Federatie met SAML/WS-Fed-id-providers voor gastgebruikers (preview)
Notitie
- Directe federatie in Azure Active Directory wordt nu aangeduid als SAML/WS-Fed Identity Provider (IdP)-federatie.
- SAML/WS-Fed IdP-federatie is een openbare preview-functie van Azure Active Directory. Zie Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews voor meer informatie.
In dit artikel wordt beschreven hoe u federatie in kunt stellen met elke organisatie waarvan de id-provider (IdP) het SAML 2.0- of WS-Fed-protocol ondersteunt. Wanneer u federatie met de IdP van een partner in stelt, kunnen nieuwe gastgebruikers uit dat domein hun eigen door IdP beheerd organisatieaccount gebruiken om zich aan te melden bij uw Azure AD-tenant en met u samen te werken. Het is niet nodig dat de gastgebruiker een afzonderlijk Azure AD-account maakt.
Belangrijk
- We hebben de beperking verwijderd waardoor het verificatie-URL-domein overeen moest komen met het doeldomein of van een toegestane IdP moest zijn. Zie stap 1: bepalenof de partner zijn DNS-tekstrecords moet bijwerken voor meer informatie.
- We raden nu aan dat de partner de doelgroep van de SAML- of WS-Fed id-partner in een tenant doelgroep in te stellen. Raadpleeg de secties SAML 2.0 en WS-Fed required attributes and claims hieronder.
Wanneer wordt een gastgebruiker geverifieerd met SAML/WS-Fed IdP-federatie?
Nadat u federatie met de SAML/WS-Fed-idP van een organisatie hebt ingesteld, worden nieuwe gastgebruikers die u uitnodigt, geverifieerd met behulp van die SAML/WS-Fed-IdP. Het is belangrijk te weten dat het instellen van federatie de verificatiemethode niet wijzigt voor gastgebruikers die al een uitnodiging van u hebben ingewisseld. Hier volgen enkele voorbeelden:
- Als gastgebruikers al uitnodigingen van u hebben ingewisseld en u vervolgens federatie met de SAML/WS-Fed-idp van de organisatie hebt ingesteld, blijven die gastgebruikers dezelfde verificatiemethode gebruiken die ze hebben gebruikt voordat u federatie in instellen.
- Als u federatie met de SAML-/WS-Fed-idp van een organisatie in stelt en gastgebruikers uitnodigt, en de partnerorganisatie later overstapt op Azure AD, blijven de gastgebruikers die al uitnodigingen hebben ingewisseld, de federatief SAML/WS-Fed IdP gebruiken, zolang het federatiebeleid in uw tenant bestaat.
- Als u federatie met de SAML/WS-Fed-idP van een organisatie verwijdert, kunnen gastgebruikers die momenteel de SAML/WS-Fed-idP gebruiken, zich niet aanmelden.
In elk van deze scenario's kunt u de verificatiemethode van een gastgebruiker bijwerken door de inwisselstatus opnieuw in te instellen.
SamL/WS-Fed IdP-federatie is gekoppeld aan domeinnaamruimten, zoals contoso.com en fabrikam.com. Bij het tot stand AD FS federatie of een id-P van derden koppelen organisaties een of meer domeinnaamruimten aan deze IdP's.
Ervaring voor de eindgebruiker
Met SAML/WS-Fed IdP-federatie melden gastgebruikers zich aan bij uw Azure AD-tenant met hun eigen organisatieaccount. Wanneer gebruikers toegang hebben tot gedeelde resources en om aanmelding wordt gevraagd, worden ze omgeleid naar hun IdP. Nadat het aanmelden is geslaagd, worden gebruikers terug naar Azure AD om toegang te krijgen tot resources. Hun vernieuwingstokens zijn 12 uur geldig, de standaardlengte voor het vernieuwingstoken voor passthrough in Azure AD. Als voor de federatie-IdP eenmalige aanmelding is ingeschakeld, krijgt de gebruiker eenmalige aanmelding te zien en wordt er na de eerste verificatie geen aanmeldingsprompt meer te zien.
Aanmeldings-eindpunten
Gastgebruikers van SAML/WS-Fed IdP-federatie kunnen zich nu aanmelden bij uw apps met meerdere tenants of microsoft-apps door gebruik te maken van een gemeenschappelijk eindpunt (met andere woorden, een algemene app-URL die uw tenantcontext niet bevat). Tijdens het aanmeldingsproces kiest de gastgebruiker aanmeldingsopties en selecteert vervolgens Aanmelden bij een organisatie. De gebruiker typen vervolgens de naam van uw organisatie en blijft zich aanmelden met zijn eigen referenties.
