Bezpośrednia Federacja z dostawcami AD FS i innych firm dla użytkowników-Gości (wersja zapoznawcza)Direct federation with AD FS and third-party providers for guest users (preview)

Federacja bezpośrednia jest publiczną funkcją w wersji zapoznawczej Azure Active Directory.Direct federation is a public preview feature of Azure Active Directory. Aby uzyskać więcej informacji na temat wersji zapoznawczych, zobacz temat Dodatkowe warunki użytkowania dotyczące wersji zapoznawczych platformy Microsoft Azure.For more information about previews, see Supplemental Terms of Use for Microsoft Azure Previews.

W tym artykule opisano sposób konfigurowania Federacji bezpośredniej z inną organizacją do współpracy B2B.This article describes how to set up direct federation with another organization for B2B collaboration. Można skonfigurować bezpośrednią Federacji z każdą organizacją, której dostawca tożsamości (dostawcy tożsamości) obsługuje protokół SAML 2,0 lub WS-IP.You can set up direct federation with any organization whose identity provider (IdP) supports the SAML 2.0 or WS-Fed protocol. Po skonfigurowaniu bezpośredniej Federacji z dostawcy tożsamości partnera nowi użytkownicy-Goście z tej domeny mogą używać własnego konta organizacji zarządzanego przez dostawcy tożsamości do logowania się do dzierżawy usługi Azure AD i rozpoczynania współpracy z Twoimi użytkownikami.When you set up direct federation with a partner's IdP, new guest users from that domain can use their own IdP-managed organizational account to sign in to your Azure AD tenant and start collaborating with you. Użytkownik-Gość nie musi tworzyć oddzielnego konta usługi Azure AD.There's no need for the guest user to create a separate Azure AD account.

Uwaga

Bezpośredni federacyjny użytkownicy-gość muszą się zalogować przy użyciu linku zawierającego kontekst dzierżawy (na przykład https://myapps.microsoft.com/?tenantid=<tenant id> lub https://portal.azure.com/<tenant id>lub w przypadku zweryfikowanej domeny https://myapps.microsoft.com/\<verified domain>.onmicrosoft.com).Direct federation guest users must sign in using a link that includes the tenant context (for example, https://myapps.microsoft.com/?tenantid=<tenant id> or https://portal.azure.com/<tenant id>, or in the case of a verified domain, https://myapps.microsoft.com/\<verified domain>.onmicrosoft.com). Bezpośrednie linki do aplikacji i zasobów działają również tak długo, jak w przypadku kontekstu dzierżawy.Direct links to applications and resources also work as long as they include the tenant context. Użytkownicy Federacji bezpośredniej nie mogą obecnie zalogować się przy użyciu wspólnych punktów końcowych, które nie mają kontekstu dzierżawy.Direct federation users are currently unable to sign in using common endpoints that have no tenant context. Na przykład użycie https://myapps.microsoft.com, https://portal.azure.comlub https://teams.microsoft.com spowoduje wystąpienie błędu.For example, using https://myapps.microsoft.com, https://portal.azure.com, or https://teams.microsoft.com will result in an error.

Kiedy jest uwierzytelniany przez użytkownika-gościa za pomocą Federacji bezpośredniej?When is a guest user authenticated with direct federation?

Po skonfigurowaniu bezpośredniej Federacji z organizacją Wszyscy nowi zaproszeni użytkownicy-Goście będą uwierzytelniani za pomocą Federacji bezpośredniej.After you set up direct federation with an organization, any new guest users you invite will be authenticated using direct federation. Należy pamiętać, że skonfigurowanie Federacji bezpośredniej nie zmienia metody uwierzytelniania dla użytkowników-Gości, którzy już wykorzystali zaproszenie.It’s important to note that setting up direct federation doesn’t change the authentication method for guest users who have already redeemed an invitation from you. Oto kilka przykładów:Here are some examples:

