Konfigurieren von Identitätsanbietern

  • 10 Minuten

Der direkte Verbund wird jetzt als SAML/WS-Fed Identity Provider-Verbund (IdP) bezeichnet. Sie können einen Verbund mit jeder Organisation einrichten, deren Identitätsanbieter (IdP) das Protokoll von Security Assertion Markup Language (SAML) 2.0 oder Webdiensteverbund (WS-Fed) unterstützt. Wenn Sie einen IdP-Verbund von SAML/WS-Fed mit dem Identitätsanbieter eines Partners einrichten, können neue Gastbenutzer*innen aus dieser Domäne ihr eigenes, mit dem Identitätsanbieter verwaltetes Organisationskonto verwenden, um sich bei Ihrem Microsoft Entra-Mandanten anzumelden und mit Ihnen zusammenzuarbeiten. Es ist nicht erforderlich, dass der Gastbenutzer ein separates Microsoft Entra-Konto erstellt.

Wann wird ein Gastbenutzer mit einem SAML/WS-Fed-Identitätsanbieter-Verbund authentifiziert?

Nachdem Sie den Verbund mit dem SAML/WS-Fed-Identitätsprovider eines Unternehmens eingerichtet haben, werden alle neuen Gastbenutzer, die Sie einladen, mithilfe des SAML/WS-Fed-Identitätsproviders authentifiziert. Es ist wichtig zu beachten, dass durch das Einrichten des Verbunds nicht die Authentifizierungsmethode für Gastbenutzer geändert wird, die bereits eine Einladung von Ihnen eingelöst haben. Im Folgenden finden Sie einige Beispiele:

  • Gastbenutzer*innen haben bereits Einladungen von Ihnen eingelöst, und später haben Sie den Verbund mit dem SAML/WS-Fed-Identitätsanbieter der Organisation eingerichtet. Diese Gastbenutzer*innen verwenden weiterhin dieselbe Authentifizierungsmethode, die sie vor dem Einrichten des Verbunds verwendet haben.
  • Sie richten den Verbund mit dem SAML/WS-Fed-Identitätsanbieter einer Organisation ein und laden Gastbenutzer*innen ein. Anschließend wird die Partnerorganisation zu Microsoft Entra ID verschoben. Die Gastbenutzer*innen, die bereits Einladungen eingelöst haben, verwenden weiterhin den SAML/WS-Fed-Identitätsanbieter im Verbund, solange die Verbundrichtlinie in Ihrem Mandanten existiert.
  • Sie löschen den Verbund mit dem SAML/WS-Fed-Identitätsanbieter einer Organisation. Alle Gastbenutzer*innen, die derzeit den SAML/WS-Fed-Identitätsanbieter verwenden, können sich nicht anmelden.

In jedem dieser Szenarien können Sie die Authentifizierungsmethode eines Gastbenutzers aktualisieren, indem Sie seinen Einlösungsstatus zurücksetzen. Der SAML/WS-Fed IdP-Verbund ist an Domänen-Namespaces, z. B. „contoso.com“ und „fabrikam.com“, gebunden. Wenn der Administrator einen Verbund mit Azure Active Directory-Verbunddiensten (AD FS) oder einem Drittanbieter-IdP einrichtet, ordnen Unternehmen diesem IdP einen oder mehrere Domänen-Namespaces zu.

Endbenutzererfahrung

Mit dem SAML/WS-Fed Identitätsprovider-Verbund melden sich Gastbenutzer mit ihrem eigenen Unternehmenskonto bei Ihrem Microsoft Entra-Mandanten an. Wenn sie auf freigegebene Ressourcen zugreifen und zur Anmeldung aufgefordert werden, werden die Benutzer*innen zu ihrem Identitätsanbieter umgeleitet. Nach erfolgreicher Anmeldung werden sie an Microsoft Entra ID zurückgeleitet, um auf Ressourcen zuzugreifen. Wenn die Microsoft Entra-Sitzung abläuft oder ungültig wird und für den Verbundidentitätsanbieter SSO aktiviert ist, wird für Benutzer*innen das einmalige Anmelden durchgeführt. Wenn die Sitzung des Verbundbenutzers/der Verbundbenutzerin gültig ist, wird er/sie nicht aufgefordert, sich erneut anzumelden. Andernfalls wird der Benutzer/die Benutzerin für die Anmeldung an seinen Identitätsanbieter umgeleitet.

