Federace s poskytovateli identit SAML/WS-Fed pro uživatele typu host

  • Článek
  • 12 min ke čtení

Poznámka

  • Přímá federace v Azure Active Directory se teď označuje jako federace zprostředkovatele identity SAML/WS-Fed.

Tento článek popisuje, jak nastavit federaci s libovolnou organizací, jejíž zprostředkovatel identity (IDP) podporuje protokol SAML 2.0 nebo WS-Fed. Když nastavíte federaci s zprostředkovatele identity partnera, můžou noví uživatelé typu host z této domény používat svůj vlastní účet organizace spravovaný zprostředkovatele identity, aby se přihlásili k vašemu Azure AD tenantovi a začali s vámi spolupracovat. Uživatel typu host nemusí vytvořit samostatný účet Azure AD.

Důležité

  • Pro nové federace SAML/WS-Fed IdP už nepodporujeme seznam povolených zprostředkovatele identity. Při nastavování nové externí federace si projděte krok 1: Zjistěte, jestli partner potřebuje aktualizovat svoje textové záznamy DNS.
  • V požadavku SAML odeslaném Azure AD pro externí federace je adresa URL vystavitele koncový bod tenanta. U všech nových federací doporučujeme, aby všichni naši partneři nastavili cílovou skupinu SAML nebo WS-Fed zprostředkovatele identity na tenantovaný koncový bod. Níže najdete informace o požadovaných atributech a deklarací identity SAML 2.0 a WS-Fed . Všechny existující federace nakonfigurované pro globální koncový bod budou nadále fungovat, ale nové federace přestanou fungovat, pokud externí zprostředkovatele identity očekává adresu URL globálního vystavitele v požadavku SAML.
  • V současné době můžete do externí federace přidat jenom jednu doménu. Aktivně pracujeme na povolení dalších domén.
  • Odebrali jsme omezení, které vyžadovalo, aby doména adresy URL ověřování odpovídala cílové doméně nebo byla z povoleného zprostředkovatele identity. Podrobnosti najdete v kroku 1: Určení, jestli partner potřebuje aktualizovat svoje textové záznamy DNS.

Kdy se uživatel typu host ověřuje pomocí federace SAML/WS-Fed IdP?

Po nastavení federace se SAML/WS-Fed IdP organizace ověří všichni noví uživatelé typu host, které pozvete, pomocí protokolu SAML/WS-Fed IdP. Je důležité si uvědomit, že nastavení federace nemění metodu ověřování pro uživatele typu host, kteří už od vás pozvánku uplatnili. Tady je několik příkladů:

  • Pokud už od vás uživatelé typu host uplatnili pozvánky a následně jste nastavili federaci pomocí PROTOKOLU SAML/WS-Fed IDP organizace, budou tito uživatelé typu host dál používat stejnou metodu ověřování, kterou použili před nastavením federace.
  • Pokud nastavíte federaci pomocí SAML/WS-Fed IDP organizace a pozvete uživatele typu host a partnerská organizace se později přesune na Azure AD, uživatelé typu host, kteří už uplatnili pozvánky, budou dál používat federovaný protokol SAML/WS-Fed IdP, pokud existují zásady federace ve vašem tenantovi.
  • Pokud odstraníte federaci pomocí PROTOKOLU SAML/WS-Fed IdP organizace, nebudou se moct přihlásit všichni uživatelé typu host, kteří aktuálně používají ID SAML/WS-Fed.

V některém z těchto scénářů můžete aktualizovat metodu ověřování uživatele typu host resetováním stavu uplatnění.

Federace SAML/WS-Fed IdP je svázaná s obory názvů domén, jako jsou contoso.com a fabrikam.com. Organizace při vytváření federace se službou AD FS nebo zprostředkovatele identity třetích stran přidružují k těmto zprostředkovatele identity jeden nebo více oborů názvů domény.

