdP، فسيستمر في استخدام مصادقة رمز المرور لمرة واحدة.
هل يعالج اتحاد SAML/WS-Fed IdP مشكلات تسجيل الدخول بسبب الإيجار المتزامن جزئياً؟
لا، يجب استخدام ميزة رمز المرور لمرة واحدة للبريد الإلكتروني في هذا السيناريو. يشير "الإيجار المتزامن جزئيا" إلى مستأجر Microsoft Azure Active Directory الشريك حيث لا تتم مزامنة هويات المستخدمين المحلية بشكل كامل مع السحابة. لن يتمكن الضيف الذي لم تتواجد هويته في السحاب ولكنه يحاول استرداد دعوة B2B من تسجيل الدخول. تسمح ميزة رمز المرور لمرة واحدة لهذا الضيف بتسجيل الدخول. تتناول ميزة اتحاد SAML/WS-Fed IdP السيناريوهات التي يمتلك فيها الضيف حساباً مؤسسياً مُداراً بواسطة IdP، لكن المؤسسة ليس لها وجود Microsoft Azure Active Directory على الإطلاق.
بمجرد تكوين اتحاد SAML/WS-Fed IdP مع مؤسسة، هل يحتاج كل ضيف إلى إرساله واسترداد دعوة فردية؟
لا يؤدي إعداد اتحاد SAML/WS-Fed IdP إلى تغيير طريقة المصادقة للمستخدمين الضيوف الذين استردوا بالفعل دعوة منك. يمكنك تحديث طريقة مصادقة المستخدم الضيف عن طريق إعادة تعيين حالة استرداد القيمة.
هل هناك طريقة لإرسال طلب موقع إلى موفر هوية SAML؟
حاليا، لا تدعم ميزة الاتحاد Microsoft Azure Active Directory SAML/WS-Fed إرسال رمز مصادقة موقع إلى موفر هوية SAML.
الخطوة 1: تحديد ما إذا كان الشريك بحاجة إلى تحديث سجلات النص DNS الخاصة بهم
اعتماداً على IdP الخاص بالشريك، قد يحتاج الشريك إلى تحديث سجلات DNS الخاصة به لتمكين الاتحاد معك. استخدم الخطوات التالية لتحديد ما إذا كانت هناك حاجة إلى تحديثات DNS.
ملاحظة
لم نعد ندعم قائمة السماح لموفر الهوية لاتحادات موفر الهوية الجديدة لـ SAML/WS-Fed.
تحقق من عنوان URL لمصادقة موفر الهوية السلبية الخاصة بالشركاء لمعرفة ما إذا كان المجال يطابق المجال الهدف أو المضيف داخل المجال الهدف. بمعنى آخر، عند إعداد اتحاد لـ
fabrikam.com:- إذا كانت نقطة نهاية المصادقة السلبية هي
https://fabrikam.comأوhttps://sts.fabrikam.com/adfs(مضيف في نفس المجال)، فلا داعي لإجراء تغييرات في نظام أسماء المجالات. - إذا كانت نقطة نهاية المصادقة السلبية هي
https://fabrikamconglomerate.com/adfsأوhttps://fabrikam.com.uk/adfs، فإن المجال لا يتطابق مع مجال fabrikam.com، لذلك سيحتاج الشريك إلى إضافة سجل نصي لعنوان URL للمصادقة إلى تكوين DNS خاصته.
- إذا كانت نقطة نهاية المصادقة السلبية هي
إذا كانت هناك حاجة إلى تغييرات DNS استناداً إلى الخطوة السابقة، اطلب من الشريك إضافة سجل TXT إلى سجلات DNS الخاصة بمجاله، مثل المثال التالي:
fabrikam.com. IN TXT DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs
الخطوة 2: تكوين IdP للمؤسسة الشريكة
بعد ذلك، تحتاج المؤسسة الشريكة إلى تكوين IdP الخاص بها مع المطالبات المطلوبة وثقة الطرف المعتمد.
ملاحظة
لتوضيح كيفية تكوين SAML/WS-Fed IdP للاتحاد، سوف نستخدم خدمات اتحاد خدمة Active Directory (AD FS) كمثال. راجع المقالة تكوين اتحاد SAML/WS-Fed IdP مع AD FS، والذي يعطي أمثلة حول كيفية تكوين AD FS ك SAML 2.0 أو WS-Fed IdP استعدادا للاتحاد.