  • Jeśli użytkownicy-Goście już wykorzystali zaproszenia z Ciebie, a następnie skonfigurujesz bezpośrednią Federacji z organizacją, Ci użytkownicy będą nadal używać tej samej metody uwierzytelniania, która została użyta przed skonfigurowaniem Federacji bezpośredniej.If guest users have already redeemed invitations from you, and you subsequently set up direct federation with their organization, those guest users will continue to use the same authentication method they used before you set up direct federation.
  • Jeśli skonfigurujesz bezpośrednią Federacji z organizacją partnera i zapraszasz użytkowników-Gości, a następnie organizacja partnera później przejdzie do usługi Azure AD, użytkownicy-Goście, którzy już wykorzystali zaproszenia, będą nadal korzystać z Federacji bezpośredniej, o ile bezpośrednio zasady federacyjne w dzierżawie istnieją.If you set up direct federation with a partner organization and invite guest users, and then the partner organization later moves to Azure AD, the guest users who have already redeemed invitations will continue to use direct federation, as long as the direct federation policy in your tenant exists.
  • W przypadku usunięcia bezpośredniej Federacji z organizacją partnera wszyscy użytkownicy-Goście korzystający obecnie z Federacji bezpośredniej nie będą mogli się zalogować.If you delete direct federation with a partner organization, any guest users currently using direct federation will be unable to sign in.

W każdym z tych scenariuszy można zaktualizować metodę uwierzytelniania użytkownika-gościa, usuwając konto użytkownika-gościa z katalogu i zapraszając je.In any of these scenarios, you can update a guest user’s authentication method by deleting the guest user account from your directory and reinviting them.

Federacja bezpośrednia jest powiązana z przestrzeniami nazw domen, takimi jak contoso.com i fabrikam.com.Direct federation is tied to domain namespaces, such as contoso.com and fabrikam.com. Podczas ustanawiania bezpośredniej konfiguracji federacji z AD FS lub dostawcy tożsamości innych firm organizacje kojarzą co najmniej jedną przestrzeń nazw domeny z tymi dostawców tożsamości.When establishing a direct federation configuration with AD FS or a third-party IdP, organizations associate one or more domain namespaces to these IdPs.

Środowisko użytkownika końcowegoEnd-user experience

W przypadku federacji bezpośredniej użytkownicy-Goście logują się do dzierżawy usługi Azure AD przy użyciu konta organizacyjnego.With direct federation, guest users sign into your Azure AD tenant using their own organizational account. Gdy uzyskują dostęp do zasobów udostępnionych i zostanie wyświetlony monit o zalogowanie się, użytkownicy Federacji bezpośrednich są przekierowywani do ich dostawcy tożsamości.When they are accessing shared resources and are prompted for sign-in, direct federation users are redirected to their IdP. Po pomyślnym zalogowaniu są one zwracane do usługi Azure AD w celu uzyskania dostępu do zasobów.After successful sign-in, they are returned to Azure AD to access resources. Tokeny odświeżania bezpośrednich użytkowników federacyjnych są prawidłowe przez 12 godzin, a Domyślna długość tokenu odświeżania przekazywania w usłudze Azure AD.Direct federation users’ refresh tokens are valid for 12 hours, the default length for passthrough refresh token in Azure AD. Jeśli Federacja federacyjna dostawcy tożsamości ma włączone Logowanie jednokrotne, użytkownik będzie miał Logowanie jednokrotne i nie zobaczy monitu logowania po uwierzytelnieniu początkowym.If the federated IdP has SSO enabled, the user will experience SSO and will not see any sign-in prompt after initial authentication.

OgraniczeniaLimitations

Domeny zweryfikowane przez usługę DNS w usłudze Azure ADDNS-verified domains in Azure AD

Domena, której chcesz sfederować, nie może być zweryfikowana przez system DNS w usłudze Azure AD.The domain you want to federate with must not be DNS-verified in Azure AD. Istnieje możliwość skonfigurowania Federacji bezpośredniej z niezarządzanymi (zweryfikowanymi pocztą e-mail lub "wirusami") dzierżaw usługi Azure AD, ponieważ nie są one zweryfikowane przez system DNS.You're allowed to set up direct federation with unmanaged (email-verified or "viral") Azure AD tenants because they aren't DNS-verified.

Adres URL uwierzytelnianiaAuthentication URL

Federacja bezpośrednia jest dozwolona tylko w przypadku zasad, w których domena adresu URL uwierzytelniania jest zgodna z domeną docelową lub jeśli adres URL uwierzytelniania jest jednym z tych dozwolonych dostawców tożsamości (Ta lista może ulec zmianie):Direct federation is only allowed for policies where the authentication URL’s domain matches the target domain, or where the authentication URL is one of these allowed identity providers (this list is subject to change):

  • accounts.google.comaccounts.google.com
  • pingidentity.compingidentity.com
  • login.pingone.comlogin.pingone.com
  • okta.comokta.com
  • my.salesforce.commy.salesforce.com
  • federation.exostar.comfederation.exostar.com
  • federation.exostartest.comfederation.exostartest.com