SamL/WS-Fed IdP-federatie gastgebruikers kunnen ook toepassings-eindpunten gebruiken die uw tenantgegevens bevatten, bijvoorbeeld:
https://myapps.microsoft.com/?tenantid=<your tenant ID>https://myapps.microsoft.com/<your verified domain>.onmicrosoft.comhttps://portal.azure.com/<your tenant ID>
U kunt gastgebruikers ook een directe koppeling naar een toepassing of resource geven door uw tenantgegevens op te nemen, bijvoorbeeld https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID> .
Veelgestelde vragen
Kan ik SAML/WS-Fed IdP-federatie instellen met geverifieerde Azure AD-domeinen?
Nee, we blokkeren SAML/WS-Fed IdP-federatie voor door Azure AD geverifieerde domeinen ten voordele van de mogelijkheden van het beheerde Azure AD-domein. Als u saml/WS-Fed IdP-federatie probeert in te stellen met een domein dat is geverifieerd via DNS in Azure AD, ziet u een fout in de Azure Portal of PowerShell.
Kan ik saml/WS-Fed IdP-federatie instellen met een domein waarvoor een niet-beherende (via e-mail geverifieerde) tenant bestaat?
Ja, u kunt SAML/WS-Fed IdP-federatie instellen met domeinen die niet via DNS zijn geverifieerd in Azure AD, met inbegrip van niet-beherende Azure AD-tenants (via e-mail geverifieerd of 'viral'). Dergelijke tenants worden gemaakt wanneer een gebruiker een B2B-uitnodiging inwisselt of selfserviceregistratie voor Azure AD uitvoert met behulp van een domein dat momenteel niet bestaat. Als het domein niet is geverifieerd en de tenant geen beheerdersovername heeft ondergaan,kunt u federatie met dat domein instellen.
Hoeveel federatierelaties kan ik maken?
Momenteel worden maximaal 1000 federatierelaties ondersteund. Deze limiet omvat zowel interne federaties als SAML/WS-Fed IdP-federaties.
Kan ik federatie met meerdere domeinen van dezelfde tenant instellen?
We ondersteunen momenteel geen SAML/WS-Fed IdP-federatie met meerdere domeinen van dezelfde tenant.
Moet ik het handtekeningcertificaat vernieuwen wanneer het verloopt?
Als u de metagegevens-URL opgeeft in de IdP-instellingen, wordt het handtekeningcertificaat automatisch vernieuwd wanneer het verloopt. Als het certificaat echter om een bepaalde reden vóór de verlooptijd wordt geruleerd of als u geen metagegevens-URL op geeft, kan het certificaat niet worden vernieuwd. In dit geval moet u het handtekeningcertificaat handmatig bijwerken.
Welke methode heeft voorrang als saml/WS-Fed IdP-federatie en een een time-time wachtwoordcodeverificatie voor e-mail beide zijn ingeschakeld?
Wanneer SAML/WS-Fed IdP-federatie tot stand is gebracht met een partnerorganisatie, heeft deze prioriteit boven verificatie van een een time-time wachtwoordcode voor nieuwe gastgebruikers van die organisatie. Als een gastgebruiker een uitnodiging heeft ingewisseld met behulp van een een time-time wachtwoordcodeverificatie voordat u saml-/WS-Fed IdP-federatie in stelt, blijven ze een een time-time wachtwoordcodeverificatie gebruiken.
Worden aanmeldingsproblemen met SAML/WS-Fed IdP-federatie opgelost vanwege een gedeeltelijk gesynchroniseerde tenancy?
Nee, de e-mailfunctie voor een een time-wachtwoordcode moet in dit scenario worden gebruikt. Een gedeeltelijk gesynchroniseerde tenancy verwijst naar een Azure AD-tenant van een partner waarbij on-premises gebruikersidentiteiten niet volledig zijn gesynchroniseerd met de cloud. Een gast van wie de identiteit nog niet bestaat in de cloud, maar die probeert uw B2B-uitnodiging in te wisselen, kan zich niet aanmelden. Met de functie voor een een time-wachtwoordcode kan deze gast zich aanmelden. De functie SAML/WS-Fed IdP-federatie behandelt scenario's waarin de gast een eigen door IdP beheerd organisatieaccount heeft, maar de organisatie helemaal geen Azure AD-aanwezigheid heeft.