Konfiguration von SAML 2.0

Microsoft Entra B2B kann so konfiguriert werden, dass es einen Verbund mit Identitätsanbietern bildet, die das SAML-Protokoll mit den unten aufgeführten spezifischen Anforderungen verwenden.

Hinweis

Die Zieldomäne für den direkten Verbund darf nicht in Microsoft Entra ID-DNS-verifiziert sein.

Erforderliche SAML 2.0-Attribute und -Ansprüche

In den folgenden Tabellen sind die Anforderungen für bestimmte Attribute und Ansprüche aufgeführt, die beim Drittanbieter-Identitätsanbieter konfiguriert werden müssen. Die folgenden Attribute müssen in der SAML 2.0-Antwort vom Identitätsanbieter empfangen werden, um einen direkten Verbund einzurichten. Diese Attribute können durch Verlinkung mit der XML-Datei des Online-Sicherheitstokendiensts oder durch manuelle Eingabe konfiguriert werden.

Erforderliche Attribute für die SAML 2.0-Antwort des Identitätsanbieters:

Attribut Wert
AssertionConsumerService https://login.microsoftonline.com/login.srf
Zielgruppe urn:federation:MicrosoftOnline
Issuer (Aussteller) Der Aussteller-URI des Partneridentitätsanbieters, z. B. https://www.example.com/exk10l6w90DHM0yi...

Erforderliche Ansprüche für das vom Identitätsanbieter ausgegebene SAML 2.0-Token:

Attribut Wert
NameID-Format urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
emailaddress https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

WS-Verbund-Konfiguration

Microsoft Entra B2B kann so konfiguriert werden, dass es einen Verbund mit Identitätsanbietern bildet, die das WS-Fed-Protokoll mit einigen unten aufgeführten spezifischen Anforderungen verwenden. Derzeit sind die beiden WS-Fed-Anbieter auf Kompatibilität mit Microsoft Entra ID getestet, einschließlich AD FS und Shibboleth.

Die Zieldomäne für den direkten Verbund darf nicht in Microsoft Entra ID-DNS-verifiziert sein. Die Domäne der Authentifizierungs-URL muss mit der Zieldomäne oder der Domäne eines zulässigen Identitätsanbieters übereinstimmen.

Erforderliche WS-Verbund-Attribute und -Ansprüche

In den folgenden Tabellen sind die Anforderungen für bestimmte Attribute und Ansprüche aufgeführt, die beim Drittanbieter-WF-Verbund-Identitätsanbieter konfiguriert werden müssen. Zum Einrichten eines direkten Verbunds müssen die folgenden Attribute in der WS-Verbund-Nachricht vom Identitätsanbieter empfangen werden. Diese Attribute können durch Verlinkung mit der XML-Datei des Online-Sicherheitstokendiensts oder durch manuelle Eingabe konfiguriert werden.

Erforderliche Attribute in der WS-Verbund-Nachricht vom Identitätsanbieter:

Attribut Wert
PassiveRequestorEndpoint https://login.microsoftonline.com/login.srf
Zielgruppe urn:federation:MicrosoftOnline
Issuer (Aussteller) Der Aussteller-URI des Partneridentitätsanbieters, z. B. https://www.example.com/exk10l6w90DHM0yi...

Erforderliche Ansprüche für das vom Identitätsanbieter ausgegebene WS-Verbund-Token:

Attribut Wert
ImmutableID https://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
emailaddress https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Hinzufügen von Google als Identitätsanbieter für B2B-Gastbenutzer

Durch die Einrichtung eines Verbunds mit Google können Sie eingeladenen Benutzern ermöglichen, sich bei Ihren freigegebenen Apps und Ressourcen mit ihren eigenen Gmail-Konten anzumelden, ohne dass sie Microsoft-Konten erstellen müssen.

