Federace se zprostředkovateli identity SAML/WS pro uživatele typu Host (Preview)

Tento článek popisuje, jak nastavit federaci s libovolnou organizací, jejíž poskytovatel identity (IdP) podporuje protokol SAML 2,0 nebo WS-Fed. Když nastavíte federaci s IdPem partnera, můžou noví uživatelé typu host z této domény používat vlastní účet organizace spravovaný IdP pro přihlášení k vašemu tenantovi Azure AD a začít spolupracovat s vámi. Není potřeba, aby uživatel typu Host vytvořil samostatný účet služby Azure AD.

Kdy je uživatel typu Host ověřený pomocí IdP federace SAML/WS?

Po nastavení federace pomocí protokolu SAML/WS-IdP v organizaci budou všichni noví uživatelé typu Host, který budete pozvat, ověřeni pomocí tohoto IdPu SAML/WS. Je důležité si uvědomit, že nastavení federace nemění metodu ověřování pro uživatele typu Host, kteří už od vás požádali o pozvání. Tady je několik příkladů:

• Pokud uživatelé typu host již z vás překládali s pozvánkami a následně jste nastavili federaci pomocí IdP SAML/WS-dopravné organizace, budou tito uživatelé typu Host dál používat stejnou metodu ověřování, kterou používali před nastavením federace.
• Pokud nastavíte federaci s IdPem v organizaci a pozvaním uživatelům typu Host a potom se partnerská organizace později přesune do služby Azure AD, budou uživatelé typu Host, kteří už provedli uplatnění pozvánky, dál používat federované rozhraní SAML/WS-IdP, pokud ve vašem tenantovi existuje zásada federace.
• Pokud odeberete federaci pomocí protokolu SAML/WS-IdP v organizaci, všichni uživatelé typu Host, kteří aktuálně používají IdP SAML/WS, se nebudou moci přihlásit.

V některém z těchto scénářů můžete aktualizovat metodu ověřování uživatele typu host obnovením stavu jejich uplatnění.

Federační IdPá federace SAML/WS je vázaná na obory názvů domény, jako je například contoso.com a fabrikam.com. Při navazování federace s AD FS nebo IdP třetí strany organizace přiřadí k těmto zprostředkovatelů identity jeden nebo víc oborů názvů domény.

Prostředí koncového uživatele

Pomocí protokolu SAML/WS-IdP Federation se uživatelé typu Host přihlásí k vašemu tenantovi Azure AD pomocí vlastního účtu organizace. Když přistupují ke sdíleným prostředkům a budete vyzváni k přihlášení, budou uživatelé přesměrováni na jejich IdP. Po úspěšném přihlášení se uživatelům vrátí do Azure AD, aby měli přístup k prostředkům. Jejich aktualizační tokeny jsou platné po dobu 12 hodin, což je výchozí délka tokenu průchozí aktualizace ve službě Azure AD. Pokud má federované IdP jednotné přihlašování (SSO), uživatel bude mít přístup k JEDNOTNÉmu přihlašování a po počátečním ověření se nezobrazí žádné výzvy k přihlášení.

Koncové body přihlášení

Uživatelé hosta federace IdP založené na SAML/WS se teď můžou přihlašovat ke svým aplikacím pro více tenantů nebo Microsoftu pomocí společného koncového bodu (jinými slovy Obecná adresa URL aplikace, která neobsahuje váš kontext tenanta). Během procesu přihlašování uživatel typu Host zvolí Možnosti přihlášení a pak vybere možnost Přihlásit se k organizaci. Uživatel pak zadá název vaší organizace a pokračuje v přihlašování pomocí vlastních přihlašovacích údajů.

Uživatelé hosta federace IdP typu SAML/WS můžou také používat koncové body aplikací, které obsahují informace o vašem tenantovi, například:

• https://myapps.microsoft.com/?tenantid=<your tenant ID>
• https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
• https://portal.azure.com/<your tenant ID>

Uživatelům typu Host můžete také poskytnout přímý odkaz na aplikaci nebo prostředek tím, že zahrnete informace o vašem tenantovi, například https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID> .

Nejčastější dotazy

Můžu s ověřenými doménami Azure AD nastavit federaci IdP ve službě SAML/WS pro zápis?

Ne, zablokovali jsme IdP federaci SAML/WS pro ověřené domény Azure AD ve prospěch nativních funkcí domény spravované službou Azure AD. Pokud se pokusíte nastavit federaci IdP ve formátu SAML/WS s doménou, která je ve službě Azure AD ověřená pomocí DNS, zobrazí se chyba v Azure Portal nebo PowerShellu.