Prostředí koncového uživatele

S federací SAML/WS-Fed IdP se uživatelé typu host přihlašují k vašemu tenantovi Azure AD pomocí vlastního účtu organizace. Když přistupují ke sdíleným prostředkům a zobrazí se výzva k přihlášení, uživatelé se přesměrují na svého zprostředkovatele identity. Po úspěšném přihlášení se uživatelům vrátí Azure AD pro přístup k prostředkům. Jejich obnovovací tokeny jsou platné 12 hodin, výchozí délka předávacího obnovovacího tokenu v Azure AD. Pokud má federovaný zprostředkovatele identity povolené jednotné přihlašování, uživatel se po počátečním ověření nezobrazí žádné výzvy k přihlášení.

Koncové body přihlášení

Uživatelé federačního programu SAML/WS-Fed IdP se teď můžou přihlásit k vašim víceklientům nebo aplikacím Microsoftu první strany pomocí společného koncového bodu (jinými slovy obecná adresa URL aplikace, která neobsahuje kontext vašeho tenanta). Během procesu přihlášení uživatel typu host zvolí možnosti přihlášení a pak vybere možnost Přihlásit se k organizaci. Uživatel pak zadá název vaší organizace a bude se dál přihlašovat pomocí svých vlastních přihlašovacích údajů.

Uživatelé federačního hosta SAML/WS-Fed IdP můžou také používat koncové body aplikací, které obsahují informace o vašem tenantovi, například:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

Uživatelům typu host můžete také poskytnout přímý odkaz na aplikaci nebo prostředek tak, že zahrnete informace o tenantovi, například https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Nejčastější dotazy

Můžu nastavit federaci SAML/WS-Fed IdP s Azure AD ověřenými doménami?

Ne, zablokujeme federaci SAML/WS-Fed IdP pro Azure AD ověřené domény ve prospěch nativních možností Azure AD spravované domény. Pokud se pokusíte nastavit federaci SAML/WS-Fed IdP s doménou ověřenou v Azure AD DNS, zobrazí se chyba.

Můžu nastavit federaci SAML/WS-Fed IdP s doménou, pro kterou existuje nespravovaný (ověřený e-mail) tenant?

Ano, můžete nastavit federaci SAML/WS-Fed IdP s doménami, které nejsou ověřeny DNS v Azure AD, včetně nespravovaných (ověřených e-mailů nebo virálních) Azure AD tenantů. Tito tenanti se vytvoří, když uživatel uplatní pozvánku B2B nebo provede samoobslužnou registraci pro Azure AD pomocí domény, která aktuálně neexistuje. Pokud se doména neověřila a tenant neprošel převzetím správce, můžete nastavit federaci s danou doménou.

Kolik relací federace můžu vytvořit?

V současné době se podporuje maximálně 1 000 federačních vztahů. Tento limit zahrnuje interní federace i federace SAML/WS-Fed IdP.

Můžu nastavit federaci s více doménami ze stejného tenanta?

V současné době nepodporujeme federaci SAML/WS-Fed IdP s více doménami ze stejného tenanta.

Musím podpisový certifikát obnovit, když vyprší jeho platnost?

Pokud v nastavení zprostředkovatele identity zadáte adresu URL metadat, Azure AD podpisový certifikát po vypršení platnosti automaticky obnoví. Pokud se ale certifikát z nějakého důvodu před vypršením platnosti otočí nebo pokud nezadáte adresu URL metadat, Azure AD ho nebude možné obnovit. V takovém případě budete muset podpisový certifikát aktualizovat ručně.

Pokud je povolená federace SAML/WS-Fed IdP a jednorázové ověřování hesla e-mailu, jaká metoda má přednost?

Když se vytvoří federace SAML/WS-Fed IdP s partnerskou organizací, má přednost před jednorázovým ověřováním e-mailu pro nové uživatele typu host z této organizace. Pokud uživatel typu host uplatnil pozvánku pomocí jednorázového ověřování hesla před nastavením federace SAML/WS-Fed IdP, bude dál používat jednorázové ověřování hesla.

