Federación directa con AD FS y proveedores de terceros para usuarios invitados (versión preliminar)Direct federation with AD FS and third-party providers for guest users (preview)

Nota

La federación directa es una característica en versión preliminar pública de Azure Active Directory.Direct federation is a public preview feature of Azure Active Directory. Para más información sobre las versiones preliminares, consulte Términos de uso complementarios de las versiones preliminares de Microsoft Azure.For more information about previews, see Supplemental Terms of Use for Microsoft Azure Previews.

En este artículo se describe cómo establecer una federación directa con otra organización para la colaboración B2B.This article describes how to set up direct federation with another organization for B2B collaboration. Puede establecer una federación directa con cualquier organización cuyo proveedor de identidades (IdP) admita el protocolo SAML 2.0 o WS-Fed.You can set up direct federation with any organization whose identity provider (IdP) supports the SAML 2.0 or WS-Fed protocol. Al configurar una federación directa con el proveedor de identidades de un asociado, los nuevos usuarios invitados de ese dominio pueden utilizar su propia cuenta de organización administrada por el proveedor de identidades para iniciar sesión con su inquilino de Azure AD y empezar a colaborar con usted.When you set up direct federation with a partner's IdP, new guest users from that domain can use their own IdP-managed organizational account to sign in to your Azure AD tenant and start collaborating with you. No es necesario que el usuario invitado cree otra cuenta de Azure AD.There's no need for the guest user to create a separate Azure AD account.

¿Cuándo se autentica un usuario invitado con la federación directa?When is a guest user authenticated with direct federation?

Después de configurar la federación directa con una organización, cualquier nuevo usuario invitado se autenticará mediante la federación directa.After you set up direct federation with an organization, any new guest users you invite will be authenticated using direct federation. Es importante tener en cuenta que la configuración de la federación directa no cambia el método de autenticación para los usuarios invitados que ya han canjeado una invitación.It’s important to note that setting up direct federation doesn’t change the authentication method for guest users who have already redeemed an invitation from you. Estos son algunos ejemplos:Here are some examples:

  • Si los usuarios invitados ya han canjeado sus invitaciones y posteriormente configura la federación directa con su organización, esos usuarios invitados seguirán utilizando el mismo método de autenticación que utilizaron antes de configurar la federación directa.If guest users have already redeemed invitations from you, and you subsequently set up direct federation with their organization, those guest users will continue to use the same authentication method they used before you set up direct federation.
  • Si se configura una federación directa con una organización asociada y se invita a los usuarios y después la organización asociada se traslada a Azure AD, los usuarios invitados que ya han canjeado las invitaciones seguirán utilizando la federación directa, siempre y cuando exista la directiva de federación directa en el inquilino.If you set up direct federation with a partner organization and invite guest users, and then the partner organization later moves to Azure AD, the guest users who have already redeemed invitations will continue to use direct federation, as long as the direct federation policy in your tenant exists.
  • Si se elimina la federación directa con una organización asociada, los usuarios invitados que actualmente utilizan la federación directa no podrán iniciar sesión.If you delete direct federation with a partner organization, any guest users currently using direct federation will be unable to sign in.

En cualquiera de estos casos, puede actualizar el método de autenticación de un usuario invitado mediante el restablecimiento de su estado de canje.In any of these scenarios, you can update a guest user’s authentication method by resetting their redemption status.

La federación directa está asociada a espacios de nombres de dominio, como contoso.com y fabrikam.com.Direct federation is tied to domain namespaces, such as contoso.com and fabrikam.com. Al establecer una configuración de federación directa con AD FS o un proveedor de identidades de terceros, las organizaciones asocian uno o más espacios de nombres de dominio a estos proveedor de identidades.When establishing a direct federation configuration with AD FS or a third-party IdP, organizations associate one or more domain namespaces to these IdPs.

