Federazione con provider di identità SAML/WS-Fed per gli utenti guest
Nota
- La federazione diretta in Microsoft Entra per ID esterno viene ora definita federazione del provider di identità SAML/WS-Fed (IdP).
Questo articolo descrive come configurare la federazione con qualsiasi organizzazione il cui provider di identità (IdP) supporta il protocollo SAML 2.0 o WS-Fed. Quando si configura la federazione con il provider di identità di un partner, i nuovi utenti guest di tale dominio possono usare il proprio account aziendale gestito da IdP per accedere al tenant di Microsoft Entra e iniziare a collaborare con l'utente. Non è necessario che l'utente guest crei un account Microsoft Entra separato.
Importante
- È ora possibile configurare la federazione SAML/WS-Fed IdP con domini verificati di Microsoft Entra ID e configurare l'ordine di riscatto dell'invito per assicurarsi che, quando gli utenti invitati eseguono l'accesso, riscattano gli inviti usando l'IDP federato anziché l'ID Microsoft Entra. Le impostazioni dell'ordine di riscatto sono disponibili nelle impostazioni di accesso tra tenant per collaborazione B2B in ingresso.
- Non è più supportato un elenco di idP consentiti per le nuove federazioni IDP SAML/WS-Fed. Quando si configura una nuova federazione esterna, vedere Passaggio 1: Determinare se il partner deve aggiornare i record di testo DNS.
- Nella richiesta SAML inviata dall'ID Microsoft Entra per le federazioni esterne, l'URL dell'autorità di certificazione è un endpoint in tenant. Per qualsiasi nuova federazione, è consigliabile che tutti i partner impostino il pubblico del provider di identità basato su SAML o WS Fed su un endpoint in tenant. Fare riferimento alle sezioni attributi e attestazioni obbligatori SAML 2.0 e WS-Fed . Qualsiasi federazione esistente configurata con l'endpoint globale continuerà a funzionare, ma le nuove federazioni smetteranno di funzionare se il provider di identità esterno prevede un URL autorità di certificazione globale nella richiesta SAML.
- È stata rimossa la limitazione del singolo dominio. È ora possibile associare più domini a una singola configurazione federativa.
- È stata rimossa la limitazione che ha richiesto al dominio dell'URL di autenticazione di corrispondere al dominio di destinazione o a un IdP consentito. Per informazioni dettagliate, vedere Passaggio 1: Determinare se il partner deve aggiornare i record di testo DNS.
Quando un utente guest viene autenticato con la federazione SAML/WS-Fed IdP?
Dopo aver configurato la federazione con l'IDP SAML/WS-Fed di un'organizzazione:
Se il dominio con cui si esegue la federazione non è un dominio verificato con l'ID Entra di Microsoft, tutti i nuovi utenti guest invitati verranno autenticati usando tale IDP SAML/WS-Fed.
Se il dominio è verificato dall'ID Microsoft Entra, è necessario configurare anche le impostazioni ordine di riscatto (anteprima) nelle impostazioni di accesso tra tenant per la collaborazione B2B in ingresso per classificare in ordine di priorità il riscatto con il provider di identità federato. Tutti i nuovi utenti guest invitati verranno quindi autenticati usando tale IDP SAML/WS-Fed.
È importante notare che la configurazione della federazione diretta non modifica il metodo di autenticazione per gli utenti guest che hanno già riscattato un invito da parte dell'utente. Di seguito vengono forniti alcuni esempi:
- Gli utenti guest hanno già riscattato gli inviti dall'utente e successivamente è stata configurata la federazione con l'IDP SAML/WS-Fed dell'organizzazione. Questi utenti guest continuano a usare lo stesso metodo di autenticazione usato prima di configurare la federazione.
- Si configura la federazione con l'IDP SAML/WS-Fed di un'organizzazione e si invitano gli utenti guest, quindi l'organizzazione partner si sposta in seguito in Microsoft Entra ID. Gli utenti guest che hanno già riscattato gli inviti continuano a usare il provider di identità SAML/WS-Fed federato, purché esistano i criteri di federazione nel tenant.
- Si elimina la federazione con l'IDP SAML/WS-Fed di un'organizzazione. Tutti gli utenti guest che usano l'IDP SAML/WS-Fed non sono in grado di accedere.
In uno di questi scenari, è possibile aggiornare il metodo di autenticazione di un utente guest reimpostando lo stato di riscatto.