Řeší problémy s přihlášením k federačnímu protokolu SAML/WS-Fed IdP kvůli částečně synchronizované tenantské službě?

Ne, v tomto scénáři by se měla používat funkce jednorázového hesla e-mailu . Částečně synchronizovaný tenant odkazuje na partnera Azure AD tenanta, kde místní identity uživatelů nejsou plně synchronizované do cloudu. Host, jehož identita ještě v cloudu neexistuje, ale kdo se pokusí uplatnit pozvánku B2B, se nebude moct přihlásit. Funkce jednorázového hesla umožní tomuto hostovi přihlásit se. Funkce federace SAML/WS-Fed IdP řeší scénáře, kdy host má vlastní účet organizace spravovaný adresou IDP, ale organizace nemá vůbec žádnou Azure AD přítomnost.

Jakmile je federace SAML/WS-Fed IdP nakonfigurovaná s organizací, je potřeba každému hostovi poslat a uplatnit individuální pozvánku?

Nastavení federace SAML/WS-Fed IdP nemění metodu ověřování pro uživatele typu host, kteří už od vás pozvánku uplatnili. Metodu ověřování uživatele typu host můžete aktualizovat resetováním stavu uplatnění.

Existuje způsob, jak odeslat podepsaný požadavek zprostředkovateli identity SAML?

V současné době Azure AD federační funkce SAML/WS-Fed nepodporuje odesílání podepsaného ověřovacího tokenu zprostředkovateli identity SAML.

Krok 1: Určení, jestli partner potřebuje aktualizovat svoje textové záznamy DNS

V závislosti na zprostředkovatele identity partnera možná bude muset partner aktualizovat záznamy DNS, aby s vámi povolil federaci. Pomocí následujících kroků určete, jestli jsou potřeba aktualizace DNS.

Poznámka

Pro nové federace SAML/WS-Fed IdP už nepodporujeme seznam povolených zprostředkovatele identity.

  1. Zkontrolujte adresu URL pasivního ověřování zprostředkovatele identity partnera a zjistěte, jestli doména odpovídá cílové doméně nebo hostiteli v cílové doméně. Jinými slovy, při nastavování federace pro fabrikam.com:

    • Pokud je https://fabrikam.com koncový bod pasivního ověřování nebo https://sts.fabrikam.com/adfs (hostitel ve stejné doméně), nejsou potřeba žádné změny DNS.
    • Pokud je https://fabrikamconglomerate.com/adfs koncový bod pasivního ověřování nebo https://fabrikam.com.uk/adfs, doména neodpovídá fabrikam.com doméně, takže partner bude muset přidat textový záznam pro adresu URL ověřování do konfigurace DNS.

  2. Pokud jsou potřebné změny DNS na základě předchozího kroku, požádejte partnera, aby do záznamů DNS své domény přidal záznam TXT, například v následujícím příkladu:

    fabrikam.com.  IN   TXT   DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs

Krok 2: Konfigurace zprostředkovatele identity partnerské organizace

V dalším kroku musí vaše partnerská organizace nakonfigurovat svého zprostředkovatele identity s požadovanými deklaracemi identity a vztahy důvěryhodnosti předávající strany.

Poznámka

Abychom si ukázali, jak nakonfigurovat SAML/WS-Fed IdP pro federaci, použijeme jako příklad Active Directory Federation Services (AD FS) (AD FS). Přečtěte si článek Konfigurace federace SAML/WS-Fed IdP se službou AD FS, která uvádí příklady konfigurace služby AD FS jako ZPROSTŘEDKOVATELE identity SAML 2.0 nebo WS-Fed zprostředkovatele identity při přípravě federace.

Konfigurace SAML 2.0

Azure AD B2B je možné nakonfigurovat tak, aby federoval s IP adresami, které používají protokol SAML s konkrétními požadavky uvedenými níže. Další informace o nastavení vztahu důvěryhodnosti mezi zprostředkovatelem identity SAML a Azure AD najdete v tématu Použití zprostředkovatele identity SAML 2.0 pro jednotné přihlašování.

