Příklad: Konfigurace federace zprostředkovatele identity založeného na SAML/WS-Fedu se službou AD FS
Poznámka:
- Přímá federace v Microsoft Entra Externí ID se teď označuje jako federace zprostředkovatele identity SAML/WS-Fed.
Tento článek popisuje, jak nastavit federaci SAML/WS-Fed IdP pomocí Active Directory Federation Services (AD FS) (AD FS) jako SAML 2.0 nebo WS-Fed IdP. Aby bylo možné podporovat federaci, musí být v zprostředkovateli identity nakonfigurované určité atributy a deklarace identity. Abychom si ukázali, jak nakonfigurovat zprostředkovatele identity pro federaci, jako příklad používáme Active Directory Federation Services (AD FS) (AD FS). Ukážeme si, jak nastavit službu AD FS jako zprostředkovatele IDENTITY SAML i jako zprostředkovatele IDENTITY WS-Fed.
Poznámka:
Tento článek popisuje, jak nastavit službu AD FS pro samL i WS-Fed pro účely ilustrace. Pro federační integrace, kde je federační federační protokol AD FS, doporučujeme jako protokol použít WS-Fed.
Konfigurace služby AD FS pro federaci SAML 2.0
Microsoft Entra B2B je možné nakonfigurovat tak, aby federoval s ip adresami, které používají protokol SAML s konkrétními požadavky uvedenými níže. Pro ilustraci kroků konfigurace SAML se v této části dozvíte, jak nastavit službu AD FS pro SAML 2.0.
Pokud chcete nastavit federaci, musí být v odpovědi SAML 2.0 z zprostředkovatele identity přijaty následující atributy. Tyto atributy lze nakonfigurovat propojením se souborem XML služby tokenů zabezpečení online nebo ručním zadáním. Krok 12 v části Vytvoření testovací instance služby AD FS popisuje, jak najít koncové body služby AD FS nebo jak vygenerovat adresu URL metadat, například https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.
| Atribut | Hodnota |
|---|---|
| AssertionConsumerService | https://login.microsoftonline.com/login.srf |
| Cílová skupina | urn:federation:MicrosoftOnline |
| Issuer | Identifikátor URI vystavitele zprostředkovatele identity partnera, například http://www.example.com/exk10l6w90DHM0yi... |
V tokenu SAML 2.0 vydaném zprostředkovatelem identity je potřeba nakonfigurovat následující deklarace identity:
| Atribut | Hodnota |
|---|---|
| Formát NameID | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
| Emailaddress | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Následující část ukazuje, jak nakonfigurovat požadované atributy a deklarace identity pomocí služby AD FS jako příklad zprostředkovatele identity SAML 2.0.
Než začnete
Před zahájením tohoto postupu už musí být server služby AD FS nastavený a funkční.
Přidání popisu deklarace identity
Na serveru služby AD FS vyberte Nástroje>pro správu služby AD FS.
V navigačním podokně vyberte Popisy deklarací identity služby>.
V části Akce vyberte Přidat popis deklarace identity.
V okně Přidat popis deklarace identity zadejte následující hodnoty:
- Zobrazovaný název: Trvalý identifikátor
- Identifikátor deklarace identity:
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent - Zaškrtněte políčko Publikovat tento popis deklarace identity v metadatech federace jako typ deklarace identity, který může tato federační služba přijmout.
- Zaškrtněte políčko Publikovat tento popis deklarace identity v metadatech federace jako typ deklarace identity, který může tato federační služba odeslat.
Vyberte OK.
Přidání vztahu důvěryhodnosti předávající strany
Na serveru SLUŽBY AD FS přejděte do části Nástroje>pro správu služby AD FS.
V navigačním podokně vyberte Vztahy důvěryhodnosti předávající strany.
V části Akce vyberte Přidat vztah důvěryhodnosti předávající strany.
V Průvodci přidáním vztahu důvěryhodnosti předávající strany vyberte Deklarace identity a pak vyberte Spustit.