La federazione SAML/WS-Fed IdP è associata a spazi dei nomi di dominio, ad esempio contoso.com e fabrikam.com. Quando si stabilisce la federazione con AD FS o un IdP di terze parti, le organizzazioni associano uno o più spazi dei nomi di dominio a questi provider di identità.
Esperienza utente finale
Con la federazione SAML/WS-Fed IdP, gli utenti guest accedono al tenant di Microsoft Entra usando il proprio account aziendale. Quando accedono alle risorse condivise e viene richiesto di eseguire l'accesso, gli utenti della federazione diretta vengono reindirizzati al proprio provider di identità. Al termine dell'accesso, gli utenti vengono restituiti all'ID Microsoft Entra per accedere alle risorse. Se la sessione di Microsoft Entra scade o diventa non valida e l'accesso SSO federato è abilitato, l'utente usa l'accesso SSO. Se la sessione dell'utente federato è valida, all'utente non viene richiesto di eseguire di nuovo l'accesso. In caso contrario, l'utente viene reindirizzato al provider di identità per l'accesso.
Endpoint di accesso
Gli utenti guest di federazione SAML/WS-Fed IdP possono ora accedere alle app multi-tenant o Microsoft first-party usando un endpoint comune (in altre parole, un URL generale dell'app che non include il contesto del tenant). Durante il processo di accesso, l'utente guest sceglie le opzioni di accesso e quindi seleziona Accedi a un'organizzazione. L'utente digita quindi il nome dell'organizzazione e continua l'accesso usando le proprie credenziali.
Gli utenti guest di federazione SAML/WS-Fed IdP possono usare anche gli endpoint dell'applicazione che includono le informazioni sul tenant, ad esempio:
https://myapps.microsoft.com/?tenantid=<your tenant ID>https://myapps.microsoft.com/<your verified domain>.onmicrosoft.comhttps://portal.azure.com/<your tenant ID>
È anche possibile concedere agli utenti guest un collegamento diretto a un'applicazione o a una risorsa includendo le informazioni sul tenant, ad esempio https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.
Domande frequenti
È possibile configurare la federazione SAML/WS-Fed IdP con domini verificati di Microsoft Entra ID?
Sì, è ora possibile configurare la federazione SAML/WS-Fed IdP con altri domini verificati di Microsoft Entra ID. Sono inclusi i domini verificati in cui il tenant ha subito un'acquisizione dell'amministratore. Se il dominio con cui si esegue la federazione è verificato l'ID Entra di Microsoft, è necessario configurare anche le impostazioni ordine di riscatto (anteprima) nelle impostazioni di accesso tra tenant per la collaborazione B2B in ingresso per assicurarsi che, quando gli utenti invitati eseguono l'accesso, riscattano gli inviti usando il provider di identità federato anziché l'ID Microsoft Entra.
Attualmente, le impostazioni dell'ordine di riscatto non sono supportate nei cloud. Se il dominio con cui si esegue la federazione è Microsoft Entra ID verificato in un cloud Microsoft diverso, il riscatto di Microsoft Entra ha sempre la precedenza.
È possibile configurare la federazione SAML/WS-Fed IdP con un dominio per il quale esiste un tenant non gestito (verificato tramite posta elettronica) ?
Sì, è possibile configurare la federazione SAML/WS-Fed IdP con domini non verificati tramite DNS nell'ID Microsoft Entra, inclusi i tenant Microsoft Entra non gestiti (verificati tramite posta elettronica o "virali"). Tali tenant vengono creati quando un utente riscatta un invito B2B o esegue l'iscrizione self-service per l'ID Microsoft Entra usando un dominio che non esiste attualmente.
Quante relazioni di federazione è possibile creare?
Attualmente è supportato un massimo di 1.000 relazioni di federazione. Questo limite include sia le federazioni interne che le federazioni IDP SAML/WS-Fed.
È possibile configurare la federazione con più domini dallo stesso tenant?
Sì, ora è supportata la federazione SAML/WS-Fed IdP con più domini dello stesso tenant.
È necessario rinnovare il certificato di firma alla scadenza?
Se si specifica l'URL dei metadati nelle impostazioni IdP, l'ID Entra di Microsoft rinnova automaticamente il certificato di firma alla scadenza. Tuttavia, se il certificato viene ruotato per qualsiasi motivo prima della scadenza o se non si specifica un URL di metadati, Microsoft Entra ID non è in grado di rinnovarlo. In questo caso, è necessario aggiornare manualmente il certificato di firma.