Moet elke gast worden verzonden en een afzonderlijke uitnodiging inwisselen zodra saml/WS-Fed-idp-federatie is geconfigureerd met een organisatie?
Het instellen van saml/WS-Fed IdP-federatie wijzigt de verificatiemethode niet voor gastgebruikers die al een uitnodiging van u hebben ingewisseld. U kunt de verificatiemethode van een gastgebruiker bijwerken door de inwisselstatus opnieuw in te instellen.
Is er een manier om een ondertekende aanvraag naar de SAML-id-provider te verzenden?
Momenteel biedt de federatiefunctie Azure AD SAML/WS-Fed geen ondersteuning voor het verzenden van een ondertekend verificatie token naar de SAML-id-provider.
Stap 1: bepalen of de partner de DNS-tekstrecords moet bijwerken
Afhankelijk van de id-provider van de partner moet de partner mogelijk de DNS-records bijwerken om federatie met u mogelijk te maken. Gebruik de volgende stappen om te bepalen of DNS-updates nodig zijn.
Als de id-provider van de partner een van deze toegestane IdP's is, zijn er geen DNS-wijzigingen nodig (deze lijst kan worden gewijzigd):
- accounts.google.com
- pingidentity.com
- login.pingone.com
- okta.com
- oktapreview.com
- okta-emea.com
- my.salesforce.com
- federation.exostar.com
- federation.exostartest.com
- idaptive.app
- idaptive.qa
Als de IdP niet een van de toegestane providers is die in de vorige stap worden vermeld, controleert u de IDP-verificatie-URL van de partner om te zien of het domein overeenkomt met het doeldomein of een host binnen het doeldomein. Met andere woorden, bij het instellen van federatie voor
fabrikam.com:- Als de verificatie-URL of
https://fabrikam.comhttps://sts.fabrikam.com/adfs(een host in hetzelfde domein) is, zijn er geen DNS-wijzigingen nodig. - Als de verificatie-URL of is, komt het domein niet overeen met het fabrikam.com-domein, dus moet de partner een tekstrecord voor de verificatie-URL toevoegen aan de
https://fabrikamconglomerate.com/adfshttps://fabrikam.com.uk/adfsDNS-configuratie.
Belangrijk
Er is een bekend probleem met de volgende stap. Op dit moment wordt de verificatie niet deblokkeren door een DNS-tekstrecord toe te voegen aan het domein van de federatie-IdP. We werken actief aan het oplossen van dit probleem.
- Als de verificatie-URL of
Als DNS-wijzigingen nodig zijn op basis van de vorige stap, vraagt u de partner om een TXT-record toe te voegen aan de DNS-records van het domein, zoals in het volgende voorbeeld:
fabrikam.com. IN TXT DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs
Stap 2: de IdP van de partnerorganisatie configureren
Vervolgens moet uw partnerorganisatie de IdP configureren met de vereiste claims en relying party-vertrouwensrelatie.
Notitie
Om te laten zien hoe u een SAML/WS-Fed IdP voor federatie configureert, gebruiken we Active Directory Federation Services (AD FS) als voorbeeld. Zie het artikel CONFIGURE SAML/WS-Fed IdP federation with AD FS (SAML/WS-Fed IdP-federatieconfigureren met AD FS) voor voorbeelden van het configureren van AD FS als saml 2.0 of WS-Fed IdP ter voorbereiding op federatie.
SAML 2.0-configuratie
Azure AD B2B kan worden geconfigureerd om te federeren met IdP's die gebruikmaken van het SAML-protocol met specifieke vereisten die hieronder worden vermeld. Zie Use a SAML 2.0 Identity Provider (IdP) for Single Sign-On (Een SAML 2.0 Identity Provider (IdP) gebruiken vooreen aanmelding voor meer informatie over het instellen van een vertrouwensrelatie tussen uw SAML IdP en Azure AD.
Notitie
Het doeldomein voor SAML/WS-Fed IdP-federatie mag niet worden geverifieerd via DNS in Azure AD. Zie de sectie Veelgestelde vragen voor meer informatie.