V části Vybrat zdroj dat zaškrtněte políčko Importovat data o předávající straně publikované online nebo v místní síti. Zadejte tuto adresu URL federačních metadat:
https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. Vyberte Další.Ostatní nastavení ponechte ve svých výchozích možnostech. Pokračujte výběrem možnosti Další a nakonec výběrem možnosti Zavřít zavřete průvodce.
Ve správě služby AD FS klikněte v části Vztahy důvěryhodnosti předávající strany pravým tlačítkem myši na vztah důvěryhodnosti předávající strany, kterou jste právě vytvořili, a vyberte Vlastnosti.
Na kartě Monitorování zrušte zaškrtnutí políčka Sledovat předávající stranu.
Na kartě Identifikátory zadejte
https://login.microsoftonline.com/<tenant ID>/do textového pole identifikátoru předávající strany pomocí ID tenanta partnera služby Microsoft Entra. Vyberte Přidat.Poznámka:
Nezapomeňte za ID tenanta zahrnout lomítko (/), například:
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.Vyberte OK.
Vytvoření pravidel deklarací identity
Klikněte pravým tlačítkem myši na vztah důvěryhodnosti předávající strany, kterou jste vytvořili, a pak vyberte Upravit zásady vystavování deklarací identity.
V průvodci upravit pravidla deklarací identity vyberte Přidat pravidlo.
V šabloně pravidla deklarace identity vyberte Možnost Odeslat atributy LDAP jako deklarace identity.
V části Konfigurovat pravidlo deklarace identity zadejte následující hodnoty:
- Název pravidla deklarace identity: Pravidlo deklarace identity e-mailem
- Úložiště atributů: Active Directory
- Atribut LDAP: E-mailové adresy
- Typ odchozí deklarace identity: E-mailová adresa
Vyberte Dokončit.
Vyberte položku Přidat pravidlo.
V šabloně pravidla deklarace identity vyberte Transformovat příchozí deklaraci a pak vyberte Další.
V části Konfigurovat pravidlo deklarace identity zadejte následující hodnoty:
- Název pravidla deklarace identity: Pravidlo transformace e-mailu
- Typ příchozí deklarace identity: E-mailová adresa
- Typ odchozí deklarace identity: ID názvu
- Formát ID odchozího názvu: Trvalý identifikátor
- Vyberte Předat všechny hodnoty deklarace identity.
Vyberte Dokončit.
V podokně Upravit pravidla deklarací identity se zobrazují nová pravidla. Vyberte Použít.
Vyberte OK. Server SLUŽBY AD FS je teď nakonfigurovaný pro federaci pomocí protokolu SAML 2.0.
Konfigurace služby AD FS pro federaci WS-Fed
Microsoft Entra B2B je možné nakonfigurovat pro federaci s federovanými poskytovateli identity, které používají protokol WS-Fed s konkrétními požadavky uvedenými níže. V současné době jsou dva poskytovatelé WS-Fed testováni na kompatibilitu s Microsoft Entra Externí ID zahrnují SLUŽBU AD FS a Shibboleth. Tady jako příklad zprostředkovatele WS-Fedu používáme Active Directory Federation Services (AD FS) (AD FS). Další informace o vytvoření vztahu důvěryhodnosti předávající strany mezi poskytovatelem kompatibilním se ws-Fed s Microsoft Entra Externí ID si stáhněte dokumentaci k kompatibilitě zprostředkovatele identity Microsoft Entra.
Chcete-li nastavit federaci, musí být následující atributy přijaty ve zprávě WS-Fed z zprostředkovatele identity. Tyto atributy lze nakonfigurovat propojením se souborem XML služby tokenů zabezpečení online nebo ručním zadáním. Krok 12 v části Vytvoření testovací instance služby AD FS popisuje, jak najít koncové body služby AD FS nebo jak vygenerovat adresu URL metadat, například https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.
| Atribut | Hodnota |
|---|---|
| PassiveRequestorEndpoint | https://login.microsoftonline.com/login.srf |
| Cílová skupina | urn:federation:MicrosoftOnline |
| Issuer | Identifikátor URI vystavitele zprostředkovatele identity partnera, například http://www.example.com/exk10l6w90DHM0yi... |
Požadované deklarace identity pro token WS-Fed vystavený zprostředkovatelem identity:
| Atribut | Hodnota |
|---|---|
| ImmutableID | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
| Emailaddress | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Následující část ukazuje, jak nakonfigurovat požadované atributy a deklarace identity pomocí služby AD FS jako příklad zprostředkovatele IDENTITY WS-Fed.