Se la federazione IDP SAML/WS-Fed e l'autenticazione con passcode monouso sono entrambe abilitate, quale metodo ha la precedenza?
Quando viene stabilita la federazione SAML/WS-Fed IdP con un'organizzazione partner, ha la precedenza sull'autenticazione con passcode monouso della posta elettronica per i nuovi utenti guest di tale organizzazione. Se un utente guest ha riscattato un invito usando l'autenticazione con passcode monouso prima di configurare la federazione SAML/WS-Fed IdP, continuano a usare l'autenticazione con passcode monouso.
SAML/WS-Fed IdP risolve i problemi di accesso causati da una tenancy parzialmente sincronizzata?
No, in questo scenario è consigliabile usare la funzionalità di passcode monouso tramite posta elettronica. Un "tenancy parzialmente sincronizzato" si riferisce a un tenant Microsoft Entra partner in cui le identità utente locali non sono completamente sincronizzate con il cloud. Un guest la cui identità non esiste ancora nel cloud, ma che tenta di riscattare l'invito B2B non è in grado di accedere. La funzionalità passcode monouso consente a questo utente guest di eseguire l'accesso. La funzionalità di federazione SAML/WS-Fed IdP risolve gli scenari in cui il guest ha un proprio account aziendale gestito da IdP, ma l'organizzazione non ha alcuna presenza di Microsoft Entra.
Una volta configurata la federazione IDP SAML/WS-Fed con un'organizzazione, ogni guest deve essere inviato e riscattato un singolo invito?
Quando si invitano nuovi utenti guest, è comunque necessario inviare inviti o fornire collegamenti diretti in modo che gli utenti guest possano completare i passaggi di riscatto. Per gli utenti guest esistenti, non è necessario inviare necessariamente nuovi inviti. Gli utenti guest esistenti continueranno a usare il metodo di autenticazione usato prima della configurazione della federazione. Se si vuole che questi guest inizino a usare la federazione per l'autenticazione, è possibile reimpostare lo stato di riscatto. Al successivo accesso all'app o all'uso del collegamento nell'invito, ripeteranno il processo di riscatto e inizieranno a usare la federazione come metodo di autenticazione.
È possibile inviare una richiesta firmata al provider di identità SAML?
Attualmente, la funzionalità di federazione Microsoft Entra SAML/WS-Fed non supporta l'invio di un token di autenticazione firmato al provider di identità SAML.
Quali autorizzazioni sono necessarie per configurare un provider di identità SAML/Ws-Fed?
È necessario essere un provider di identità esterno Amministrazione istrator o un Amministrazione istrator globale nel tenant di Microsoft Entra per configurare un provider di identità SAML/Ws-Fed.
Passaggio 1: Determinare se il partner deve aggiornare i record di testo DNS
A seconda del provider di identità del partner, il partner potrebbe dover aggiornare i record DNS per abilitare la federazione con l'utente. Usare la procedura seguente per determinare se sono necessari aggiornamenti DNS.
Nota
Non è più supportato un elenco di idP consentiti per le nuove federazioni IDP SAML/WS-Fed.
Controllare l'URL di autenticazione passiva IdP del partner per verificare se il dominio corrisponde al dominio di destinazione o a un host all'interno del dominio di destinazione. In altre parole, quando si configura la federazione per
fabrikam.com:- Se l'endpoint di autenticazione passiva è
https://fabrikam.comohttps://sts.fabrikam.com/adfs(un host nello stesso dominio), non sono necessarie modifiche DNS. - Se l'endpoint di autenticazione passiva è
https://fabrikamconglomerate.com/adfsohttps://fabrikam.com.uk/adfs, il dominio non corrisponde al dominio fabrikam.com, quindi il partner deve aggiungere un record di testo per l'URL di autenticazione alla configurazione DNS.
- Se l'endpoint di autenticazione passiva è
Se sono necessarie modifiche DNS in base al passaggio precedente, chiedere al partner di aggiungere un record TXT ai record DNS del dominio, come nell'esempio seguente:
fabrikam.com. IN TXT DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs
Passaggio 2: Configurare il provider di identità dell'organizzazione partner
Successivamente, l'organizzazione partner deve configurare il provider di identità con le attestazioni necessarie e i trust della relying party.