Hinweis

Der Google-Verbund wurde speziell für Gmail-Benutzer konzipiert. Um einen Verbund mit G Suite-Domänen einzurichten, verwenden Sie den direkten Verbund.

Wie läuft der Vorgang für Google-Benutzer ab?

Wenn Sie eine Einladung an Google Gmail-Benutzer senden, sollten die Gastbenutzer auf Ihre freigegebenen Apps oder Ressourcen über einen Link zugreifen, der den Mandantenkontext enthält. Der Ablauf hängt davon ab, ob er bereits bei Google angemeldet ist:

  • Gastbenutzer, die nicht bei Google angemeldet sind, werden aufgefordert, sich anzumelden.
  • Gastbenutzer, die bereits bei Google angemeldet sind, werden aufgefordert, das zu verwendende Konto auszuwählen. Er muss das Konto auswählen, das Sie für die Einladung verwendet haben.

Gastbenutzer*innen, denen der Fehler Header zu lang angezeigt wird, können ihre Cookies löschen oder ein privates oder ein Inkognitofenster öffnen und dann wieder versuchen, sich anzumelden.

Screenshot of shows the Google sign-in page. Users have to sign-in for access.

Einstellung der Unterstützung für die WebView-Anmeldung

Google stellt die Unterstützung für die Anmeldung bei eingebetteten Webansichten ein (ab dem 30. September 2021). Wenn Ihre Anwendungen Nutzer mit einer eingebetteten Webansicht authentifizieren und Sie Google Federation mit Microsoft Entra B2C oder Microsoft Entra B2B für externe Nutzereinladungen oder Self-Service-Anmeldungen verwenden, können sich Google Gmail-Nutzer nicht authentifizieren.

Die folgenden Szenarien sind bekannt, die Gmail-Benutzer betreffen werden:

  • Microsoft-Apps (z. B. Teams und Power Apps) unter Windows
  • Windows-Apps, die das WebView-Steuerelement WebView2 oder das ältere WebBrowser-Steuerelement für die Authentifizierung verwenden. Diese Apps sollten mithilfe des WAM-Flows (Web Account Manager) migriert werden.
  • Android-Anwendungen, die das WebView-Benutzeroberflächenelement verwenden
  • iOS-Anwendungen, die UIWebView/WKWebview verwenden
  • Anwendungen, die die Microsoft-Authentifizierungsbibliothek verwenden

Diese Änderung hat keine Auswirkungen auf folgendes:

  • Web-Apps
  • Microsoft 365-Dienste, auf die über eine Website zugegriffen wird (z. B. SharePoint Online, Office-Web-Apps und Teams-Web-App)
  • Mobile Apps, die Systemwebansichten für die Authentifizierung verwenden (SFSafariViewController unter iOS, Benutzerdefinierte Registerkarten unter Android).
  • Google Workspace-Identitäten, z. B. bei Verwendung eines SAML-basierten Verbunds mit Google Workspace
  • Windows-Apps, die WAM (Web Account Manager) oder WAB (Web Authentication Broker) verwenden.

Endpunkte für die Anmeldung

Teams unterstützt Google-Gastbenutzer vollständig auf allen Geräten. Google-Benutzer können sich über einen allgemeinen Endpunkt wie https://teams.microsoft.com bei Teams anmelden.

Die allgemeinen Endpunkte anderer Anwendungen unterstützen Google-Benutzer möglicherweise nicht. Google-Gastbenutzer müssen sich über einen Link anmelden, der Mandanteninformationen enthält. Hier einige Beispiele:

  • https://myapps.microsoft.com/?tenantid= your tenant ID
  • https://portal.azure.com/ your tenant ID
  • https://myapps.microsoft.com/ your verified domain .onmicrosoft.com

Wenn Google-Gastbenutzer versuchen, einen Link wie https://myapps.microsoft.com oder https://portal.azure.com zu verwenden, erhalten sie eine Fehlermeldung.