Poznámka

Cílová doména pro federaci SAML/WS-Fed IDP nesmí být v Azure AD ověřená DNS. Podrobnosti najdete v části Nejčastější dotazy .

Požadované atributy a deklarace identity SAML 2.0

Následující tabulky ukazují požadavky na konkrétní atributy a deklarace identity, které musí být nakonfigurovány na zprostředkovateli identity třetí strany. Pokud chcete nastavit federaci, musí být v odpovědi SAML 2.0 z zprostředkovatele identity přijaty následující atributy. Tyto atributy je možné nakonfigurovat propojením se souborem XML služby tokenů zabezpečení online nebo jejich ručním zadáním.

Poznámka

Ujistěte se, že následující hodnota odpovídá cloudu, pro který nastavujete externí federaci.

Požadované atributy pro odpověď SAML 2.0 z zprostředkovatele identity:

Atribut Hodnota
AssertionConsumerService https://login.microsoftonline.com/login.srf
Cílová skupina https://login.microsoftonline.com/<tenant ID>/(Doporučeno) Nahraďte <tenant ID> ID tenanta tenanta Azure AD tenanta, kterým nastavujete federaci.

V požadavku SAML odeslaném Azure AD pro externí federace je adresa URL vystavitele koncový bod tenanta (napříkladhttps://login.microsoftonline.com/<tenant ID>/). U všech nových federací doporučujeme, aby všichni naši partneři nastavili cílovou skupinu SAML nebo WS-Fed zprostředkovatele identity na tenantovaný koncový bod. Všechny existující federace nakonfigurované s globálním koncovým bodem (napříkladurn:federation:MicrosoftOnline) budou nadále fungovat, ale nové federace přestanou fungovat, pokud externí zprostředkovatele identity očekává adresu URL globálního vystavitele v požadavku SAML odeslaném Azure AD.
Vystavitel Identifikátor URI vystavitele zprostředkovatele identity partnera, například http://www.example.com/exk10l6w90DHM0yi...

Požadované deklarace identity pro token SAML 2.0 vystavený zprostředkovatelem identity:

Název atributu Hodnota
Formát NameID urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress Emailaddress

konfigurace WS-Fed

Azure AD B2B je možné nakonfigurovat tak, aby federoval s federovanými ip adresami, které používají protokol WS-Fed s některými konkrétními požadavky, jak je uvedeno níže. V současné době byli dva poskytovatelé WS-Fed testováni na kompatibilitu s Azure AD zahrnují SLUŽBU AD FS a Shibboleth. Další informace o vytvoření vztahu důvěryhodnosti předávající strany mezi poskytovatelem kompatibilním s WS-Fed s Azure AD najdete v dokumentaci k kompatibilitě zprostředkovatele identity v dokumentaci k Azure AD zprostředkovateli identit.

Poznámka

Cílová doména pro federaci nesmí být u Azure AD ověřena dns. Podrobnosti najdete v části Nejčastější dotazy .

Požadované atributy WS-Fed a deklarace identity

Následující tabulky ukazují požadavky na konkrétní atributy a deklarace identity, které musí být nakonfigurovány na WS-Fed zprostředkovatele identity třetí strany. Pokud chcete nastavit federaci, musí být v WS-Fed zprávě z zprostředkovatele identity přijaty následující atributy. Tyto atributy je možné nakonfigurovat propojením se souborem XML služby tokenů zabezpečení online nebo jejich ručním zadáním.

Poznámka

Ujistěte se, že následující hodnota odpovídá cloudu, pro který nastavujete externí federaci.

