Fédération avec des fournisseurs d’identité SAML/WS-Fed pour les utilisateurs invités (préversion)

Notes

Cet article décrit comment configurer la fédération directe avec n’importe quelle organisation dont le fournisseur d’identité (IdP) prend en charge le protocole SAML 2.0 ou WS-Fed. Lorsque vous configurez la fédération avec un fournisseur d’identité partenaire, les nouveaux utilisateurs invités de ce domaine peuvent utiliser leur propre compte professionnel géré par le fournisseur d’identité pour se connecter à votre locataire Azure AD et commencer à travailler avec vous. Il n’est pas nécessaire pour l’utilisateur invité de créer un compte Azure AD séparé.

Important

  • Nous ne prenons plus en charge une liste verte de fournisseurs d’identité pour les nouvelles fédérations de fournisseur d'identité SAML/WS-Fed. Quand vous configurez une nouvelle fédération externe, reportez-vous à Étape 1 : Déterminer si le partenaire doit mettre à jour ses enregistrements texte DNS.
  • Dans la requête SAML envoyée par Azure AD pour les fédérations externes, l’URL de l’émetteur est un point de terminaison client. Pour les nouvelles fédérations, nous recommandons que tous nos partenaires définissent le public du fournisseur d’identité SAML ou WS-Fed sur un point de terminaison de locataire. Reportez-vous aux sections relatives aux attributs et revendications requis pour SAML 2.0 et WS-Fed ci-dessous. Les fédérations existantes configurées avec le point de terminaison global continuent de fonctionner, mais les nouvelles fédérations cessent de fonctionner si votre fournisseur d’identité externe attend une URL d’émetteur global dans la requête SAML.
  • Actuellement, vous ne pouvez ajouter qu’un seul domaine à votre fédération externe. Nous travaillons activement à l’autorisation d’autres domaines.
  • Nous avons supprimé la limitation qui exigeait que le domaine de l’URL d’authentification corresponde au domaine cible ou qu’il provienne d’un fournisseur d’identité autorisé. Pour plus d'informations, consultez Étape 1 : Déterminer si le partenaire doit mettre à jour ses enregistrements texte DNS.

Quand un utilisateur invité est-il authentifié avec la fédération IdP SAML/WS-Fed ?

Une fois la fédération configurée avec le fournisseur d’identité SAML/WS-Fed de l’organisation, tous les nouveaux utilisateurs invités que vous invitez sont authentifiés à l’aide de ce fournisseur d’identité SAML/WS-Fed. Il est important de noter que configurer la fédération ne change pas la méthode d’authentification pour les utilisateurs invités qui ont déjà utilisé une invitation de votre part. Voici quelques exemples :

  • Si les utilisateurs invités ont déjà utilisé des invitations provenant de vous, et que vous avez par la suite configuré la fédération avec le fournisseur SAML/WS-Fed leur organisation, ces utilisateurs invités continueront à utiliser la même méthode d’authentification qu’ils ont utilisée avant que vous ne configuriez la fédération.
  • Si vous configurez la fédération avec le fournisseur d’identité SAML/WS-Fed d’une organisation et invitez des utilisateurs invités et qu’ensuite l’organisation partenaire passe à Azure AD, les utilisateurs invités qui ont déjà utilisé des invitations continueront d’utiliser le fournisseur d’identité SAML/WS-Fed fédéré, tant que la stratégie existe dans votre locataire.
  • Si vous supprimez la fédération avec un fournisseur d’identité SAML/WS-Fed d’une organisation, tous les utilisateurs invités qui utilisent actuellement l’IdP SAML/WS-Fed ne pourront pas se connecter.

Dans l’un de ces scénarios, vous pouvez mettre à jour la méthode d’authentification d’un utilisateur invité en réinitialisant l’état d’acceptation.

La fédération SAML/WS-Fed est liée aux espaces de noms domaine, par exemple contoso.com et fabrikam.com. Lorsque vous établissez une fédération avec AD FS ou un fournisseur d’identité tiers, les organisations associent un ou plusieurs espaces de noms domaine à ces fournisseurs d’identité.