Nota
Per illustrare come configurare un IDP SAML/WS-Fed per la federazione, si userà Active Directory Federation Services (AD FS) come esempio. Vedere l'articolo Configurare la federazione IDP SAML/WS-Fed con AD FS, che fornisce esempi di come configurare AD FS come SAML 2.0 o WS-Fed IdP in preparazione alla federazione.
Configurazione di SAML 2.0
Microsoft Entra B2B può essere configurato per la federazione con provider di identità che usano il protocollo SAML con requisiti specifici elencati in questa sezione. Per altre informazioni sulla configurazione di un trust tra SAML IdP e Microsoft Entra ID, vedere Usare un provider di identità SAML 2.0 (IdP) per l'accesso SSO.
Nota
È ora possibile configurare la federazione SAML/WS-Fed IdP con altri domini verificati di Microsoft Entra ID. Per informazioni dettagliate, vedere la sezione Domande frequenti .
Attestazioni e attributi SAML 2.0 necessari
Le tabelle seguenti illustrano i requisiti per attributi e attestazioni specifici che devono essere configurati nel provider di identità di terze parti. Per configurare la federazione, è necessario ricevere gli attributi seguenti nella risposta SAML 2.0 dal provider di identità. Questi attributi possono essere configurati tramite il collegamento al file XML del servizio token di sicurezza online o mediante immissione manuale.
Nota
Assicurarsi che il valore corrisponda al cloud per cui si sta configurando la federazione esterna.
Attributi necessari per la risposta SAML 2.0 dal provider di identità:
| Attributo | valore |
|---|---|
| AssertionConsumerService | https://login.microsoftonline.com/login.srf |
| Destinatari | https://login.microsoftonline.com/<tenant ID>/ (Scelta consigliata) Sostituire <tenant ID> con l'ID tenant del tenant di Microsoft Entra con cui si sta configurando la federazione.Nella richiesta SAML inviata dall'ID Microsoft Entra per le federazioni esterne, l'URL dell'autorità di certificazione è un endpoint tenant (ad esempio, https://login.microsoftonline.com/<tenant ID>/). Per qualsiasi nuova federazione, è consigliabile che tutti i partner impostino il pubblico del provider di identità basato su SAML o WS Fed su un endpoint in tenant. Qualsiasi federazione esistente configurata con l'endpoint globale (ad esempio , urn:federation:MicrosoftOnline) continuerà a funzionare, ma le nuove federazioni smetteranno di funzionare se il provider di identità esterno prevede un URL dell'autorità di certificazione globale nella richiesta SAML inviata dall'ID Microsoft Entra. |
| Autorità di certificazione | URI dell'autorità emittente del provider di identità del partner, ad esempio http://www.example.com/exk10l6w90DHM0yi... |
Attestazioni necessarie per il token SAML 2.0 rilasciato dal provider di identità:
| Nome attributo | valore |
|---|---|
| Formato NameID | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
emailaddress |
Configurazione WS-Fed
Microsoft Entra B2B può essere configurato per la federazione con i provider di identità che usano il protocollo WS-Fed. In questa sezione vengono illustrati i requisiti. Attualmente, i due provider WS-Fed che sono stati testati per la compatibilità con Microsoft Entra ID includono Active Directory Federation Services e Shibboleth. Per altre informazioni sulla definizione di un trust relying party tra un provider conforme A WS-Fed con Microsoft Entra ID, vedere il documento "STS Integration Paper using WS Protocols" disponibile nella documentazione sulla compatibilità del provider di identità Microsoft Entra.
Nota
È ora possibile configurare la federazione SAML/WS-Fed IdP con altri domini verificati di Microsoft Entra ID. Per informazioni dettagliate, vedere la sezione Domande frequenti .
Attestazioni e attributi WS-Fed necessari
Le tabelle seguenti illustrano i requisiti per attributi e attestazioni specifici che devono essere configurati nel provider di identità WS-Fed di terze parti. Per configurare la federazione, è necessario ricevere gli attributi seguenti nel messaggio WS-Fed dal provider di identità. Questi attributi possono essere configurati tramite il collegamento al file XML del servizio token di sicurezza online o mediante immissione manuale.
Nota
Assicurarsi che il valore corrisponda al cloud per cui si sta configurando la federazione esterna.