Sie können Google-Gastbenutzern auch einen direkten Link zu einer Anwendung oder Ressource zur Verfügung stellen, sofern dieser Link Ihre Mandanteninformationen enthält. Zum Beispiel, https://myapps.microsoft.com/signin/Twitter/ application ID?tenantId= your tenant ID

Schritt 1: Konfigurieren eines Google-Entwicklerprojekts

Erstellen Sie zunächst ein neues Projekt in der Google Developers Console, um eine Client-ID und einen geheimen Clientschlüssel abzurufen. Beides fügen Sie später in Microsoft Entra ID hinzu.

  1. Wechseln Sie zur Google-APIs unter https://console.developers.google.com, und melden Sie sich mit Ihrem Google-Konto an. Es wird empfohlen, ein freigegebenes Google-Teamkonto zu verwenden.

  2. Stimmen Sie den Vertragsbedingungen zu, wenn Sie dazu aufgefordert werden.

  3. Erstellen eines neuen Projekts: Wählen Sie im Dashboard die Option Projekt erstellen aus, geben Sie dem Projekt einen Namen (z. B. Microsoft Entra B2B) und wählen Sie dann Erstellen aus:

    Screenshot of the New Project page within the Google developers page.

  4. Wählen Sie auf der Seite APIs und Dienste die Option Ansicht unter Ihrem neuen Projekt.

  5. Wählen Sie auf der Karte „APIs“die Option Go to APIs overview (Zur API-Übersicht wechseln) aus. Wählen Sie OAuth-Zustimmungsbildschirm aus.

  6. Wählen Sie Extern und anschließend Erstellen aus.

  7. Geben Sie im OAuth-Einwilligungsbildschirm einen Anwendungsnamen ein:

    Screenshot of the Google OAuth consent screen. Users have to confirm their usage.

  8. Scrollen Sie zum Abschnitt Authorized domains (Autorisierte Domänen), und geben Sie microsoftonline.com ein:

    Screenshot of the Authorized domains section, showing with Google domains are valid.

  9. Wählen Sie Speichern aus.

  10. Wählen Sie Credentials aus. Wählen Sie im Menü Anmeldedaten erstellen die Option OAuth-Client-ID aus:

    Screenshot of the Google APIs Create credentials menu. Configure your credentials here.

  11. Wählen Sie unter Anwendungstyp die Option Webanwendung aus. Geben Sie der Anwendung einen geeigneten Namen, z. B. Microsoft Entra B2B. Geben Sie unter Autorisierte Weiterleitungs-URIs die folgenden URIs ein:

    • https://login.microsoftonline.com
    • https://login.microsoftonline.com/te/ tenant ID /oauth2/authresp (wo die https://login.microsoftonline.com/te/ tenant ID /oauth2/authresp Ihre Mandanten-ID in Azure ist)

    Screenshot of the Authorized redirect URIs section. Where do users go to validate authorization.

  12. Wählen Sie Erstellen aus. Kopieren Sie die Client-ID und den geheimen Clientschlüssel. Sie verwenden diese Informationen, wenn Sie den Identitätsanbieter im Azure-Portal hinzufügen.

    Screenshot of the OAuth client ID and client secret. Set your access secret.

Schritt 2: Konfigurieren des Google-Verbunds in Microsoft Entra ID

Sie legen nun die Google-Client-ID und den geheimen Clientschlüssel fest. Dazu können Sie das Azure-Portal oder PowerShell verwenden. Testen Sie unbedingt die Konfiguration des Google-Verbunds, indem Sie sich selbst einladen. Verwenden Sie eine Gmail-Adresse, und versuchen Sie, die Einladung mit Ihrem eingeladenen Google-Konto einzulösen.

So konfigurieren Sie den Google-Verbund im Azure-Portal

  1. Öffnen Sie das Azure-Portal. Wählen Sie im linken Bereich Microsoft Entra IDaus.

  2. Wählen Sie Externe Identitäten aus.

  3. Wählen Sie Alle Identitätsanbieter und dann die Schaltfläche Google aus.

  4. Geben Sie die Client-ID und den geheimen Clientschlüssel ein, die Sie zuvor erhalten haben. Wählen Sie Speichern aus:

    Screenshot of Add Google identity provider page. You have to enter the Client ID and Client secret from previous steps.