Expérience de l’utilisateur final

Avec la fédération de fournisseur d’identité SAML/WS-Fed, les utilisateurs invités se connectent à votre client Azure AD à l’aide de leur propre compte professionnel. Lorsqu’ils accèdent à des ressources partagées et qu’ils sont invités à se connecter, les utilisateurs sont redirigés vers leur fournisseur d’identité. Après s’être connectés, ils sont renvoyés vers Azure AD pour accéder aux ressources. Leurs jetons d’actualisation sont valides pendant 12 heures, ce qui est la durée par défaut de transfert d’un jeton d’actualisation dans Azure AD. Si le fournisseur d’identité fédéré dispose de l’authentification unique, l’utilisateur en profitera et ne verra aucune invite de connexion après son authentification initiale.

Points de terminaison de connexion

Les utilisateurs invités de la fédération de fournisseur d’identité SAML/WS-Fed peuvent désormais se connecter à vos applications multilocataires ou à vos applications principales Microsoft à l’aide d’un point de terminaison commun (en d’autres termes, une URL d’application générale qui n’inclut pas le contexte de votre locataire). Durant le processus de connexion, l’utilisateur invité choisit Options de connexion, puis sélectionne Sign in to an organization (Se connecter à une organisation). L’utilisateur tape ensuite le nom de votre organisation et poursuit le processus de connexion à l’aide de ses propres informations d’identification.

Les utilisateurs invités de la fédération de fournisseur d’identité SAML/WS-Fed peuvent également se servir des points de terminaison d’application qui incluent les informations de votre locataire, par exemple :

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

Vous pouvez également fournir aux utilisateurs invités un lien direct vers une application ou une ressource en incluant les informations de votre locataire, par exemple https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Forum aux questions

Puis-je configurer la fédération de fournisseur d’identité SAML/WS-Fed avec les domaines vérifiés Azure AD ?

Non, nous bloquons la fédération de fournisseur d’identité SAML/WS-Fed pour les domaines vérifiés Azure AD en faveur des fonctionnalités natives de domaine managé Azure AD. Si vous essayez de configurer la fédération de fournisseur d’identité SAML/WS-Fed avec un domaine vérifié par DNS dans Azure AD, une erreur s’affiche.

Puis-je configurer la fédération de fournisseur d’identité SAML/WS-Fed avec un domaine pour lequel un client non géré (vérifié par e-mail) existe ?

Oui, vous pouvez configurer la fédération de fournisseur d’identité SAML/WS-Fed avec des domaines qui ne sont pas vérifiés par DNS dans Azure AD, notamment les locataires Azure AD non mangés (vérifiés par e-mail ou « viraux »). Ces locataires sont créés quand un utilisateur accepte une invitation B2B ou effectue une inscription en libre-service pour Azure AD à l’aide d’un domaine qui n’existe pas actuellement. Si le domaine n’a pas été vérifié et que le locataire n’a pas subi de prise en charge administrateur, vous pouvez configurer la fédération avec de domaine.

Combien de relations de fédération puis-je créer ?

Pour le moment, le nombre de relations de fédération maximum pris en charge est limité à 1 000. Cette limite concerne à la fois les fédérations internes et les fédérations de fournisseur d’identité SAML/WS-Fed.

Puis-je configurer la fédération avec plusieurs domaines du même locataire ?

Nous ne prenons pas en charge actuellement la fédération de fournisseur d’identité SAML/WS-Fed avec plusieurs domaines du même locataire.

Dois-je renouveler le certificat de signature quand il expire ?

Si vous spécifiez l’URL de métadonnées dans les paramètres du fournisseur d’identité, Azure AD renouvelle automatiquement le certificat de signature à son expiration. Toutefois, si le certificat pivote avant le délai d’expiration pour une raison quelconque, ou si vous ne fournissez pas une URL de métadonnées, Azure AD ne pourra pas le renouveler. Dans ce cas, vous devez mettre à jour le certificat de signature manuellement.

Si la fédération de fournisseur d’identité SAML/WS-Fed et l’authentification par code secret à usage unique par e-mail sont activées, quelle méthode est prioritaire ?