Na przykład podczas konfigurowania Federacji bezpośredniej dla fabrikam.com, adres URL uwierzytelniania https://fabrikam.com/adfs przekaże weryfikację.For example, when setting up direct federation for fabrikam.com, the authentication URL https://fabrikam.com/adfs will pass the validation. Host w tej samej domenie również zostanie przekazany na przykład https://sts.fabrikam.com/adfs.A host in the same domain will also pass, for example https://sts.fabrikam.com/adfs. Jednak adres URL uwierzytelniania https://fabrikamconglomerate.com/adfs lub https://fabrikam.com.uk/adfs dla tej samej domeny nie zostanie przekazany.However, the authentication URL https://fabrikamconglomerate.com/adfs or https://fabrikam.com.uk/adfs for the same domain won't pass.

Odnawianie certyfikatu podpisywaniaSigning certificate renewal

Jeśli określisz adres URL metadanych w ustawieniach dostawcy tożsamości, usługa Azure AD automatycznie odnowi certyfikat podpisywania po jego wygaśnięciu.If you specify the metadata URL in the identity provider settings, Azure AD will automatically renew the signing certificate when it expires. Jeśli jednak certyfikat jest obrócony z dowolnego powodu przed upływem czasu wygaśnięcia lub jeśli nie podano adresu URL metadanych, usługa Azure AD nie będzie mogła go odnowić.However, if the certificate is rotated for any reason before the expiration time, or if you don't provide a metadata URL, Azure AD will be unable to renew it. W takim przypadku należy ręcznie zaktualizować certyfikat podpisywania.In this case, you'll need to update the signing certificate manually.

Limit relacji federacyjnychLimit on federation relationships

Obecnie obsługiwane są maksymalnie 1 000 relacje federacyjne.Currently, a maximum of 1,000 federation relationships is supported. Ten limit obejmuje wewnętrzne Federacji i bezpośrednie Federacji.This limit includes both internal federations and direct federations.

Często zadawane pytaniaFrequently asked questions

Czy można skonfigurować bezpośrednią Federacji z domeną, dla której istnieje niezarządzana dzierżawa (zweryfikowana za pośrednictwem poczty e-mail)?Can I set up direct federation with a domain for which an unmanaged (email-verified) tenant exists?

Tak.Yes. Jeśli domena nie została zweryfikowana i dzierżawa nie przeszła przejęcia przez administratora, można skonfigurować bezpośrednią Federacji z tą domeną.If the domain hasn't been verified and the tenant hasn't undergone an admin takeover, you can set up direct federation with that domain. Niezarządzane lub zweryfikowane pocztą e-mail dzierżawy są tworzone, gdy użytkownik zrealizuje zaproszenie B2B lub wykonuje samoobsługowe Tworzenie konta w usłudze Azure AD przy użyciu domeny, która obecnie nie istnieje.Unmanaged, or email-verified, tenants are created when a user redeems a B2B invitation or performs a self-service sign-up for Azure AD using a domain that doesn’t currently exist. Można skonfigurować bezpośrednią Federacji z tymi domenami.You can set up direct federation with these domains. W przypadku próby skonfigurowania bezpośredniej Federacji z domeną zweryfikowaną przez system DNS w Azure Portal lub za pomocą programu PowerShell zostanie wyświetlony komunikat o błędzie.If you try to set up direct federation with a DNS-verified domain, either in the Azure portal or via PowerShell, you'll see an error.

Jeśli w przypadku federacji bezpośredniej i poczty e-mail jednorazowe uwierzytelnianie kodu dostępu jest włączone, która metoda ma pierwszeństwo?If direct federation and email one-time passcode authentication are both enabled, which method takes precedence?

W przypadku ustanowienia bezpośredniej Federacji z organizacją partnera ma ona wyższy priorytet niż jednorazowe uwierzytelnianie kodu dostępu do poczty e-mail dla nowych użytkowników-Gości z tej organizacji.When direct federation is established with a partner organization, it takes precedence over email one-time passcode authentication for new guest users from that organization. Jeśli użytkownik-Gość wykorzystał zaproszenie przy użyciu jednorazowego uwierzytelniania kodu dostępu, przed skonfigurowaniem Federacji bezpośredniej będzie nadal korzystać z uwierzytelniania jednorazowego kodu dostępu.If a guest user redeemed an invitation using one-time passcode authentication before you set up direct federation, they'll continue to use one-time passcode authentication.