Experiencia del usuario finalEnd-user experience

Con la federación directa, los usuarios invitados inician sesión en el inquilino de Azure AD mediante su propia cuenta de organización.With direct federation, guest users sign into your Azure AD tenant using their own organizational account. Cuando acceden a los recursos compartidos y se les pide que inicien sesión, los usuarios de la federación directa se redirigen al proveedor de identidades.When they are accessing shared resources and are prompted for sign-in, direct federation users are redirected to their IdP. Después del inicio de sesión correcto, vuelven a Azure AD para acceder a los recursos.After successful sign-in, they are returned to Azure AD to access resources. Los tokens de actualización de los usuarios de la federación directa son válidos durante 12 horas, la duración predeterminada del token de actualización de acceso directoen Azure AD.Direct federation users’ refresh tokens are valid for 12 hours, the default length for passthrough refresh token in Azure AD. Si el proveedor de identidades federado tiene el inicio de sesión único habilitado, el usuario experimentará un inicio de sesión único y no verá ninguna solicitud de inicio de sesión después de la autenticación inicial.If the federated IdP has SSO enabled, the user will experience SSO and will not see any sign-in prompt after initial authentication.

Puntos de conexión de inicio de sesiónSign-in endpoints

Ahora, los usuarios invitados de la federación pueden iniciar sesión en sus aplicaciones multiinquilino o en las aplicaciones propias de Microsoft utilizando un punto de conexión común (en otras palabras, una dirección URL general de la aplicación que no incluya el contexto del inquilino).Direct federation guest users can now sign in to your multi-tenant or Microsoft first-party apps by using a common endpoint (in other words, a general app URL that doesn't include your tenant context). Durante el proceso de inicio de sesión, el usuario invitado elige Opciones de inicio de sesión y después selecciona Sign in to an organization (Iniciar sesión en una organización).During the sign-in process, the guest user chooses Sign-in options, and then selects Sign in to an organization. Después, escribe el nombre de la organización y continúa iniciando sesión con sus propias credenciales.The user then types the name of your organization and continues signing in using their own credentials.

Los usuarios invitados de federación directa también pueden usar puntos de conexión de la aplicación que incluyan la información del inquilino; por ejemplo:Direct federation guest users can also use application endpoints that include your tenant information, for example:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

También puede proporcionar a los usuarios invitados de federación directa un vínculo directo a una aplicación o recurso que incluya la información del inquilino; por ejemplo, https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.You can also give Direct federation guest users a direct link to an application or resource by including your tenant information, for example https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

LimitacionesLimitations

Dominios comprobados por DNS en Azure ADDNS-verified domains in Azure AD

El dominio con el que desea federarse no puede estar verificado por DNS en Azure AD.The domain you want to federate with must not be DNS-verified in Azure AD. Se puede realizar una federación directa en los inquilinos no administrados (comprobados por correo electrónico o "viral") de Azure AD porque no están comprobados por DNS.You're allowed to set up direct federation with unmanaged (email-verified or "viral") Azure AD tenants because they aren't DNS-verified.

Dirección URL de autenticaciónAuthentication URL

La federación directa solo se permite para las directivas en las que el dominio de la dirección URL de autenticación coincide con el dominio de destino, o en las que la dirección URL de autenticación es uno de estos proveedores de identidades permitidos (esta lista está sujeta a cambios):Direct federation is only allowed for policies where the authentication URL’s domain matches the target domain, or where the authentication URL is one of these allowed identity providers (this list is subject to change):

  • accounts.google.comaccounts.google.com
  • pingidentity.compingidentity.com
  • login.pingone.comlogin.pingone.com
  • okta.comokta.com
  • oktapreview.comoktapreview.com
  • okta-emea.comokta-emea.com
  • my.salesforce.commy.salesforce.com
  • federation.exostar.comfederation.exostar.com
  • federation.exostartest.comfederation.exostartest.com

Por ejemplo, al configurar la federación directa para fabrikam.com, la dirección URL de autenticación https://fabrikam.com/adfs pasará la validación.For example, when setting up direct federation for fabrikam.com, the authentication URL https://fabrikam.com/adfs will pass the validation. Un host en el mismo dominio también pasará, por ejemplo https://sts.fabrikam.com/adfs.A host in the same domain will also pass, for example https://sts.fabrikam.com/adfs. Sin embargo, la dirección URL de autenticación https://fabrikamconglomerate.com/adfs o https://fabrikam.com.uk/adfs para el mismo dominio no pasará.However, the authentication URL https://fabrikamconglomerate.com/adfs or https://fabrikam.com.uk/adfs for the same domain won't pass.