Je možné nastavit federaci IdP ve formátu SAML/WS s doménou, pro kterou existuje nespravovaný tenant (e-mail ověřený)?

Ano, můžete nastavit federaci IdP ve službě SAML/WS s doménami, které nejsou ověřené DNS v Azure AD, včetně nespravovaných (e-mailových nebo virové) tenantů Azure AD. Tito klienti se vytvářejí, když uživatel uplatní pozvánku B2B nebo provede samoobslužnou registraci do služby Azure AD pomocí domény, která aktuálně neexistuje. Pokud se doména neověřila a tenant neprošel převzetím správce, můžete nastavit federaci s touto doménou.

Kolik federačních vztahů můžu vytvořit?

V současné době je podporováno maximálně 1 000 federačních vztahů. Toto omezení zahrnuje i interní federace i IdPé federace SAML/WS.

Můžu u stejného tenanta nastavit federaci s více doménami?

V současné době nepodporujeme IdP federaci SAML/WS s více doménami ze stejného tenanta.

Musím po vypršení platnosti podpisového certifikátu obnovit?

Pokud v nastavení IdP zadáte adresu URL metadat, služba Azure AD automaticky obnoví podpisový certifikát, jakmile vyprší jeho platnost. Pokud se ale certifikát z jakéhokoli důvodu před časem vypršení platnosti neposkytne, nebo pokud nezadáte adresu URL metadat, Azure AD ho nebude moct obnovit. V takovém případě budete muset podpisový certifikát aktualizovat ručně.

Pokud je povolená federace SAML/WS IdP a e-mailové ověřování jednorázovým heslem, které metoda má přednost?

Pokud je IdP federace SAML/WS vytvořená s partnerskými organizacemi, má přednost před ověřováním jednorázovým heslem e-mailu pro nové uživatele typu host z této organizace. Pokud uživatel typu Host znovu nastavil pozvánku pomocí jednorázového ověřování pomocí hesla před nastavením federace IdP SAML/WS, bude používat jednorázové ověřování pomocí hesla.

Jsou problémy s přihlašováním k IdP federačních adres typu SAML/WS z důvodu částečně synchronizovaného tenantů?

Ne, v tomto scénáři by měla být použita funkce pro jednorázové heslo e-mailu . "Částečně synchronizovaná tenant" odkazuje na partnera Azure AD, u kterého nejsou místní identity uživatelů plně synchronizovány do cloudu. Host, jehož identita ještě v cloudu neexistuje, ale pokud se pokusí uplatnit uplatnění pozvánky B2B, nebude se moct přihlásit. Funkce jednorázového hesla umožní tomuto hostovi přihlašovat se. Funkce federačního IdP SAML/WS se zaměřuje na scénáře, kde má host svůj vlastní účet organizace spravovaný IdP, ale organizace nemá žádnou přítomnost Azure AD vůbec.

Po nakonfigurování IdP federace pro zápis SAML/WS s organizací musí každý host Odeslat a uplatnit individuální pozvánku?

Nastavení federace IdP pro SAML/WS nemění metodu ověřování pro uživatele typu Host, kteří už od vás pozvánku využili. Metodu ověřování uživatele typu Host můžete aktualizovat obnovením stavu jejich uplatnění.

Existuje způsob, jak odeslat podepsaný požadavek zprostředkovateli identity SAML?

V současné době funkce federace služby Azure AD SAML/WS-dodávání nepodporuje odeslání podepsaného ověřovacího tokenu zprostředkovateli identity SAML.

Krok 1: určení, jestli partner potřebuje aktualizovat textové záznamy DNS

V závislosti na IdP partnera bude možná potřeba, aby partner aktualizoval své záznamy DNS, aby s vámi povolil federaci. K určení, jestli je potřeba aktualizace DNS, použijte následující postup.

1. Pokud je IdP jednoho z těchto povolených zprostředkovatelů identity, nejsou potřeba žádné změny DNS (Tento seznam se může změnit):

   • accounts.google.com
   • pingidentity.com
   • login.pingone.com
   • okta.com
   • oktapreview.com
   • okta-emea.com
   • my.salesforce.com
   • federation.exostar.com
   • federation.exostartest.com
   • idaptive.app
   • idaptive.qa

2. Pokud IdP není jedním z povolených zprostředkovatelů uvedených v předchozím kroku, zkontrolujte adresu URL ověřování IdP partnera, kde zjistíte, jestli se doména shoduje s cílovou doménou nebo hostitelem v cílové doméně. Jinými slovy, při nastavování federace pro fabrikam.com :

   • Pokud je adresa URL ověřování https://fabrikam.com nebo https://sts.fabrikam.com/adfs (hostitel ve stejné doméně), nejsou potřeba žádné změny DNS.
   • Pokud je adresa URL pro ověření https://fabrikamconglomerate.com/adfs   nebo  https://fabrikam.com.uk/adfs , doména se neshoduje s doménou Fabrikam.com, takže partner bude muset do konfigurace DNS přidat textový záznam pro URL ověřování.