Czy bezpośrednie problemy z logowaniem do adresu federacyjnego są spowodowane częściowo zsynchronizowaną dzierżawą?Does direct federation address sign-in issues due to a partially synced tenancy?

Nie. w tym scenariuszu należy użyć funkcji jednokrotnego kodu dostępu w wiadomości e-mail .No, the email one-time passcode feature should be used in this scenario. "Częściowo zsynchronizowana dzierżawa" odnosi się do dzierżawy usługi Azure AD partnera, w której tożsamości użytkowników lokalnych nie są w pełni zsynchronizowane z chmurą.A “partially synced tenancy” refers to a partner Azure AD tenant where on-premises user identities aren't fully synced to the cloud. Gość, którego tożsamość nie istnieje jeszcze w chmurze, ale próbujących zrealizować zaproszenie B2B nie będzie mógł się zalogować.A guest whose identity doesn’t yet exist in the cloud but who tries to redeem your B2B invitation won’t be able to sign in. Funkcja jednorazowy kod dostępu zezwoli temu gościa na logowanie.The one-time passcode feature would allow this guest to sign in. Funkcja Federacji bezpośredniej dotyczy scenariuszy, w których Gość ma własne konto organizacyjne zarządzane przez dostawcy tożsamości, ale w ogóle nie ma obecności usługi Azure AD.The direct federation feature addresses scenarios where the guest has their own IdP-managed organizational account, but the organization has no Azure AD presence at all.

Krok 1. Konfigurowanie dostawcy tożsamości organizacji partnerskiejStep 1: Configure the partner organization’s identity provider

Najpierw organizacja partnera musi skonfigurować swojego dostawcę tożsamości z wymaganymi oświadczeniami i relacjami zaufania jednostek uzależnionych.First, your partner organization needs to configure their identity provider with the required claims and relying party trusts.

Uwaga

Aby zilustrować sposób konfigurowania dostawcy tożsamości dla Federacji bezpośredniej, będziemy używać Active Directory Federation Services (AD FS) jako przykładu.To illustrate how to configure an identity provider for direct federation, we’ll use Active Directory Federation Services (AD FS) as an example. Zapoznaj się z artykułem Konfigurowanie bezpośredniej Federacji z AD FS, która zawiera przykłady konfigurowania AD FS jako dostawcy tożsamości SAML 2,0 lub WS-in w przygotowaniu do Federacji bezpośredniej.See the article Configure direct federation with AD FS, which gives examples of how to configure AD FS as a SAML 2.0 or WS-Fed identity provider in preparation for direct federation.

Konfiguracja protokołu SAML 2,0SAML 2.0 configuration

Usługę Azure AD B2B można skonfigurować tak, aby sfederować się z dostawcami tożsamości, którzy korzystają z protokołu SAML z określonymi wymaganiami wymienionymi poniżej.Azure AD B2B can be configured to federate with identity providers that use the SAML protocol with specific requirements listed below. Aby uzyskać więcej informacji na temat konfigurowania zaufania między dostawcą tożsamości SAML i usługą Azure AD, zobacz Używanie dostawcy tożsamości saml 2,0 (dostawcy tożsamości) na potrzeby logowania jednokrotnego.For more information about setting up a trust between your SAML identity provider and Azure AD, see Use a SAML 2.0 Identity Provider (IdP) for Single Sign-On.

Uwaga

Domena docelowa dla Federacji bezpośredniej nie może być zweryfikowana przez system DNS w usłudze Azure AD.The target domain for direct federation must not be DNS-verified on Azure AD. Domena adresu URL uwierzytelniania musi być zgodna z domeną docelową lub musi być domeną dozwolonego dostawcy tożsamości.The authentication URL domain must match the target domain or it must be the domain of an allowed identity provider. Szczegółowe informacje znajdują się w sekcji ograniczenia .See the Limitations section for details.

Wymagane atrybuty i oświadczenia SAML 2,0Required SAML 2.0 attributes and claims

W poniższych tabelach przedstawiono wymagania dotyczące określonych atrybutów i oświadczeń, które muszą być skonfigurowane w dostawcy tożsamości innej firmy.The following tables show requirements for specific attributes and claims that must be configured at the third-party identity provider. Aby skonfigurować bezpośrednią Federacji, należy odebrać następujące atrybuty w odpowiedzi SAML 2,0 od dostawcy tożsamości.To set up direct federation, the following attributes must be received in the SAML 2.0 response from the identity provider. Te atrybuty można skonfigurować, łącząc się z plikiem XML usługi tokenu zabezpieczającego w trybie online lub wprowadzając je ręcznie.These attributes can be configured by linking to the online security token service XML file or by entering them manually.