Lorsque la fédération de fournisseur d’identité SAML/WS-Fed est établie avec une organisation partenaire, elle est prioritaire sur l’authentification par code secret à usage unique par e-mail pour les nouveaux utilisateurs invités de cette organisation. Si un utilisateur invité a utilisé une invitation à l’aide de l’authentification par code secret à usage unique avant que vous n’ayez configuré la fédération de fournisseur d’identité SAML/WS-Fed, il continue d’utiliser l’authentification par code secret à usage unique.

La fédération de fournisseur d’identité SAML/WS-Fed répond-elle aux problèmes de connexion, étant une location partiellement synchronisée ?

Non, la fonctionnalité de connexion par code secret à usage unique par e-mail doit être utilisée dans ce cas. Une « location partiellement synchronisée » fait référence à un locataire Azure AD partenaire où les identités utilisateur locales ne sont pas entièrement synchronisées avec le cloud. Un invité dont l’identité n’existe pas encore dans le cloud mais qui essaie d’utiliser votre invitation B2B ne pourra pas se connecter. La fonctionnalité de code secret à usage unique permettrait à cet invité de se connecter. La fonctionnalité de fédération de fournisseur d’identité SAML/WS-Fed répond aux scénarios où l’invité a son propre compte professionnel géré par le fournisseur d’identité, mais que l’organisation n’a aucune présence sur Azure AD.

Une fois que la fédération de fournisseur d’identité SAML/WS-Fed est configurée avec une organisation, faut-il envoyer une invitation individuelle à chaque invité pour qu’il l’utilise ?

La configuration de la fédération de fournisseur d’identité SAML/WS-Fed ne change pas la méthode d’authentification pour les utilisateurs invités qui ont déjà utilisé une invitation de votre part. Vous pouvez mettre à jour la méthode d’authentification d’un utilisateur invité en réinitialisant l’état d’acceptation.

Existe-t-il un moyen d’envoyer une demande signée au fournisseur d’identité SAML ?

Actuellement, la fonctionnalité de fédération Azure AD SAML/WS-Fed ne prend pas en charge l’envoi d’un jeton d’authentification signé au fournisseur d’identité SAML.

Étape 1 : Déterminer si le partenaire doit mettre à jour ses enregistrements texte DNS

En fonction de son fournisseur d’identité, le partenaire devra peut-être mettre à jour ses enregistrements DNS pour activer la fédération avec vous. Procédez comme suit pour déterminer si des mises à jour des enregistrements DNS sont nécessaires.

Notes

Nous ne prenons plus en charge une liste verte de fournisseurs d’identité pour les nouvelles fédérations de fournisseur d'identité SAML/WS-Fed.

  1. Vérifiez l’URL d’authentification passive du fournisseur d’identité du partenaire pour déterminer si le domaine correspond au domaine cible ou à un hôte du domaine cible. En d’autres termes, lors de la configuration de la fédération pour fabrikam.com :

    • Si le point de terminaison d’authentification passive est https://fabrikam.com ou https://sts.fabrikam.com/adfs (un hôte du même domaine), aucune modification des enregistrements DNS n’est nécessaire.
    • Si le point de terminaison d’authentification passive est https://fabrikamconglomerate.com/adfs ou https://fabrikam.com.uk/adfs le domaine ne correspond pas au domaine fabrikam.com : le partenaire doit donc ajouter à sa configuration DNS un enregistrement texte pour l’URL d’authentification.
  2. Si des modifications des enregistrements DNS sont nécessaires en fonction de l'étape précédente, demandez au partenaire d'ajouter un enregistrement TXT aux enregistrements DNS de son domaine, comme dans l'exemple suivant :

    fabrikam.com.  IN   TXT   DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs

Étape 2 : Configurer le fournisseur d’identité de l’organisation partenaire

Votre organisation partenaire doit ensuite configurer son fournisseur d’identité avec les revendications requises et les approbations de partie de confiance.

Notes

Pour illustrer comment configurer un fournisseur d’identité SAML/WS-Fed pour la fédération, nous allons utiliser les services de fédération Active Directory (AD FS) comme exemple. Consultez l’article Configurer la fédération de fournisseur d’identité SAML/WS-Fed avec AD FS, qui donne des exemples montrant comment configurer AD FS en tant que fournisseur d’identité SAML 2.0 ou WS-Fed en vue de la fédération.