Renovación del certificado de firmaSigning certificate renewal

Si especifica la dirección URL de metadatos en la configuración del proveedor de identidades, Azure AD renovará automáticamente el certificado de firma cuando expire.If you specify the metadata URL in the identity provider settings, Azure AD will automatically renew the signing certificate when it expires. Sin embargo, si el certificado se gira por cualquier razón antes de la hora de expiración, o si no proporciona una dirección URL de metadatos, Azure AD no podrá renovarlo.However, if the certificate is rotated for any reason before the expiration time, or if you don't provide a metadata URL, Azure AD will be unable to renew it. En este caso, deberá actualizar manualmente el certificado de firma.In this case, you'll need to update the signing certificate manually.

Límite de relaciones de federaciónLimit on federation relationships

Actualmente, se admite un máximo de 1000 relaciones de federación.Currently, a maximum of 1,000 federation relationships is supported. Este límite incluye tanto las federaciones internas como las federaciones directas.This limit includes both internal federations and direct federations.

Límite de varios dominiosLimit on multiple domains

Actualmente no se admite la federación directa con varios dominios del mismo inquilino.We don’t currently support direct federation with multiple domains from the same tenant.

Preguntas más frecuentesFrequently asked questions

¿Puedo configurar la federación directa con un dominio para el que existe un inquilino no administrado (verificado por correo electrónico)?Can I set up direct federation with a domain for which an unmanaged (email-verified) tenant exists?

Sí.Yes. Si el dominio no se ha comprobado y el inquilino no ha experimentado una adquisición de administración, puede configurar una federación directa con el dominio.If the domain hasn't been verified and the tenant hasn't undergone an admin takeover, you can set up direct federation with that domain. Los inquilinos no administrados o comprobados por correo electrónico se crean cuando un usuario canjea una invitación B2B o realiza un registro de autoservicio para Azure AD mediante un dominio que no existe actualmente.Unmanaged, or email-verified, tenants are created when a user redeems a B2B invitation or performs a self-service sign-up for Azure AD using a domain that doesn’t currently exist. Puede configurar la federación directa con estos dominios.You can set up direct federation with these domains. Si intenta configurar la federación directa con un dominio comprobado por DNS, ya sea en Azure Portal o con PowerShell, verá un error.If you try to set up direct federation with a DNS-verified domain, either in the Azure portal or via PowerShell, you'll see an error.

Si la federación directa y la autenticación con código de acceso de un solo uso por correo electrónico están habilitadas, ¿qué método tiene prioridad?If direct federation and email one-time passcode authentication are both enabled, which method takes precedence?

Cuando se establece la federación directa con una organización asociada, tiene prioridad sobre la autenticación con código de acceso de un solo uso por correo electrónico para los nuevos usuarios invitados de esa organización.When direct federation is established with a partner organization, it takes precedence over email one-time passcode authentication for new guest users from that organization. Si un usuario invitado ha canjeado una invitación mediante la autenticación de código de acceso de un solo uso antes de configurar la federación directa, seguirá utilizando la autenticación de código de acceso de un solo uso.If a guest user redeemed an invitation using one-time passcode authentication before you set up direct federation, they'll continue to use one-time passcode authentication.

¿La federación directa se ocupa de los problemas de inicio de sesión debido a un inquilinato parcialmente sincronizado?Does direct federation address sign-in issues due to a partially synced tenancy?

No, la característica del código de acceso de un solo uso por correo electrónico se debe usar en este escenario.No, the email one-time passcode feature should be used in this scenario. Un "inquilinato parcialmente sincronizado" se refiere a un inquilino de Azure AD asociado en el que las identidades de usuario locales no están completamente sincronizadas con la nube.A “partially synced tenancy” refers to a partner Azure AD tenant where on-premises user identities aren't fully synced to the cloud. Un invitado cuya identidad aún no existe en la nube pero que intenta canjear su invitación de B2B no podrá iniciar sesión.A guest whose identity doesn’t yet exist in the cloud but who tries to redeem your B2B invitation won’t be able to sign in. La característica del código de acceso de un solo uso permitiría a este invitado iniciar sesión.The one-time passcode feature would allow this guest to sign in. La función de federación directa aborda escenarios en los que el invitado tiene su propia cuenta de organización administrada por el proveedor de identidades, pero la organización no tiene ninguna presencia de Azure AD.The direct federation feature addresses scenarios where the guest has their own IdP-managed organizational account, but the organization has no Azure AD presence at all.