Wie entferne ich einen Google Verbund?

Sie können Ihre Google-Verbundeinrichtung löschen. Wenn Sie dies tun, können sich Google-Gastbenutzer, die ihre Einladungen bereits eingelöst haben, nicht mehr anmelden. Sie können ihnen aber erneut Zugriff auf Ihre Ressourcen gewähren, indem Sie sie aus dem Verzeichnis löschen und erneut einladen.

So löschen Sie den Google-Verbund in Microsoft Entra ID

  1. Öffnen Sie das Azure-Portal. Wählen Sie im linken Bereich Microsoft Entra IDaus.

  2. Wählen Sie Externe Identitäten aus.

  3. Wählen Sie Alle Identitätsanbieter aus.

  4. Wählen Sie in der Zeile Google die Schaltfläche mit den Auslassungspunkten ( ... ) und dann Löschen aus.

    Screenshot of the Delete the Google identity provider page. Use the ellipsis at the end to open the delete command.

  5. Wählen Sie Ja aus, um den Löschvorgang zu bestätigen.

Hinzufügen von Facebook als Identitätsanbieter für externe Identitäten

Sie können Facebook zu Ihren Benutzerflows für die Self-Service-Registrierung (Vorschau) hinzufügen, damit sich Benutzer mit ihren eigenen Facebook-Konten bei Ihren Anwendungen anmelden können. Damit sich Benutzer mit Facebook anmelden können, müssen Sie zunächst die Self-Service-Registrierung für Ihren Mandanten aktivieren. Nachdem Sie Facebook als Identitätsanbieter hinzugefügt haben, richten Sie einen Benutzerflow für die Anwendung ein und wählen Facebook als eine der Anmeldeoptionen aus.

Hinweis

Benutzer können nur ihre Facebook-Konten verwenden, um sich mithilfe von Self-Service-Registrierungs- und Benutzerflows über Apps anzumelden. Benutzer können nicht mit einem Facebook-Konto eingeladen werden und ihre Einladung einlösen.

Erstellen einer App in der Facebook-Entwicklerkonsole

Um ein Facebook-Konto als Identitätsanbieter verwenden zu können, müssen Sie eine Anwendung in der Facebook-Entwicklerkonsole erstellen. Wenn Sie noch über kein Facebook-Konto verfügen, können Sie sich unter https://www.facebook.com/ registrieren.

Hinweis

Verwenden Sie die folgenden URLs in den unten angegebenen Schritten 9 und 16.