Configuration SAML 2.0

Azure AD B2B peut être configuré pour la fédération avec les fournisseurs d’identité qui utilisent le protocole SAML avec certaines exigences spécifiques indiquées ci-dessous. Pour plus d’informations sur la configuration d’une approbation entre votre fournisseur d’identité SAML et Azure AD, consultez Utiliser un fournisseur d’identité SAML 2.0 pour l’authentification unique.

Notes

Le domaine cible pour la fédération de fournisseur d’identité SAML/WS-Fed ne doit pas être vérifié par DNS dans Azure AD. Pour plus d’informations, consultez la section Questions fréquentes (FAQ).

Attributs SAML 2.0 et revendications requises

Les tableaux suivants présentent la configuration requise pour les attributs spécifiques et les revendications qui doivent être configurés au niveau du fournisseur d’identité tiers. Pour configurer la fédération, les attributs suivants doivent être reçus dans la réponse SAML 2.0 à partir du fournisseur d’identité. Ces attributs peuvent être configurés en liant le fichier XML du service d’émission de jeton de sécurité en ligne ou en les entrant manuellement.

Notes

Vérifiez que la valeur ci-dessous correspond au cloud pour lequel vous configurez la fédération externe.

Attributs requis pour la réponse SAML 2.0 du fournisseur d’identité :

Attribut Valeur
AssertionConsumerService https://login.microsoftonline.com/login.srf
Public visé https://login.microsoftonline.com/<tenant ID>/ (Recommandé) Remplacez <tenant ID> par l’ID du locataire Azure AD avec lequel vous configurez la fédération.

Dans la requête SAML envoyée par Azure AD pour les fédérations externes, l’URL de l’émetteur est un point de terminaison client (par exemple, https://login.microsoftonline.com/<tenant ID>/). Pour les nouvelles fédérations, nous recommandons que tous nos partenaires définissent le public du fournisseur d’identité SAML ou WS-Fed sur un point de terminaison de locataire. Les fédérations existantes configurées avec le point de terminaison global (par exemple, urn:federation:MicrosoftOnline) continuent de fonctionner, mais les nouvelles fédérations cessent de fonctionner si votre fournisseur d’identité externe attend une URL d’émetteur global dans la requête SAML envoyée par Azure AD.
Émetteur URI de l’émetteur du fournisseur d’identité du partenaire (par exemple, http://www.example.com/exk10l6w90DHM0yi...)

Revendications requises pour le jeton SAML 2.0 émis par le fournisseur d’identité :

Nom de l'attribut Valeur
Format NameID urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress emailaddress

Configuration WS-Fed

Azure AD B2B peut être configuré pour la fédération avec les fournisseurs d’identité qui utilisent le protocole WS-Fed avec certaines exigences spécifiques indiquées ci-dessous. Actuellement, les deux fournisseurs WS-Fed testés pour assurer la compatibilité avec Azure AD incluent AD FS et Shibboleth. Pour plus d’informations sur l’établissement d’une partie de confiance entre un fournisseur compatible WS-Fed avec Azure AD, consultez le document « STS Integration Paper using WS Protocols » (Intégration » STS à l’aide des protocoles WS) disponible dans Compatibilité des fournisseurs d’identité Azure AD.

Notes

Le domaine cible pour la fédération ne doit pas être vérifié par DNS sur Azure AD. Pour plus d’informations, consultez la section Questions fréquentes (FAQ).

Attributs WS-Fed et revendications requises

Les tableaux suivants présentent la configuration requise pour les attributs spécifiques et les revendications qui doivent être configurés au niveau du fournisseur d’identité SAML/WS-Fed tiers. Pour configurer la fédération, les attributs suivants doivent être reçus dans le message WS-Fed à partir du fournisseur d’identité. Ces attributs peuvent être configurés en liant le fichier XML du service d’émission de jeton de sécurité en ligne ou en les entrant manuellement.

Notes

Vérifiez que la valeur ci-dessous correspond au cloud pour lequel vous configurez la fédération externe.