Attributi necessari nel messaggio WS-Fed dal provider di identità:
| Attributo | valore |
|---|---|
| PassiveRequestorEndpoint | https://login.microsoftonline.com/login.srf |
| Destinatari | https://login.microsoftonline.com/<tenant ID>/ (Scelta consigliata) Sostituire <tenant ID> con l'ID tenant del tenant di Microsoft Entra con cui si sta configurando la federazione.Nella richiesta SAML inviata dall'ID Microsoft Entra per le federazioni esterne, l'URL dell'autorità di certificazione è un endpoint tenant (ad esempio, https://login.microsoftonline.com/<tenant ID>/). Per qualsiasi nuova federazione, è consigliabile che tutti i partner impostino il pubblico del provider di identità basato su SAML o WS Fed su un endpoint in tenant. Qualsiasi federazione esistente configurata con l'endpoint globale (ad esempio , urn:federation:MicrosoftOnline) continuerà a funzionare, ma le nuove federazioni smetteranno di funzionare se il provider di identità esterno prevede un URL dell'autorità di certificazione globale nella richiesta SAML inviata dall'ID Microsoft Entra. |
| Autorità di certificazione | URI dell'autorità emittente del provider di identità del partner, ad esempio http://www.example.com/exk10l6w90DHM0yi... |
Attestazioni necessarie per il token WS-Fed rilasciato dal provider di identità:
| Attributo | valore |
|---|---|
| ImmutableID | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
| emailaddress | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Passaggio 3: Configurare la federazione SAML/WS-Fed IdP in Microsoft Entra ID
Configurare quindi la federazione con il provider di identità configurato nel passaggio 1 in Microsoft Entra ID. È possibile usare l'interfaccia di amministrazione di Microsoft Entra o l'API Microsoft Graph. Potrebbero essere necessari 5-10 minuti prima che i criteri di federazione vengano applicati. Durante questo periodo, non tentare di riscattare un invito per il dominio federativo. Gli attributi seguenti sono obbligatori:
- URI dell'autorità emittente del provider di identità del partner
- Endpoint di autenticazione passiva del provider di identità partner (è supportato solo HTTPS)
- Certificate
Per configurare la federazione nell'interfaccia di amministrazione di Microsoft Entra
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore del provider di identità esterno.
Passare a Identità>esterne Tutti>i provider di identità.
Selezionare Nuovo IDP SAML/WS-Fed.
Nella pagina New SAML/WS-Fed IdP (Nuovo IDP SAML/WS-Fed) immettere quanto segue:
- Nome visualizzato: immettere un nome per identificare il provider di identità del partner.
- Protocollo del provider di identità: selezionare SAML o WS-Fed.
- Nome di dominio del provider di identità federativo : immettere il nome di dominio di destinazione IdP del partner per la federazione. Durante questa configurazione iniziale immettere un solo nome di dominio. È possibile aggiungere altri domini in un secondo momento.
Selezionare un metodo per popolare i metadati. È possibile immettere manualmente i metadati oppure, se si dispone di un file contenente i metadati, è possibile popolare automaticamente i campi selezionando Analizza file di metadati ed esplorando il file.
- URI autorità di certificazione: URI dell'autorità emittente del provider di identità del partner.
- Endpoint di autenticazione passiva: endpoint del richiedente passivo del provider di identità del partner.
- Certificate : ID certificato di firma.
- URL dei metadati: percorso dei metadati del provider di identità per il rinnovo automatico del certificato di firma.
Nota
L'URL dei metadati è facoltativo, ma è consigliabile specificarlo. Se si specifica l'URL dei metadati, Microsoft Entra ID può rinnovare automaticamente il certificato di firma alla scadenza. Se il certificato viene ruotato per qualsiasi motivo prima dell'ora di scadenza o se non si specifica un URL dei metadati, Microsoft Entra ID non sarà in grado di rinnovarlo. In questo caso, sarà necessario aggiornare manualmente il certificato di firma.
Seleziona Salva. Il provider di identità viene aggiunto all'elenco dei provider di identità SAML/WS-Fed.
(Facoltativo) Per aggiungere altri nomi di dominio a questo provider di identità federativo:
Selezionare il collegamento nella colonna Domini .
Accanto a Nome di dominio del provider di identità federativo, digitare il nome di dominio e quindi selezionare Aggiungi. Ripetere per ogni dominio che si desidera aggiungere. Al termine selezionare Fine.
Per configurare la federazione tramite l'API Microsoft Graph
È possibile usare il tipo di risorsa samlOrWsFedExternalDomainFederation dell'API Microsoft Graph per configurare la federazione con un provider di identità che supporta il protocollo SAML o WS-Fed.