Požadované atributy ve zprávě WS-Fed z zprostředkovatele identity:

Atribut Hodnota
PassiveRequestorEndpoint https://login.microsoftonline.com/login.srf
Cílová skupina https://login.microsoftonline.com/<tenant ID>/(Doporučeno) Nahraďte <tenant ID> ID tenanta tenanta Azure AD tenanta, kterým nastavujete federaci.

V požadavku SAML odeslaném Azure AD pro externí federace je adresa URL vystavitele koncový bod tenanta (napříkladhttps://login.microsoftonline.com/<tenant ID>/). U všech nových federací doporučujeme, aby všichni naši partneři nastavili cílovou skupinu SAML nebo WS-Fed zprostředkovatele identity na tenantovaný koncový bod. Všechny existující federace nakonfigurované s globálním koncovým bodem (napříkladurn:federation:MicrosoftOnline) budou nadále fungovat, ale nové federace přestanou fungovat, pokud externí zprostředkovatele identity očekává adresu URL globálního vystavitele v požadavku SAML odeslaném Azure AD.
Vystavitel Identifikátor URI vystavitele zprostředkovatele identity partnera, například http://www.example.com/exk10l6w90DHM0yi...

Požadované deklarace identity pro token WS-Fed vystavený zprostředkovatelem identity:

Atribut Hodnota
ImmutableID http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
Emailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Krok 3: Konfigurace federace SAML/WS-Fed IdP v Azure AD

Dále nakonfigurujete federaci pomocí zprostředkovatele identity nakonfigurovaného v kroku 1 v Azure AD. Můžete použít portál Azure AD nebo microsoft Graph API. Než se zásady federace projeví, může to trvat 5 až 10 minut. Během této doby se nepokoušejte uplatnit pozvánku pro federační doménu. Jsou vyžadovány následující atributy:

  • Identifikátor URI vystavitele zprostředkovatele identity partnera
  • Koncový bod pasivního ověřování zprostředkovatele identity partnera (podporuje se jenom https)
  • Certifikát

Konfigurace federace na portálu Azure AD

  1. Přejděte na Azure Portal. V levém podokně vyberte Azure Active Directory.

  2. Vyberte externí identity>Všechny zprostředkovatele identity.

  3. Vyberte New SAML/WS-Fed IdP.

    Screenshot showing button for adding a new SAML or WS-Fed IdP.

  4. Na stránce New SAML/WS-Fed IdP zadejte následující:

    • Zobrazované jméno – zadejte jméno, které vám pomůže identifikovat zprostředkovatele identity partnera.
    • Protokol zprostředkovatele identity – Vyberte SAML nebo WS-Fed.
    • Název domény federačního zprostředkovatele identity – zadejte cílový název domény zprostředkovatele identity partnera pro federaci. V současné době se podporuje jeden název domény, ale pracujeme na tom, abychom povolili více.

    Screenshot showing the new SAML or WS-Fed IdP page.

  5. Vyberte metodu pro naplnění metadat. Metadata vstupu můžete zadat ručně nebo pokud máte soubor, který obsahuje metadata, můžete pole automaticky naplnit výběrem souboru parsovat metadata a procházením souboru.

    • Identifikátor URI vystavitele – identifikátor URI vystavitele zprostředkovatele identity partnera.
    • Koncový bod pasivního ověřování – koncový bod pasivního žadatele zprostředkovatele identity partnera.
    • Certifikát – ID podpisového certifikátu.
    • Adresa URL metadat – umístění metadat zprostředkovatele identity pro automatické prodlužování podpisového certifikátu.

    Screenshot showing metadata fields.

    Poznámka

    Adresa URL metadat je volitelná, důrazně ji ale doporučujeme. Pokud zadáte adresu URL metadat, Azure AD může podpisový certifikát po vypršení platnosti automaticky obnovit. Pokud se certifikát otočí z nějakého důvodu před vypršením platnosti nebo pokud nezadáte adresu URL metadat, Azure AD ho nebude možné obnovit. V takovém případě budete muset podpisový certifikát aktualizovat ručně.