Una vez configurada la federación directa con una organización, ¿es necesario enviar cada invitado y canjear una invitación individual?Once Direct Federation is configured with an organization, does each guest need to be sent and redeem an individual invitation?

La configuración de la federación directa no cambia el método de autenticación para los usuarios invitados que ya han canjeado una invitación.Setting up direct federation doesn’t change the authentication method for guest users who have already redeemed an invitation from you. Puede actualizar el método de autenticación de un usuario invitado mediante el restablecimiento de su estado de canje.You can update a guest user’s authentication method by resetting their redemption status.

Paso 1: Configuración del proveedor de identidades de la organización del asociadoStep 1: Configure the partner organization’s identity provider

En primer lugar, la organización asociada debe configurar el proveedor de identidades con las notificaciones necesarias y las veracidades de los usuarios de confianza.First, your partner organization needs to configure their identity provider with the required claims and relying party trusts.

Nota

Para ilustrar cómo configurar un proveedor de identidades para la federación directa, usaremos los Servicios de federación de Active Directory (AD FS) como ejemplo.To illustrate how to configure an identity provider for direct federation, we’ll use Active Directory Federation Services (AD FS) as an example. Consulte el artículo Configuración de la federación directa con AD FS, que ofrece ejemplos de cómo configurar AD FS como un proveedor de identidades de SAML 2.0 o WS-Fed en preparación para la federación directa.See the article Configure direct federation with AD FS, which gives examples of how to configure AD FS as a SAML 2.0 or WS-Fed identity provider in preparation for direct federation.

Configuración de SAML 2.0SAML 2.0 configuration

Azure AD B2B se puede configurar para federarse con proveedores de identidades que usan el protocolo SAML con los requisitos específicos que se indican a continuación.Azure AD B2B can be configured to federate with identity providers that use the SAML protocol with specific requirements listed below. Para más información sobre cómo establecer una confianza entre su proveedor de identidades SAML y Azure AD, consulte Uso de un proveedor de identidades (IdP) de SAML 2.0 para el inicio de sesión único.For more information about setting up a trust between your SAML identity provider and Azure AD, see Use a SAML 2.0 Identity Provider (IdP) for Single Sign-On.

Nota

El dominio de destino para la federación directa no debe ser comprobado por DNS en Azure AD.The target domain for direct federation must not be DNS-verified on Azure AD. El dominio de la URL de autenticación debe coincidir con el dominio de destino o debe ser el dominio de un proveedor de identidades permitido.The authentication URL domain must match the target domain or it must be the domain of an allowed identity provider. Consulte la sección Limitaciones para obtener más información.See the Limitations section for details.

Atributos y notificaciones de SAML 2.0 necesariosRequired SAML 2.0 attributes and claims

En las tablas siguientes se muestran los requisitos de los atributos y las notificaciones específicos que se deben configurar en el proveedor de identidades de terceros.The following tables show requirements for specific attributes and claims that must be configured at the third-party identity provider. Para establecer una federación directa, se deben recibir los siguientes atributos en la respuesta de SAML 2.0 del proveedor de identidades.To set up direct federation, the following attributes must be received in the SAML 2.0 response from the identity provider. Estos atributos se pueden configurar mediante la vinculación con el archivo XML del servicio de token de seguridad en línea o la introducción manual.These attributes can be configured by linking to the online security token service XML file or by entering them manually.

Atributos necesarios para la respuesta de SAML 2.0 desde el proveedor de identidades:Required attributes for the SAML 2.0 response from the IdP:

AtributoAttribute ValueValue
AssertionConsumerServiceAssertionConsumerService https://login.microsoftonline.com/login.srf
PúblicoAudience urn:federation:MicrosoftOnline
EmisorIssuer El URI del emisor del asociado IdP, por ejemplohttp://www.example.com/exk10l6w90DHM0yi...The issuer URI of the partner IdP, for example http://www.example.com/exk10l6w90DHM0yi...