   Důležité

   V následujícím kroku je známý problém. V současné době Přidání textového záznamu DNS do domény federování IdP nebude odblokovat ověřování. Aktivně pracujeme na řešení tohoto problému.

3. Pokud jsou potřebné změny DNS v závislosti na předchozím kroku, požádejte partnera, aby přidal záznam TXT do záznamů DNS domény, jako v následujícím příkladu:

   fabrikam.com.  IN   TXT   DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs

Krok 2: Konfigurace IdP partnerské organizace

V dalším kroku vaše partnerská organizace potřebuje nakonfigurovat své IdP s požadovanými deklaracemi identity a vztahy důvěryhodnosti předávající strany.

Konfigurace SAML 2,0

Azure AD B2B je možné nakonfigurovat tak, aby federovat pomocí zprostředkovatelů identity, které používají protokol SAML s konkrétními požadavky uvedenými níže. Další informace o nastavení vztahu důvěryhodnosti mezi IdP SAML a Azure AD najdete v tématu použití zprostředkovatele identity SAML 2,0 (IDP) pro jednotné přihlašování.

Povinné atributy a deklarace SAML 2,0

V následujících tabulkách jsou uvedeny požadavky na konkrétní atributy a deklarace identity, které je třeba nakonfigurovat na IdP třetí strany. Pokud chcete nastavit federaci, musí být v odpovědi SAML 2.0 od zprostředkovatele identit přijaty následující atributy. Tyto atributy lze konfigurovat propojením s online souborem XML služby tokenů zabezpečení nebo jejich ručním zadáním.

Požadované atributy pro odpověď SAML 2.0 od zprostředkovatele zabezpečení:

Požadované deklarace identity pro token SAML 2.0 vystavený prostředkovatele identity:

WS-Fed konfigurace

Azure AD B2B je možné nakonfigurovat tak, aby federoval s idp, kteří používají protokol WS-Fed s některými konkrétními požadavky, jak je uvedeno níže. V současné době se u WS-Fed poskytovatelů testovala kompatibilita se službou Azure AD, mezi které patří AD FS a Shibboleth. Další informace o navázání vztahu důvěryhodnosti předávající strany mezi poskytovatelem kompatibilním s WS-Fed a Službou Azure AD najdete v dokumentu STS Integration Paper using WS Protocols (Dokument o integraci služby STS pomocí protokolů WS), který je k dispozici na webu Azure AD Identity Provider Compatibility Docs.

Požadované WS-Fed a deklarace identity

V následujících tabulkách jsou uvedené požadavky na konkrétní atributy a deklarace identity, které musí být nakonfigurované u WS-Fed identity. Pokud chcete nastavit federaci, musí být ve zprávě z WS-Fed přijata následující atributy. Tyto atributy lze konfigurovat propojením s online souborem XML služby tokenů zabezpečení nebo jejich ručním zadáním.

Požadované atributy v WS-Fed zprávy od z idP:

Požadované deklarace identity pro WS-Fed token vystavený poskytovatelem identity:

Krok 3: Konfigurace federace SAML/WS-Fed zprostředkovatele identit ve službě Azure AD

V dalším kroku nakonfigurujete federaci s edičem idp nakonfigurovaný v kroku 1 ve službě Azure AD. Můžete použít portál Azure AD nebo PowerShell. Může trvat 5 až 10 minut, než se zásady federace projeví. Během této doby se nepokoušejte uplatnit pozvánku k federační doméně. Jsou vyžadovány následující atributy:

• Identifikátor URI vystavitele z idP partnera
• Koncový bod pasivního ověřování z idP partnera (podporuje se jenom https)
• Certifikát

Konfigurace federace na portálu Azure AD

1. Přejděte na Azure Portal. V levém podokně vyberte Azure Active Directory.

2. Vyberte Externí identity Všichni > zprostředkovatelé identity.

3. Vyberte New SAML/WS-Fed IdP (Nový SAML/WS-Fed IdP).

   

4. Na stránce Nový SAML/WS-Fed IdP v části Protokol zprostředkovatele identity vyberte SAML nebo WS-FED.

   