Passaggio 4: Configurare l'ordine di riscatto per i domini verificati di Microsoft Entra ID
Se il dominio è verificato da Microsoft Entra ID, configurare le impostazioni ordine di riscatto nelle impostazioni di accesso tra tenant per la collaborazione B2B in ingresso. Spostare i provider di identità SAML/WS-Fed all'inizio dell'elenco Provider di identità primari per assegnare priorità al riscatto con il provider di identità federato.
Nota
Le impostazioni dell'interfaccia di amministrazione di Microsoft Entra per la funzionalità di riscatto configurabile vengono attualmente implementate ai clienti. Fino a quando le impostazioni non sono disponibili nell'interfaccia di amministrazione, è possibile configurare l'ordine di riscatto dell'invito usando l'API REST di Microsoft Graph (versione beta). Vedere Esempio 2: Aggiornare la configurazione di riscatto dell'invito predefinito nella documentazione di riferimento di Microsoft Graph.
Passaggio 5: Testare la federazione SAML/WS-Fed IdP in Microsoft Entra ID
Testare ora la configurazione della federazione invitando un nuovo utente guest B2B. Per informazioni dettagliate, vedere Aggiungere utenti di Collaborazione B2B di Microsoft Entra nell'interfaccia di amministrazione di Microsoft Entra.
Ricerca per categorie aggiornare i dettagli del certificato o della configurazione?
Nella pagina Tutti i provider di identità è possibile visualizzare l'elenco dei provider di identità SAML/WS-Fed configurati e le relative date di scadenza del certificato. Da questo elenco è possibile rinnovare i certificati e modificare altri dettagli di configurazione.
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore del provider di identità esterno.
Passare a Identità>esterne Tutti>i provider di identità.
In SAML/WS-Fed identity providers (Provider di identità SAML/WS-Fed) scorrere fino a un provider di identità nell'elenco o usare la casella di ricerca.
Per aggiornare il certificato o modificare i dettagli di configurazione:
- Nella colonna Configurazione per il provider di identità selezionare il collegamento Modifica.
- Nella pagina di configurazione modificare uno dei dettagli seguenti:
- Nome visualizzato: nome visualizzato per l'organizzazione del partner.
- Protocollo del provider di identità: selezionare SAML o WS-Fed.
- Endpoint di autenticazione passiva: endpoint del richiedente passivo del provider di identità del partner.
- Certificate : ID del certificato di firma. Per rinnovarlo, immettere un nuovo ID certificato.
- URL dei metadati: URL contenente i metadati del partner, usato per il rinnovo automatico del certificato di firma.
- Seleziona Salva.
Per modificare i domini associati al partner, selezionare il collegamento nella colonna Domini . Nel riquadro dei dettagli del dominio:
- Per aggiungere un dominio, digitare il nome di dominio accanto a Nome di dominio del provider di identità federativo e quindi selezionare Aggiungi. Ripetere per ogni dominio che si desidera aggiungere.
- Per eliminare un dominio, selezionare l'icona di eliminazione accanto al dominio.
- Al termine selezionare Fine.
Nota
Per rimuovere la federazione con il partner, eliminare tutti i domini, ma uno dei domini e seguire la procedura descritta nella sezione successiva.
Ricerca per categorie rimuovere la federazione?
È possibile rimuovere la configurazione della federazione. In tal caso, gli utenti guest federativi che hanno già riscattato gli inviti non potranno più accedere. Tuttavia, è possibile concedere loro di nuovo l'accesso alle risorse reimpostando lo stato di riscatto. Per rimuovere una configurazione per un IdP nell'interfaccia di amministrazione di Microsoft Entra:
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore del provider di identità esterno.
Passare a Identità>esterne Tutti>i provider di identità.
In SAML/WS-Fed identity providers (Provider di identità SAML/WS-Fed) scorrere fino al provider di identità nell'elenco o usare la casella di ricerca.
Selezionare il collegamento nella colonna Domini per visualizzare i dettagli del dominio del provider di identità.
Eliminare tutti i domini ma uno dei domini nell'elenco Nome di dominio.
Selezionare Elimina configurazione e quindi fine.
Selezionare OK per confermare l'eliminazione.
È anche possibile rimuovere la federazione usando il tipo di risorsa samlOrWsFedExternalDomainFederation dell'API Microsoft Graph.
Passaggi successivi
Altre informazioni sull'esperienza di riscatto dell'invito quando gli utenti esterni accedono con diversi provider di identità.