تكوين SAML 2.0
يمكن تكوين Microsoft Azure Active Directory B2B للاتحاد مع IdPs التي تستخدم بروتوكول SAML مع متطلبات محددة مذكورة أدناه. لمزيد من المعلومات حول إعداد ثقة بين موفر هوية SAML وMicrosoft Azure Active Directory، راجع استخدام موفر هوية SAML 2.0 (IdP) لتسجيل الدخول الأحادي.
ملاحظة
يجب ألا يكون المجال الهدف لاتحاد SAML/WS-Fed IdP تم التحقق منه من قِبل DNS في Microsoft Azure Active Directory. راجع قسم الأسئلة المتداولة للحصول على التفاصيل.
سمات ومطالبات SAML 2.0 المطلوبة
تعرض الجداول التالية متطلبات سمات ومطالبات معينة يجب تكوينها في IdP لجهة خارجية. لإعداد الاتحاد، يجب تلقي السمات التالية في استجابة SAML 2.0 من IdP. يمكن تكوين هذه السمات عن طريق الربط بملف XML الخاص بخدمة security token عبر الإنترنت أو عن طريق إدخالها يدويًا.
ملاحظة
تأكد من تطابق القيمة أدناه مع السحابة التي تقوم بإعداد اتحاد خارجي لها.
السمات المطلوبة لرد SAML 2.0 من IdP:
| السمة | القيمة |
|---|---|
| AssertionConsumerService | https://login.microsoftonline.com/login.srf |
| الجمهور | https://login.microsoftonline.com/<tenant ID>/ (مستحسن) استبدال <tenant ID> معرف المستأجر بالمستأجر في Microsoft Azure Active Directory الذي تقوم بإعداد الاتحاد معه.في طلب SAML الُمرسل بواسطة Microsoft Azure Active Directory للاتحادات الخارجية، URL المصدر هو نقطة نهاية مستأجرة (على سبيل المثال، https://login.microsoftonline.com/<tenant ID>/). بالنسبة لأي اتحادات جديدة، نوصي بأن يقوم جميع شركائنا بتعيين جمهور SAML أو IdP المستند إلى WS-Fed إلى نقطة نهاية مستأجرة. أي اتحادات موجودة تم تكوينها مع نقطة النهاية العمومية (على سبيل المثال، urn:federation:MicrosoftOnline) ستستمر في العمل، ولكن الاتحادات الجديدة ستتوقف عن العمل إذا كان IdP الخارجي الخاص بك يتوقع URL مصدر عمومي في طلب SAML المُرسل بواسطة Microsoft Azure Active Directory. |
| مُصدر الشهادة | عنوان URI لمصدر الشهادة لموفر الشريك، على سبيل المثال http://www.example.com/exk10l6w90DHM0yi... |
المطالبات المطلوبة لرمز SAML 2.0 المميز الصادر عن IdP:
| اسم السمة | القيمة |
|---|---|
| NameID Format | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
emailaddress |
تكوين WS-Fed
يمكن تكوين Microsoft Azure Active Directory B2B للاتحاد مع موفري الهوية الذين يستخدمون بروتوكول WS-Fed مع بعض المتطلبات المحددة كما هو موضح أدناه. تم حاليًا اختبار كلا موفري WS-Fed لمعرفة مدى توافقهما مع Microsoft Azure AD، ويشمل ذلك AD FS وShibboleth. لمزيد من المعلومات حول إنشاء مجموعة ثقة بين موفر متوافق مع WS-Fed مع Microsoft Azure Active Directory، راجع "ورقة تكامل STS باستخدام بروتوكولات WS" المتوفرة في مستندات توافق موفر هوية Microsoft Azure Active Directory.
ملاحظة
يجب ألا يتم التحقق من DNS على مجال الهدف من أجل الاتحاد على Microsoft Azure Active Directory. راجع قسم الأسئلة المتداولة للحصول على التفاصيل.
سمات ومطالبات WS-Fed المطلوبة
توضح الجداول التالية متطلبات السمات والمطالبات المحددة التي يجب تكوينها في WS-Fed IdP التابع لجهة خارجية. لإعداد الاتحاد، يجب تلقي السمات التالية في رسالة WS-Fed من IdP. يمكن تكوين هذه السمات عن طريق الربط بملف XML الخاص بخدمة security token عبر الإنترنت أو عن طريق إدخالها يدويًا.