  6. Vyberte Uložit.

Konfigurace federace pomocí Graph API Microsoftu

Typ prostředku Microsoft Graph API samlOrWsFedExternalDomainFederation můžete použít k nastavení federace s zprostředkovatelem identity, který podporuje protokol SAML nebo WS-Fed.

Krok 4: Testování federace SAML/WS-Fed IdP v Azure AD

Teď otestujte nastavení federace pozváním nového uživatele typu host B2B. Podrobnosti najdete v tématu Přidání Azure AD uživatelů spolupráce B2B v Azure Portal.

Návody aktualizovat podrobnosti o certifikátu nebo konfiguraci?

Na stránce Všichni zprostředkovatelé identity můžete zobrazit seznam zprostředkovatelů identity SAML/WS-Fed, které jste nakonfigurovali, a jejich data vypršení platnosti certifikátu. V tomto seznamu můžete obnovit certifikáty a upravit další podrobnosti konfigurace.

Screenshot showing an identity provider in the SAML WS-Fed list

  1. Přejděte na Azure Portal. V levém podokně vyberte Azure Active Directory.

  2. Vyberte externí identity.

  3. Vyberte Všechny zprostředkovatele identity.

  4. V části Zprostředkovatele identity SAML/WS-Fed se posuňte na zprostředkovatele identity v seznamu nebo použijte vyhledávací pole.

  5. Aktualizace certifikátu nebo úprava podrobností konfigurace:

    • Ve sloupci Konfigurace pro zprostředkovatele identity vyberte odkaz Upravit .
    • Na stránce konfigurace upravte některou z následujících podrobností:
      • Zobrazovaný název – zobrazovaný název pro organizaci partnera.
      • Protokol zprostředkovatele identity – Vyberte SAML nebo WS-Fed.
      • Koncový bod pasivního ověřování – koncový bod pasivního žadatele zprostředkovatele identity partnera.
      • Certifikát – ID podpisového certifikátu. Pokud ho chcete obnovit, zadejte nové ID certifikátu.
      • Adresa URL metadat – adresa URL obsahující metadata partnera, která slouží k automatickému prodlužování podpisového certifikátu.
    • Vyberte Uložit.

    Screenshot of the IDP configuration details.

  6. Pokud chcete zobrazit doménu pro zprostředkovatele identity, vyberte odkaz ve sloupci Domény a zobrazte název cílové domény partnera pro federaci.

    Poznámka

    Pokud potřebujete aktualizovat doménu partnera, budete muset odstranit konfiguraci a znovu nakonfigurovat federaci s zprostředkovatelem identity pomocí nové domény.

    Screenshot of the domain configuration page

Návody odebrat federaci?

Konfiguraci federace můžete odebrat. Pokud to uděláte, federační uživatelé typu host, kteří už své pozvánky uplatnit, se nebudou moct přihlásit. Můžete jim ale znovu udělit přístup k vašim prostředkům tak, že obnovíte jejich stav uplatnění. Odebrání konfigurace zprostředkovatele identity na portálu Azure AD:

  1. Přejděte na Azure Portal. V levém podokně vyberte Azure Active Directory.

  2. Vyberte externí identity.

  3. Vyberte Všechny zprostředkovatele identit.

  4. V části Zprostředkovatele identity SAML/WS-Fed se posuňte na zprostředkovatele identity v seznamu nebo použijte vyhledávací pole.

  5. Výběrem odkazu ve sloupci Domény zobrazíte podrobnosti domény zprostředkovatele identity.

  6. Vyberte Odstranit konfiguraci.

    Screenshot of deleting a configuration.

  7. Odstranění potvrďte tak, že vyberete OK .

Federaci můžete také odebrat pomocí typu prostředku Microsoft Graph API samlOrWsFedExternalDomainFederation.

Další kroky

Přečtěte si další informace o prostředí pro uplatnění pozvánky , když se externí uživatelé přihlásí pomocí různých zprostředkovatelů identity.