Vereiste SAML 2.0-kenmerken en -claims
De volgende tabellen tonen vereisten voor specifieke kenmerken en claims die moeten worden geconfigureerd op de IdP van derden. Als u federatie wilt instellen, moeten de volgende kenmerken worden ontvangen in het SAML 2.0-antwoord van de IdP. Deze kenmerken kunnen worden geconfigureerd door te koppelen aan het XML-bestand van de online-beveiliging tokenservice of door ze handmatig in te geven.
Vereiste kenmerken voor het SAML 2.0-antwoord van de IdP:
| Kenmerk | Waarde |
|---|---|
| AssertionConsumerService | https://login.microsoftonline.com/login.srf |
| Doelgroep | https://login.microsoftonline.com/<tenant ID>/ (Aanbevolen tenant-doelgroep.) Vervang <tenant ID> door de tenant-id van de Azure AD-tenant met wie u federatie instelt.urn:federation:MicrosoftOnline (Deze waarde wordt afgeschaft.) |
| Verlener | De URI van de vergever van de partner-IdP, bijvoorbeeld http://www.example.com/exk10l6w90DHM0yi... |
Vereiste claims voor het SAML 2.0-token dat is uitgegeven door de IdP:
| Kenmerk | Waarde |
|---|---|
| NameID-indeling | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
| emailaddress | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
WS-Fed configureren
Azure AD B2B kan worden geconfigureerd om te federeren met IdP's die gebruikmaken van het WS-Fed-protocol met een aantal specifieke vereisten, zoals hieronder wordt vermeld. Momenteel zijn de twee WS-Fed-providers getest op compatibiliteit met Azure AD, AD FS en Shibboleth. Voor meer informatie over het tot stand brengen van een vertrouwensrelatie tussen een WS-Fed-compatibele provider met Azure AD, zie het STS Integration Paper using WS Protocols (STS-integratiedocument met WS-protocollen) dat beschikbaar is in De compatibiliteitsdocumentatie van de Azure AD-identiteitsprovider.
Notitie
Het doeldomein voor federatie mag niet met DNS zijn geverifieerd in Azure AD. Zie de sectie Veelgestelde vragen voor meer informatie.
Vereiste WS-Fed en claims
De volgende tabellen tonen vereisten voor specifieke kenmerken en claims die moeten worden geconfigureerd op de externe WS-Fed IdP. Als u federatie wilt instellen, moeten de volgende kenmerken worden ontvangen in het WS-Fed bericht van de IdP. Deze kenmerken kunnen worden geconfigureerd door te koppelen aan het XML-bestand van de online-beveiliging tokenservice of door ze handmatig in te geven.
Vereiste kenmerken in het WS-Fed bericht van de IdP:
| Kenmerk | Waarde |
|---|---|
| PassiveRequestorEndpoint | https://login.microsoftonline.com/login.srf |
| Doelgroep | https://login.microsoftonline.com/<tenant ID>/ (Aanbevolen tenant-doelgroep.) Vervang <tenant ID> door de tenant-id van de Azure AD-tenant die u federeert.urn:federation:MicrosoftOnline (Deze waarde wordt afgeschaft.) |
| Verlener | De URI van de vergever van de partner-IdP, bijvoorbeeld http://www.example.com/exk10l6w90DHM0yi... |
Vereiste claims voor het WS-Fed-token dat is uitgegeven door de IdP:
| Kenmerk | Waarde |
|---|---|
| OnveranderbareID | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
| emailaddress | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Stap 3: SAML/WS-Fed IdP-federatie configureren in Azure AD
Vervolgens configureert u federatie met de IdP die is geconfigureerd in stap 1 in Azure AD. U kunt de Azure AD-portal of PowerShell gebruiken. Het kan 5-10 minuten duren voordat het federatiebeleid van kracht wordt. Probeer gedurende deze periode geen uitnodiging in te wisselen voor het federatiedomein. De volgende kenmerken zijn vereist:
- Issuer URI of partner IdP
- Passieve verificatie-eindpunt van partner-IdP (alleen https wordt ondersteund)
- Certificaat
Federatie configureren in de Azure AD-portal
Ga naar de Azure Portal. Selecteer de knop Azure Active Directory in het linkerdeelvenster.
Selecteer External Identities > Alle id-providers.
Selecteer New SAML/WS-Fed IdP.
Selecteer op de pagina New SAML/WS-Fed IdP onder Identity provider protocol de optie SAML of WS-FED.