  • Geben Sie als Site-URL die Adresse Ihrer Anwendung ein, z. B. https://contoso.com.
  • Geben Sie https://login.microsoftonline.com/te/ tenant-id /oauth2/authresp unter Valid OAuth redirect URIs (Gültige OAuth-Umleitungs-URIs) ein. Sie finden Ihre tenant-ID auf dem Microsoft Entra ID-Übersichtsbildschirm.
  1. Melden Sie sich auf der Facebook-Entwickler-Website mit den Anmeldeinformationen für Ihr Facebook-Konto an.
  2. Wenn Sie dies noch nicht getan haben, müssen Sie sich als Facebook-Entwickler registrieren. Dazu wählen Sie oben rechts auf der Seite die Option Get Started aus, akzeptieren die Facebook-Richtlinien und führen die Registrierungsschritte aus.
  3. Wählen Sie My Apps (Meine Apps) und dann Create App (App erstellen) aus.
  4. Geben Sie unter Display Name einen Anzeigenamen und unter Contact Email (Kontakt-E-Mail) eine gültige E-Mail-Adresse ein.
  5. Wählen Sie App-ID erstellen aus. Sie müssen eventuell die Richtlinien für die Facebook-Plattform akzeptieren und eine Online-Sicherheitsüberprüfung durchführen.
  6. Wählen Sie Einstellungen und dann Basic.
  7. Wählen Sie eine Kategorie aus, etwa „Business and Pages“ (Unternehmen und Seiten). Dieser Wert ist für Facebook erforderlich, wird aber nicht für Microsoft Entra ID verwendet.
  8. Wählen Sie unten auf der Seite die Option Add Platform (Plattform hinzufügen) und dann Website aus.
  9. Geben Sie unter Site URL (Website-URL) die entsprechende URL ein (siehe oben).
  10. Geben Sie unter Privacy Policy URL (Datenschutzrichtlinien-URL) die URL zur Seite mit den Datenschutzinformationen für Ihre Anwendung ein, z. B. https://www.contoso.com.
  11. Klicken Sie auf Save changes (Änderungen speichern).
  12. Kopieren Sie im oberen Bereich der Seite den Wert von App ID (App-ID).
  13. Wählen Sie Show (Anzeigen) aus, und kopieren Sie den Wert unter App Secret (App-Geheimnis). Sie benötigen beide Angaben, um Facebook als Identitätsanbieter in Ihrem Mandanten zu konfigurieren. Ein App-Geheimnis ist eine wichtige Sicherheitsinformation.
  14. Wählen Sie das Pluszeichen neben Products (Produkte) und dann unter Facebook Login (Facebook-Anmeldung) die Option Set up (Einrichten) aus.
  15. Wählen Sie unter Facebook Login (Facebook-Anmeldung) die Option Settings (Einstellungen) aus.
  16. Geben Sie unter Valid OAuth redirect URIs (Gültige OAuth-Umleitungs-URIs) die entsprechende URL sein (siehe oben).
  17. Wählen Sie unten auf der Seite die Option Save Changes (Änderungen speichern) aus.
  18. Wählen Sie rechts oben auf der Seite den Statusselektor aus, und legen Sie ihn auf Ein fest, um die Anwendung öffentlich und Ihre Facebook-Anwendung für Microsoft Entra ID verfügbar zu machen. Wählen Sie anschließend Modus wechseln aus. An diesem Punkt sollte sich der Status von Entwicklung in Live ändern.

Konfigurieren eines Facebook-Kontos als Identitätsanbieter

Nun legen Sie die Facebook-Client-ID und den geheimen Clientschlüssel fest, indem Sie ihn im Microsoft Entra Admin Center eingeben oder PowerShell verwenden. Sie können Ihre Facebook-Konfiguration testen, indem Sie sich über einen Benutzerflow in einer App registrieren, die für die Self-Service-Registrierung aktiviert ist.

So konfigurieren Sie den Facebook-Verbund auf dem Microsoft Entra ID-Bildschirm

  1. Melden Sie sich beim Azure-Portal als globale*r Administrator*in Ihres Microsoft Entra-Mandanten an.

  2. Wählen Sie unter Azure-Dienstedie Option Microsoft Entra ID aus.

  3. Wählen Sie im Menü auf der linken Seite Externe Identitäten aus.

  4. Wählen Sie Alle Identitätsanbieter und dann Facebook aus.

  5. Geben Sie unter Client-ID die App-ID der Facebook-Anwendung ein, die Sie zuvor erstellt haben.

  6. Geben Sie das zuvor notierte App-Geheimnis unter Geheimer Clientschlüssel ein.

    Screenshot of the Add social identity provider page. Pick your social media provider.

  7. Wählen Sie Speichern aus.

Wie entferne ich einen Facebook-Verbund?

Sie können die Einrichtung Ihres Facebook-Verbunds löschen. Danach können sich alle Benutzer, die sich über Benutzerflows mit ihren Facebook-Konten angemeldet haben, nicht mehr anmelden.

So löschen Sie den Facebook-Verbund in Microsoft Entra ID:

  1. Öffnen Sie das Azure-Portal. Wählen Sie im linken Bereich Microsoft Entra ID.
  2. Wählen Sie Externe Identitäten aus.
  3. Wählen Sie Alle Identitätsanbieter aus.
  4. Wählen Sie in der Zeile Facebook das Kontextmenü ( ... ) aus, und wählen Sie dann Löschen aus.
  5. Wählen Sie Ja aus, um den Löschvorgang zu bestätigen.