Než začnete
Před zahájením tohoto postupu už musí být server služby AD FS nastavený a funkční.
Přidání vztahu důvěryhodnosti předávající strany
Na serveru SLUŽBY AD FS přejděte do části Nástroje>pro správu služby AD FS.
V navigačním podokně vyberte Vztahy>důvěryhodnosti vztahů důvěryhodnosti.
V části Akce vyberte Přidat vztah důvěryhodnosti předávající strany.
V Průvodci přidáním vztahu důvěryhodnosti předávající strany vyberte Deklarace identity a pak vyberte Spustit.
V části Vybrat zdroj dat vyberte Zadat data o předávající straně ručně a pak vyberte Další.
Na stránce Zadat zobrazovaný název zadejte název do pole Zobrazovaný název. Volitelně můžete do části Poznámky zadat popis tohoto vztahu důvěryhodnosti předávající strany. Vyberte Další.
Volitelně můžete na stránce Konfigurovat certifikát vybrat, pokud máte šifrovací certifikát tokenu, vyberte Procházet a vyhledejte soubor certifikátu. Vyberte Další.
Na stránce Konfigurovat adresu URL zaškrtněte políčko Povolit podporu pasivního protokolu WS-Federation. V části Adresa URL pasivního protokolu WS-Federation předávající strany zadejte následující adresu URL:
https://login.microsoftonline.com/login.srfVyberte Další.
Na stránce Konfigurovat identifikátory zadejte následující adresy URL a vyberte Přidat. Do druhé adresy URL zadejte ID tenanta partnera služby Microsoft Entra.
urn:federation:MicrosoftOnlinehttps://login.microsoftonline.com/<tenant ID>/
Poznámka:
Nezapomeňte za ID tenanta zahrnout lomítko (/), například:
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.Vyberte Další.
Na stránce Zvolit zásady řízení přístupu vyberte zásadu a pak vyberte Další.
Na stránce Připraveno k přidání vztahu důvěryhodnosti zkontrolujte nastavení a pak výběrem možnosti Další uložte informace o důvěryhodnosti předávající strany.
Na stránce Dokončit vyberte Zavřít. vyberte Vztah důvěryhodnosti předávající strany a vyberte Upravit zásady vystavování deklarací identity.
Vytvoření pravidel deklarací identity
Vyberte vztah důvěryhodnosti předávající strany, kterou jste právě vytvořili, a pak vyberte Upravit zásady vystavování deklarací identity.
Vyberte položku Přidat pravidlo.
Vyberte Odeslat atributy LDAP jako deklarace identity a pak vyberte Další.
V části Konfigurovat pravidlo deklarace identity zadejte následující hodnoty:
- Název pravidla deklarace identity: Pravidlo deklarace identity e-mailem
- Úložiště atributů: Active Directory
- Atribut LDAP: E-mailové adresy
- Typ odchozí deklarace identity: E-mailová adresa
Vyberte Dokončit.
Ve stejném průvodci upravit pravidla deklarací identity vyberte Přidat pravidlo.
Vyberte Odeslat deklarace identity pomocí vlastního pravidla a pak vyberte Další.
V části Konfigurovat pravidlo deklarace identity zadejte následující hodnoty:
- Název pravidla deklarace identity: Problém s neměnným ID
- Vlastní pravidlo:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), query = "samAccountName={0};objectGUID;{1}", param = regexreplace(c.Value, "(?<domain>[^\\]+)\\(?<user>.+)", "${user}"), param = c.Value);
Vyberte Dokončit.
Vyberte OK. Server SLUŽBY AD FS je teď nakonfigurovaný pro federaci pomocí WS-Fedu.
Další kroky
Dále nakonfigurujete federaci SAML/WS-Fed IdP v Microsoft Entra Externí ID buď na webu Azure Portal, nebo pomocí rozhraní Microsoft Graph API.