Voer de domeinnaam van uw partnerorganisatie in. Dit wordt de doeldomeinnaam voor federatie
U kunt een metagegevensbestand uploaden om metagegevens te vullen. Als u ervoor kiest om metagegevens handmatig in te voeren, voert u de volgende gegevens in:
- Domeinnaam van partner-IdP
- Entiteits-id van partner-IdP
- Passieve requestor-eindpunt van partner-IdP
- Certificaat
Notitie
Url voor metagegevens is optioneel, maar dit wordt ten zeerste aangeraden. Als u de metagegevens-URL op geeft, kan Azure AD het handtekeningcertificaat automatisch vernieuwen wanneer het verloopt. Als het certificaat om een bepaalde reden wordt geroteerd vóór de verlooptijd of als u geen metagegevens-URL op geeft, kan het certificaat niet worden vernieuwd in Azure AD. In dit geval moet u het handtekeningcertificaat handmatig bijwerken.
Selecteer Opslaan.
SAML/WS-Fed IdP-federatie configureren in Azure AD met behulp van PowerShell
Installeer de nieuwste versie van Azure AD PowerShell voor Graph module (AzureADPreview). Als u gedetailleerde stappen nodig hebt, bevat de quickstart de richtlijnen, PowerShell-module.
Voer de volgende opdracht uit:
Connect-AzureADMeld u bij de aanmeldingsprompt aan met het beheerde globale beheerdersaccount.
Voer de volgende opdrachten uit en vervang de waarden uit het bestand met federatiemetagegevens. Voor AD FS Server en Okta is het federatiebestand federationmetadata.xml, bijvoorbeeld:
https://sts.totheclouddemo.com/federationmetadata/2007-06/federationmetadata.xml.$federationSettings = New-Object Microsoft.Open.AzureAD.Model.DomainFederationSettings $federationSettings.PassiveLogOnUri ="https://sts.totheclouddemo.com/adfs/ls/" $federationSettings.LogOffUri = $federationSettings.PassiveLogOnUri $federationSettings.IssuerUri = "http://sts.totheclouddemo.com/adfs/services/trust" $federationSettings.MetadataExchangeUri="https://sts.totheclouddemo.com/adfs/services/trust/mex" $federationSettings.SigningCertificate= <Replace with X509 signing cert’s public key> $federationSettings.PreferredAuthenticationProtocol="WsFed" OR "Samlp" $domainName = <Replace with domain name> New-AzureADExternalDomainFederation -ExternalDomainName $domainName -FederationSettings $federationSettings
Stap 4: TEST SAML/WS-Fed IdP federation in Azure AD
Test nu uw federatie-installatie door een nieuwe B2B-gastgebruiker uit te nodigen. Zie Add Azure AD B2B collaboration users in the Azure Portal (Azure AD B2B-samenwerkingsgebruikers toevoegen in de Azure Portal).
Hoe kan ik een federatierelatie tussen SAML/WS-Fed-IdP bewerken?
- Ga naar de Azure Portal. Selecteer de knop Azure Active Directory in het linkerdeelvenster.
- Selecteer External Identities.
- Selecteer Alle id-providers
- Selecteer de provider onder SAML/WS-Fed-id-providers.
- Werk in het detailvenster van de id-provider de waarden bij.
- Selecteer Opslaan.
Hoe kan ik federatie verwijderen?
U kunt uw federatie-instellingen verwijderen. Als u dit doet, kunnen federatie-gastgebruikers die hun uitnodigingen al hebben ingewisseld, zich niet aanmelden. Maar u kunt ze opnieuw toegang geven tot uw resources door de inwisselstatus opnieuw in te stellen. Federatie met een IdP verwijderen in de Azure AD-portal:
- Ga naar de Azure Portal. Selecteer de knop Azure Active Directory in het linkerdeelvenster.
- Selecteer External Identities.
- Selecteer Alle id-providers.
- Selecteer de id-provider en selecteer vervolgens Verwijderen.
- Selecteer Ja om het verwijderen te bevestigen.
Federatie met een id-provider verwijderen met behulp van PowerShell:
Installeer de nieuwste versie van Azure AD PowerShell voor Graph module (AzureADPreview).
Voer de volgende opdracht uit:
Connect-AzureADMeld u bij de aanmeldingsprompt aan met het beheerde globale beheerdersaccount.
Voer de volgende opdracht in:
Remove-AzureADExternalDomainFederation -ExternalDomainName $domainName
Volgende stappen
Meer informatie over het inwisselen van uitnodigingen wanneer externe gebruikers zich aanmelden bij verschillende id-providers.