ملاحظة
تأكد من تطابق القيمة أدناه مع السحابة التي تقوم بإعداد اتحاد خارجي لها.
السمات المطلوبة في رسالة WS-Fed من IdP:
| السمة | القيمة |
|---|---|
| PassiveRequestorEndpoint | https://login.microsoftonline.com/login.srf |
| الجمهور | https://login.microsoftonline.com/<tenant ID>/ (مستحسن) استبدال <tenant ID> معرف المستأجر بالمستأجر في Microsoft Azure Active Directory الذي تقوم بإعداد الاتحاد معه.في طلب SAML الُمرسل بواسطة Microsoft Azure Active Directory للاتحادات الخارجية، URL المصدر هو نقطة نهاية مستأجرة (على سبيل المثال، https://login.microsoftonline.com/<tenant ID>/). بالنسبة لأي اتحادات جديدة، نوصي بأن يقوم جميع شركائنا بتعيين جمهور SAML أو IdP المستند إلى WS-Fed إلى نقطة نهاية مستأجرة. أي اتحادات موجودة تم تكوينها مع نقطة النهاية العمومية (على سبيل المثال، urn:federation:MicrosoftOnline) ستستمر في العمل، ولكن الاتحادات الجديدة ستتوقف عن العمل إذا كان IdP الخارجي الخاص بك يتوقع URL مصدر عمومي في طلب SAML المُرسل بواسطة Microsoft Azure Active Directory. |
| مُصدر الشهادة | عنوان URI لمصدر الشهادة لموفر الشريك، على سبيل المثال http://www.example.com/exk10l6w90DHM0yi... |
المطالبات المطلوبة لرمز WS-Fed المميز الصادر عن IdP:
| السمة | القيمة |
|---|---|
| ImmutableID | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
| emailaddress | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
الخطوة 3: تكوين اتحاد SAML/WS-Fed IdP في Microsoft Azure Active Directory
بعد ذلك، ستقوم بتكوين الاتحاد مع IdP المكون في الخطوة 1 في Microsoft Azure Active Directory. يمكنك استخدام مدخل Microsoft Azure Active Directory أو واجهة برمجة تطبيقات Microsoft Graph. قد يستغرق الأمر من 5 إلى 10 دقائق قبل أن تصبح نهج الاتحاد سارية المفعول. خلال هذا الوقت، لا تحاول استرداد دعوة لمجال الاتحاد. السمات التالية مطلوبة:
- عنوان URI لمصدر شهادة موفر هوية الشريك
- نقطة نهاية المصادقة السلبية لـ IdP الشريك (يتم دعم https فقط)
- الشهادة
لتكوين الاتحاد في مدخل Microsoft Azure Active Directory
انتقل إلى مدخل Microsoft Azure. في جزء القائمة اليمنى، حدد Microsoft Azure Active Directory.
تحدد الهويات>الخارجية جميع موفري الهوية.
حدد SAML/WS-Fed IdP الجديد.
في صفحة موفر هوية SAML/WS-Fed الجديد، أدخل ما يلي:
- الاسم المعروض - أدخل اسماً لمساعدتك في تحديد موفر الهوية الخاص بالشريك.
- بروتوكول موفر الهوية - حدد SAML أو WS-Fed.
- اسم مجال موفر الهوية الموحد - أدخل اسم المجال المستهدف لموفر الهوية الخاص بشريكك للاتحاد. يتم حالياً دعم اسم مجال واحد، ولكننا نعمل على السماح بالمزيد.
حدد أسلوباً لملء بيانات التعريف. يمكنك إدخال بيانات التعريف يدوياً، أو إذا كان لديك ملف يحتوي على بيانات التعريف، يمكنك ملء الحقول تلقائياً عن طريق تحديد تحليل ملف بيانات التعريف والاستعراض بحثاً عن الملف.
- عنوان URI لمصدر الشهادة - عنوان URI لمصدر شهادة موفر الهوية الخاص بالشريك.
- نقطة نهاية المصادقة السلبية - نقطة نهاية الطالب السلبي لموفر هوية الشريك.
- الشهادة - معرف شهادة التوقيع.
- عنوان URL لبيانات التعريف - موقع بيانات تعريف موفر الهوية للتجديد التلقائي لشهادة التوقيع.