Attributs requis dans le message WS-Fed du fournisseur d’identité :

Attribut Valeur
PassiveRequestorEndpoint https://login.microsoftonline.com/login.srf
Public visé https://login.microsoftonline.com/<tenant ID>/ (Recommandé) Remplacez <tenant ID> par l’ID du locataire Azure AD avec lequel vous configurez la fédération.

Dans la requête SAML envoyée par Azure AD pour les fédérations externes, l’URL de l’émetteur est un point de terminaison client (par exemple, https://login.microsoftonline.com/<tenant ID>/). Pour les nouvelles fédérations, nous recommandons que tous nos partenaires définissent le public du fournisseur d’identité SAML ou WS-Fed sur un point de terminaison de locataire. Les fédérations existantes configurées avec le point de terminaison global (par exemple, urn:federation:MicrosoftOnline) continuent de fonctionner, mais les nouvelles fédérations cessent de fonctionner si votre fournisseur d’identité externe attend une URL d’émetteur global dans la requête SAML envoyée par Azure AD.
Émetteur URI de l’émetteur du fournisseur d’identité du partenaire (par exemple, http://www.example.com/exk10l6w90DHM0yi...)

Revendications requises pour le jeton WS-Fed émis par le fournisseur d’identité :

Attribut Valeur
ImmutableID http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
emailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Étape 3 : Configurer la fédération d’IdP SAML/WS-Fed dans Azure AD

Ensuite, vous allez configurer la fédération avec le fournisseur d’identité configuré à l’étape 1 dans Azure AD. Vous pouvez utiliser le Portail Azure AD ou l’API Microsoft Graph. La stratégie de la fédération prend effet au bout de 5 à 10 minutes. Pendant ce temps, n’essayez pas d’utiliser une invitation pour le domaine de la fédération. Les attributs suivants sont requis :

  • URI de l’émetteur du fournisseur d’identité du partenaire
  • Point de terminaison de l’authentification passive du fournisseur d’identité du partenaire (https uniquement est pris en charge)
  • Certificat

Pour configurer la fédération dans le portail Azure AD

  1. Accédez au portail Azure. Sélectionnez Azure Active Directory dans le volet de gauche.

  2. Sélectionnez Identités externes>Tous les fournisseurs d’identité.

  3. Sélectionnez Nouvel IdP SAML/WS-Fed.

    Screenshot showing button for adding a new SAML or WS-Fed IdP.

  4. Sur la page Nouveau fournisseur d’identité SAML/WS-Fed, entrez les éléments suivants :

    • Nom complet : entrez un nom pour vous aider à identifier le fournisseur d’identité du partenaire.
    • Protocole du fournisseur d’identité : sélectionnez SAML ou WS-Fed.
    • Nom de domaine du fournisseur d’identité de fédération : entrez le nom de domaine cible du fournisseur d’identité de votre partenaire pour la fédération. Actuellement, un seul nom de domaine est pris en charge, mais nous travaillons à en autoriser davantage.

    Screenshot showing the new SAML or WS-Fed IdP page.

  5. Sélectionnez une méthode pour renseigner les métadonnées. Vous pouvez entrer les métadonnées manuellement ou si vous avez un fichier qui contient les métadonnées, vous pouvez remplir automatiquement les champs en sélectionnant Analyser le fichier de métadonnées et en accédant au fichier.

    • URI de l’émetteur : URI de l’émetteur du fournisseur d’identité du partenaire.
    • Point de terminaison d’authentification passive : point de terminaison de demandeur passif du fournisseur d’identité du partenaire.
    • Certificat : ID du certificat de signature.
    • URL de métadonnées : emplacement des métadonnées du fournisseur d’identité pour le renouvellement automatique du certificat de signature.

    Screenshot showing metadata fields.

    Notes

    L’URL des métadonnées est facultative, mais fortement recommandée. Si vous fournissez l’URL des métadonnées, Azure AD peut renouveler automatiquement le certificat de signature lorsqu’il arrive à expiration. Si le certificat pivote avant le délai d’expiration pour une raison quelconque, ou si vous ne fournissez pas une URL de métadonnées, Azure AD ne pourra pas le renouveler. Dans ce cas, vous devez mettre à jour le certificat de signature manuellement.