5. Zadejte název domény vaší partnerské organizace, což bude název cílové domény pro federaci.

6. Můžete nahrát soubor metadat a naplnit podrobnosti metadat. Pokud se rozhodnete metadata zadat ručně, zadejte následující informace:

   • Název domény z idP partnera
   • ID entity z idP partnera
   • Pasivní koncový bod requestor partnera z idP
   • Certifikát

   Poznámka

   Adresa URL metadat je volitelná, ale důrazně ji doporučujeme. Pokud zadáte adresu URL metadat, Azure AD může po vypršení platnosti podpisového certifikátu automaticky obnovit podpisový certifikát. Pokud se certifikát z nějakého důvodu obměna před vypršením platnosti nebo pokud nezadáte adresu URL metadat, Azure AD ho nebude moci obnovit. V takovém případě budete muset podpisový certifikát aktualizovat ručně.

7. Vyberte Uložit.

Konfigurace federace SAML/WS-Fed zprostředkovatele identit v Azure AD pomocí PowerShellu

1. Nainstalujte nejnovější verzi Azure AD PowerShellu pro modul Graph (AzureADPreview). Pokud potřebujete podrobný postup, rychlý start obsahuje pokyny, modul PowerShellu.

2. Spusťte následující příkaz:

   Connect-AzureAD
   

3. Po zobrazení výzvy k přihlášení se přihlaste pomocí spravovaného účtu globálního správce.

4. Spusťte následující příkazy a nahraďte hodnoty ze souboru federačních metadat. Pro AD FS Server a Oktu je federační soubor federationmetadata.xml, například: https://sts.totheclouddemo.com/federationmetadata/2007-06/federationmetadata.xml .

   $federationSettings = New-Object Microsoft.Open.AzureAD.Model.DomainFederationSettings
   $federationSettings.PassiveLogOnUri ="https://sts.totheclouddemo.com/adfs/ls/"
   $federationSettings.LogOffUri = $federationSettings.PassiveLogOnUri
   $federationSettings.IssuerUri = "http://sts.totheclouddemo.com/adfs/services/trust"
   $federationSettings.MetadataExchangeUri="https://sts.totheclouddemo.com/adfs/services/trust/mex"
   $federationSettings.SigningCertificate= <Replace with X509 signing cert’s public key>
   $federationSettings.PreferredAuthenticationProtocol="WsFed" OR "Samlp"
   $domainName = <Replace with domain name>
   New-AzureADExternalDomainFederation -ExternalDomainName $domainName  -FederationSettings $federationSettings
   

Krok 4: Testování federace SAML/WS-Fed IdP v Azure AD

Teď otestujte nastavení federace pozváním nového uživatele B2B hosta. Podrobnosti najdete v tématu Přidání uživatelů spolupráce B2Bve službě Azure AD Azure Portal .

Návody federačního vztahu SAML/WS-Fed IdP?

1. Přejděte na Azure Portal. V levém podokně vyberte Azure Active Directory.
2. Vyberte Externí identity.
3. Vyberte Všichni zprostředkovatelé identity.
4. V části Zprostředkovatelé identity SAML/WS-Fed vyberte poskytovatele.
5. V podokně podrobností zprostředkovatele identity aktualizujte hodnoty.
6. Vyberte Uložit.

Návody odebrat federaci?

Nastavení federace můžete odebrat. Pokud to tak je, uživatelé federačního hosta, kteří už mají uplatněné pozvánky, se nebudou moct přihlásit. Můžete jim ale znovu poskytnout přístup k vašim prostředkům resetováním stavu jejich uplatnění. Pokud chcete odebrat federaci pomocí z idP na portálu Azure AD:

1. Přejděte na Azure Portal. V levém podokně vyberte Azure Active Directory.
2. Vyberte Externí identity.
3. Vyberte Všichni zprostředkovatelé identity.
4. Vyberte zprostředkovatele identity a pak vyberte Odstranit.
5. Výběrem ano potvrďte odstranění.

Odebrání federace pomocí zprostředkovatele identity pomocí PowerShellu:

1. Nainstalujte nejnovější verzi Azure AD PowerShellu pro modul Graph (AzureADPreview).

2. Spusťte následující příkaz:

   Connect-AzureAD
   

3. V příkazovém řádku pro přihlášení se přihlaste pomocí účtu spravovaného globálního správce.

4. Zadejte následující příkaz:

   Remove-AzureADExternalDomainFederation -ExternalDomainName  $domainName
   

Další kroky

Přečtěte si další informace o prostředí pro uplatnění pozvánky , když se externí uživatelé přihlásí pomocí různých zprostředkovatelů identity.