Las notificaciones necesarias para el token de SAML 2.0 emitido por el proveedor de identidades:Required claims for the SAML 2.0 token issued by the IdP:

AtributoAttribute ValueValue
Formato de NameIDNameID Format urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
emailaddressemailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Configuración de WS-FedWS-Fed configuration

Se puede configurar Azure AD B2B para que funcione con proveedores de identidades que usan el protocolo WS-Fed con algunos requisitos específicos, que se indican a continuación.Azure AD B2B can be configured to federate with identity providers that use the WS-Fed protocol with some specific requirements as listed below. Actualmente, los dos proveedores de WS-Fed se han probado para determinar su compatibilidad con Azure AD e incluyen AD FS y Shibboleth.Currently, the two WS-Fed providers have been tested for compatibility with Azure AD include AD FS and Shibboleth. Para más información sobre cómo establecer la veracidad de un usuario de confianza entre un proveedor compatible con WS-Fed y Azure AD, consulte el documento "STS Integration Paper using WS Protocols" (Documento de integración con STS mediante protocolos WS) en los documentos de compatibilidad del proveedor de identidades de Azure AD.For more information about establishing a relying party trust between a WS-Fed compliant provider with Azure AD, see the "STS Integration Paper using WS Protocols" available in the Azure AD Identity Provider Compatibility Docs.

Nota

El dominio de destino para la federación directa no debe ser comprobado por DNS en Azure AD.The target domain for direct federation must not be DNS-verified on Azure AD. El dominio de la URL de autenticación debe coincidir con el dominio de destino o con el dominio de un proveedor de identidades permitido.The authentication URL domain must match either the target domain or the domain of an allowed identity provider. Consulte la sección Limitaciones para obtener más información.See the Limitations section for details.

Atributos y notificaciones de WS-Fed necesariosRequired WS-Fed attributes and claims

En las tablas siguientes se muestran los requisitos de los atributos y las notificaciones específicos que se deben configurar en el proveedor de identidades de WS-Fed de terceros.The following tables show requirements for specific attributes and claims that must be configured at the third-party WS-Fed identity provider. Para configurar una federación directa, se deben recibir los siguientes atributos en el mensaje de WS-Fed del proveedor de identidades.To set up direct federation, the following attributes must be received in the WS-Fed message from the identity provider. Estos atributos se pueden configurar mediante la vinculación con el archivo XML del servicio de token de seguridad en línea o la introducción manual.These attributes can be configured by linking to the online security token service XML file or by entering them manually.

Atributos necesarios en el mensaje de WS-Fed desde el proveedor de identidades:Required attributes in the WS-Fed message from the IdP:

AtributoAttribute ValueValue
PassiveRequestorEndpointPassiveRequestorEndpoint https://login.microsoftonline.com/login.srf
PúblicoAudience urn:federation:MicrosoftOnline
EmisorIssuer El URI del emisor del asociado IdP, por ejemplohttp://www.example.com/exk10l6w90DHM0yi...The issuer URI of the partner IdP, for example http://www.example.com/exk10l6w90DHM0yi...

Las notificaciones necesarias para el token de WS-Fed emitido por el proveedor de identidades:Required claims for the WS-Fed token issued by the IdP:

AtributoAttribute ValueValue
ImmutableIDImmutableID http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
emailaddressemailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Paso 2: Configuración de la federación directa en Azure ADStep 2: Configure direct federation in Azure AD

A continuación, va a configurar la federación con el proveedor de identidades en Azure AD configurado en el paso 1.Next, you'll configure federation with the identity provider configured in step 1 in Azure AD. Puede usar el portal de Azure AD o PowerShell.You can use either the Azure AD portal or PowerShell. Pueden pasar de 5 a 10 minutos antes de que la directiva de la federación directa entre en vigor.It might take 5-10 minutes before the direct federation policy takes effect. Durante este tiempo, no intente canjear una invitación por el dominio de la federación directa.During this time, don't attempt to redeem an invitation for the direct federation domain. Los atributos siguientes son necesarios:The following attributes are required:

  • URI del emisor del proveedor de identidades del asociadoIssuer URI of partner IdP
  • Punto de conexión de la autenticación pasiva del proveedor de identidades del asociado (solo se admite https)Passive authentication endpoint of partner IdP (only https is supported)
  • CertificadoCertificate

Para configurar la federación directa en el portal de Azure ADTo configure direct federation in the Azure AD portal

  1. Vaya a Azure Portal.Go to the Azure portal. En el panel izquierdo, seleccione Azure Active Directory.In the left pane, select Azure Active Directory.

  2. Seleccione External Identities > Todos los proveedores de identidades.Select External Identities > All identity providers.

  3. Seleccione Nuevo IdP de SAML/WS-Fed.Select New SAML/WS-Fed IdP.

    Captura de pantalla que muestra el botón para agregar un nuevo proveedor de identidades de SAML o WS-Fed

  4. En la página New SAML/WS-Fed IdP (Nuevo proveedor de identidades de SAMS/WS-FED), en Protocolo de proveedor de identidades, seleccione SAML o WS-FED.On the New SAML/WS-Fed IdP page, under Identity provider protocol, select SAML or WS-FED.

    Captura de pantalla que muestra el botón de análisis en la página del proveedor de identidades de SAML o WS-Fed

  5. Especifique el nombre de dominio de su organización asociada, que será el nombre de dominio de destino para la federación directa.Enter your partner organization’s domain name, which will be the target domain name for direct federation

  6. Puede cargar un archivo de metadatos para rellenar los detalles correspondientes.You can upload a metadata file to populate metadata details. Si decide escribir los metadatos manualmente, introduzca la siguiente información:If you choose to input metadata manually, enter the following information:

    • Nombre de dominio del proveedor de identidades del asociadoDomain name of partner IdP
    • Identificador de entidad de proveedor de identidades del asociadoEntity ID of partner IdP
    • Punto de conexión de solicitante pasivo del proveedor de identidades del asociadoPassive requestor endpoint of partner IdP
    • CertificadoCertificate

    Nota

    La dirección URL de metadatos es opcional, pero se recomienda encarecidamente.Metadata URL is optional, however we strongly recommend it. Si proporciona la dirección URL de metadatos, Azure AD puede renovar automáticamente el certificado de firma cuando expire.If you provide the metadata URL, Azure AD can automatically renew the signing certificate when it expires. Si el certificado se gira por cualquier razón antes de la hora de expiración, o si no proporciona una dirección URL de metadatos, Azure AD no podrá renovarlo.If the certificate is rotated for any reason before the expiration time or if you do not provide a metadata URL, Azure AD will be unable to renew it. En este caso, deberá actualizar manualmente el certificado de firma.In this case, you'll need to update the signing certificate manually.

  7. Seleccione Guardar.Select Save.

Para configurar la federación directa en Azure AD con PowerShellTo configure direct federation in Azure AD using PowerShell

  1. Instale la versión más reciente de Azure AD PowerShell para el módulo Graph (AzureADPreview).Install the latest version of the Azure AD PowerShell for Graph module (AzureADPreview). (Si necesita conocer pasos detallados, el inicio rápido para agregar un usuario invitado incluye la sección Instalación del último módulo de AzureADPreview).(If you need detailed steps, the quickstart for adding a guest user includes the section Install the latest AzureADPreview module.)

  2. Ejecute el siguiente comando:Run the following command:

    Connect-AzureAD
    
  3. En el símbolo del sistema, inicie sesión con la cuenta de administrador global administrada.At the sign-in prompt, sign in with the managed Global Administrator account.

  4. Ejecute los siguientes comandos, reemplazando los valores del archivo de metadatos de la federación.Run the following commands, replacing the values from the federation metadata file. Para el servidor de AD FS y Okta, el archivo de federación es federationmetadata.xml, por ejemplo: https://sts.totheclouddemo.com/federationmetadata/2007-06/federationmetadata.xml.For AD FS Server and Okta, the federation file is federationmetadata.xml, for example: https://sts.totheclouddemo.com/federationmetadata/2007-06/federationmetadata.xml.