  6. Sélectionnez Enregistrer.

Pour configurer la fédération à l’aide de l’API Microsoft Graph

Vous pouvez utiliser le type de ressource samlOrWsFedExternalDomainFederation de l’API Microsoft Graph pour configurer la fédération avec un fournisseur d’identité qui prend en charge le protocole SAML ou WS-Fed.

Étape 4 : Tester la fédération d’IdP SAML/WS-Fed dans Azure AD

Testez maintenant la configuration de votre fédération en invitant un utilisateur invité B2B. Pour plus d’informations, consultez Ajouter des utilisateurs Azure Active Directory B2B Collaboration dans le Portail Azure.

Comment faire pour mettre à jour les détails du certificat ou de la configuration ?

Sur la page Tous les fournisseurs d’identité, vous pouvez afficher la liste des fournisseurs d’identité SAML/WS-Fed que vous avez configurés et la date d’expiration de leurs certificats. Dans cette liste, vous pouvez renouveler des certificats et modifier d’autres détails de configuration.

Screenshot showing an identity provider in the SAML WS-Fed list

  1. Accédez au portail Azure. Sélectionnez Azure Active Directory dans le volet de gauche.

  2. Sélectionnez Identités externes.

  3. Sélectionnez Tous les fournisseurs d’identité.

  4. Sous Fournisseurs d’identité SAML/WS-Fed, accédez à un fournisseur d’identité dans la liste ou utilisez la zone de recherche.

  5. Pour mettre à jour le certificat ou les détails de la configuration :

    • Dans la colonne Configuration du fournisseur d’identité, sélectionnez le lien Modifier.
    • Sur la page de configuration, modifiez l’un des détails suivants :
      • Nom complet : nom complet de l’organisation du partenaire.
      • Protocole du fournisseur d’identité : sélectionnez SAML ou WS-Fed.
      • Point de terminaison d’authentification passive : point de terminaison de demandeur passif du fournisseur d’identité du partenaire.
      • Certificat : ID du certificat de signature. Pour le renouveler, entrez un nouvel ID de certificat.
      • URL de métadonnées : URL contenant les métadonnées du partenaire, utilisée pour le renouvellement automatique du certificat de signature.
    • Sélectionnez Enregistrer.

    Screenshot of the IDP configuration details.

  6. Pour afficher le domaine du fournisseur d’identité, sélectionnez le lien dans la colonne Domaines pour afficher le nom de domaine cible du partenaire pour la fédération.

    Notes

    Si vous devez mettre à jour le domaine du partenaire, vous devez supprimer la configuration et reconfigurer la fédération avec le fournisseur d’identité à l’aide du nouveau domaine.

    Screenshot of the domain configuration page

Comment supprimer une fédération ?

Vous pouvez supprimer la configuration de votre fédération. Si vous le faites, les utilisateurs invités par fédération qui ont déjà utilisé leur invitation ne pourront plus se connecter. Toutefois, vous pouvez autoriser de nouveau l’accès à vos ressources en réinitialisant l’état d’acceptation. Pour supprimer une configuration pour un fournisseur d’identité dans le Portail Azure :

  1. Accédez au portail Azure. Sélectionnez Azure Active Directory dans le volet de gauche.

  2. Sélectionnez Identités externes.

  3. Sélectionnez Tous les fournisseurs d’identité.

  4. Sous Fournisseurs d’identité SAML/WS-Fed, accédez à un fournisseur d’identité dans la liste ou utilisez la zone de recherche.

  5. Sélectionnez le lien dans la colonne Domaines pour afficher les détails du domaine du fournisseur d’identité.

  6. Sélectionnez Delete Configuration.

    Screenshot of deleting a configuration.

  7. Sélectionnez OK pour confirmer la suppression.

Vous pouvez également supprimer la fédération à l’aide du type de ressource samlOrWsFedExternalDomainFederation de l’API Microsoft Graph.

Étapes suivantes

Découvrez-en plus sur l’expérience d’acceptation d’invitation lorsque des utilisateurs externes se connectent avec différents fournisseurs d’identité.