ملاحظة
عنوان URL لبيانات التعريف اختياري، ولكننا نوصي به بشدة. إذا قمت بتوفير عنوان URL لبيانات التعريف، يمكن لـ Microsoft Azure Active Directory تجديد شهادة التوقيع تلقائياً عند انتهاء صلاحيتها. إذا تم تدوير الشهادة لأي سبب قبل انتهاء الصلاحية أو إذا لم تقدم عنوان URL لبيانات التعريف، فلن يتمكن Microsoft Azure Active Directory من تجديده. في هذه الحالة، ستحتاج إلى تحديث شهادة التوقيع يدوياً.
حدد حفظ.
لتكوين الاتحاد باستخدام واجهة برمجة تطبيقات Microsoft Graph
يمكنك استخدام نوع مورد واجهة برمجة تطبيقات Microsoft Graph samlOrWsFedExternalDomainFederation لإعداد اتحاد مع موفر هوية يدعم بروتوكول SAML أو بروتوكول WS-Fed.
الخطوة 4: اختبار اتحاد SAML/WS-Fed IdP في Microsoft Azure Active Directory
الآن اختبار إعداد الاتحاد الخاص بك عن طريق دعوة مستخدم ضيف B2B جديد. إضافة مستخدمي تعاون B2B في Microsoft Azure Active Directory من مدخل Microsoft Azure.
كيف يمكنني تحديث الشهادة أو تفاصيل التكوين؟
في صفحة كل موفري الهوية، يمكنك عرض قائمة موفري هوية SAML/WS-Fed الذين قمت بتكوينهم وتواريخ انتهاء صلاحية شهاداتهم. من هذه القائمة، يمكنك تجديد الشهادات وتعديل تفاصيل التكوين الأخرى.
انتقل إلى مدخل Microsoft Azure. في جزء القائمة اليمنى، حدد Microsoft Azure Active Directory.
حدد "External Identities".
حدد "All identity providers".
ضمن موفري الهوية في SAML/WS-Fed، مرر إلى موفر هوية في القائمة أو استخدم مربع البحث.
لتحديث الشهادة أو تعديل تفاصيل التكوين:
- في عمود التكوين لموفر الهوية، حدد الارتباط تحرير.
- في صفحة التكوين، قم بتعديل أي من التفاصيل التالية:
- الاسم المعروض - الاسم المعروض لمؤسسة الشريك.
- بروتوكول موفر الهوية - حدد SAML أو WS-Fed.
- نقطة نهاية المصادقة السلبية - نقطة نهاية الطالب السلبي لموفر هوية الشريك.
- الشهادة - معرف شهادة التوقيع. لتجديدها، أدخل معرف شهادة جديداً.
- عنوان URL لبيانات التعريف - عنوان URL الذي يحتوي على بيانات التعريف للشريك، ويُستخدم للتجديد التلقائي لشهادة التوقيع.
- حدد حفظ.
لعرض مجال موفر الهوية، حدد الرابط في عمود المجالات لعرض اسم المجال المستهدف لشريك للاتحاد.
ملاحظة
إذا كنت بحاجة إلى تحديث مجال الشريك، فستحتاج إلى حذف التكوين وإعادة تكوين الاتحاد مع موفر الهوية باستخدام المجال الجديد.
كيف يمكنني إزالة الاتحاد؟
يمكنك إزالة تكوين الاتحاد. إذا قمت بذلك، فلن يتمكن مستخدمو الاتحاد الضيوف الذين قاموا باسترداد دعواتهم من تسجيل الدخول. ولكن يمكنك منحهم حق الوصول إلى مواردك مرة أخرى عن طريق إعادة تعيين حالة الاسترداد الخاصة بهم. لإزالة تكوين موفر الهوية في مدخل Microsoft Azure Active Directory:
انتقل إلى مدخل Microsoft Azure. في جزء القائمة اليمنى، حدد Microsoft Azure Active Directory.
حدد "External Identities".
حدد "All identity providers".
ضمن موفري الهوية في SAML/WS-Fed، مرر إلى موفر هوية في القائمة أو استخدم مربع البحث.
حدد الرابط في عمود المجالات لعرض تفاصيل مجال موفر الهوية.
حدد حذف التكوين.
حدد موافق لتأكيد الحذف.
يمكنك أيضاً إزالة الاتحاد باستخدام نوع المورد الخاص بواجهة برمجة تطبيقات Microsoft Graph samlOrWsFedExternalDomainFederation.
الخطوات التالية
تعرف على المزيد حول تجربة استرداد الدعوة عند تسجيل دخول المستخدمين الخارجيين مع موفري الهوية المختلفين.