    $federationSettings = New-Object Microsoft.Open.AzureAD.Model.DomainFederationSettings
    $federationSettings.PassiveLogOnUri ="https://sts.totheclouddemo.com/adfs/ls/"
    $federationSettings.LogOffUri = $federationSettings.PassiveLogOnUri
    $federationSettings.IssuerUri = "http://sts.totheclouddemo.com/adfs/services/trust"
    $federationSettings.MetadataExchangeUri="https://sts.totheclouddemo.com/adfs/services/trust/mex"
    $federationSettings.SigningCertificate= <Replace with X509 signing cert’s public key>
    $federationSettings.PreferredAuthenticationProtocol="WsFed" OR "Samlp"
    $domainName = <Replace with domain name>
    New-AzureADExternalDomainFederation -ExternalDomainName $domainName  -FederationSettings $federationSettings
    

Paso 3: Prueba de la federación directa en Azure ADStep 3: Test direct federation in Azure AD

Ahora pruebe la configuración de la federación directa e invite a un nuevo usuario invitado de B2B.Now test your direct federation setup by inviting a new B2B guest user. Para más información, consulte Incorporación de usuarios de colaboración B2B de Azure Active Directory en Azure Portal.For details, see Add Azure AD B2B collaboration users in the Azure portal.

¿Cómo se puede editar una relación de federación directa?How do I edit a direct federation relationship?

  1. Vaya a Azure Portal.Go to the Azure portal. En el panel izquierdo, seleccione Azure Active Directory.In the left pane, select Azure Active Directory.
  2. Seleccione External Identities.Select External Identities.
  3. Seleccione Todos los proveedores de identidades.Select All identity providers
  4. En SAML/WS-Fed identity providers (Proveedores de identidades SAML/WS-Fed), seleccione el proveedor.Under SAML/WS-Fed identity providers, select the provider.
  5. En el panel de detalles del proveedor de identidades, actualice los valores.In the identity provider details pane, update the values.
  6. Seleccione Guardar.Select Save.

¿Cómo se quita una federación directa?How do I remove direct federation?

Puede quitar la configuración de la federación directa.You can remove your direct federation setup. Si lo hace, los usuarios invitados de la federación directa que ya hayan canjeado sus invitaciones no podrán iniciar sesión.If you do, direct federation guest users who have already redeemed their invitations won't be able to sign in. Sin embargo, puede concederles acceso de nuevo a sus recursos al restablecer el estado de canje.But you can give them access to your resources again by resetting their redemption status. Para quitar una federación directa con un proveedor de identidades en el portal de Azure AD:To remove direct federation with an identity provider in the Azure AD portal:

  1. Vaya a Azure Portal.Go to the Azure portal. En el panel izquierdo, seleccione Azure Active Directory.In the left pane, select Azure Active Directory.
  2. Seleccione External Identities.Select External Identities.
  3. Seleccione Todos los proveedores de identidades.Select All identity providers.
  4. Seleccione el proveedor de identidades y, a continuación, seleccione Eliminar.Select the identity provider, and then select Delete.
  5. Seleccione para confirmar la eliminación.Select Yes to confirm deletion.

Para quitar una federación directa con un proveedor de identidades mediante PowerShell:To remove direct federation with an identity provider by using PowerShell:

  1. Instale la versión más reciente de Azure AD PowerShell para el módulo Graph (AzureADPreview).Install the latest version of the Azure AD PowerShell for Graph module (AzureADPreview).
  2. Ejecute el siguiente comando:Run the following command:
    Connect-AzureAD
    
  3. En el símbolo del sistema, inicie sesión con la cuenta de administrador global administrada.At the sign-in prompt, sign in with the managed Global Administrator account.
  4. Escriba el comando siguiente:Enter the following command:
    Remove-AzureADExternalDomainFederation -ExternalDomainName  $domainName
    

Pasos siguientesNext steps

Obtenga más información sobre la experiencia de canje de invitación cuando los usuarios externos inician sesión con varios proveedores de identidades.Learn more about the invitation redemption experience when external users sign in with various identity providers.