Atrybuty wymagane dla odpowiedzi SAML 2,0 z dostawcy tożsamości:Required attributes for the SAML 2.0 response from the IdP:

AtrybutAttribute WartośćValue
AssertionConsumerServiceAssertionConsumerService https://login.microsoftonline.com/login.srf
OdbiorcyAudience urn:federation:MicrosoftOnline
WystawcaIssuer Identyfikator URI wystawcy partnera dostawcy tożsamości, na przykład http://www.example.com/exk10l6w90DHM0yi...The issuer URI of the partner IdP, for example http://www.example.com/exk10l6w90DHM0yi...

Wymagane oświadczenia dla tokenu SAML 2,0 wystawionego przez dostawcy tożsamości:Required claims for the SAML 2.0 token issued by the IdP:

AtrybutAttribute WartośćValue
Format NameIDNameID Format urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
emailaddressemailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Konfiguracja usługi WS-karmioneWS-Fed configuration

Usługę Azure AD B2B można skonfigurować tak, aby sfederować się z dostawcami tożsamości, którzy korzystają z protokołu WS-pokarmowego z określonymi wymaganiami wymienionymi poniżej.Azure AD B2B can be configured to federate with identity providers that use the WS-Fed protocol with some specific requirements as listed below. Obecnie dwaj dostawcy usługi WS-karmione zostały przetestowani pod kątem zgodności z usługą Azure AD, w tym AD FS i Shibboleth.Currently, the two WS-Fed providers have been tested for compatibility with Azure AD include AD FS and Shibboleth. Aby uzyskać więcej informacji na temat ustanawiania zaufania jednostki uzależnionej między zgodnym dostawcą usługi WS-in a usługą Azure AD, zobacz "papier integracji usługi STS przy użyciu protokołów WS" dostępnych w dokumentach zgodności dostawcy tożsamości usługi Azure AD.For more information about establishing a relying party trust between a WS-Fed compliant provider with Azure AD, see the "STS Integration Paper using WS Protocols" available in the Azure AD Identity Provider Compatibility Docs.

Uwaga

Domena docelowa dla Federacji bezpośredniej nie może być zweryfikowana przez system DNS w usłudze Azure AD.The target domain for direct federation must not be DNS-verified on Azure AD. Domena adresu URL uwierzytelniania musi być zgodna z domeną docelową lub domeną dozwolonego dostawcy tożsamości.The authentication URL domain must match either the target domain or the domain of an allowed identity provider. Szczegółowe informacje znajdują się w sekcji ograniczenia .See the Limitations section for details.

Wymagane atrybuty i oświadczenia dotyczące protokołu WS-inRequired WS-Fed attributes and claims

W poniższych tabelach przedstawiono wymagania dotyczące określonych atrybutów i oświadczeń, które muszą zostać skonfigurowane w ramach dostawcy tożsamości opartego na usłudze WS-in-the-karmione.The following tables show requirements for specific attributes and claims that must be configured at the third-party WS-Fed identity provider. Aby skonfigurować bezpośrednią Federacji, należy odebrać następujące atrybuty w komunikacie protokołu WS-pokarmowym od dostawcy tożsamości.To set up direct federation, the following attributes must be received in the WS-Fed message from the identity provider. Te atrybuty można skonfigurować, łącząc się z plikiem XML usługi tokenu zabezpieczającego w trybie online lub wprowadzając je ręcznie.These attributes can be configured by linking to the online security token service XML file or by entering them manually.

Wymagane atrybuty w wiadomości protokołu WS-pokarmowego z dostawcy tożsamości:Required attributes in the WS-Fed message from the IdP:

AtrybutAttribute WartośćValue
PassiveRequestorEndpointPassiveRequestorEndpoint https://login.microsoftonline.com/login.srf
OdbiorcyAudience urn:federation:MicrosoftOnline
WystawcaIssuer Identyfikator URI wystawcy partnera dostawcy tożsamości, na przykład http://www.example.com/exk10l6w90DHM0yi...The issuer URI of the partner IdP, for example http://www.example.com/exk10l6w90DHM0yi...

Wymagane oświadczenia dla tokenu protokołu WS-pokarmowego wydanego przez dostawcy tożsamości:Required claims for the WS-Fed token issued by the IdP:

AtrybutAttribute WartośćValue
ImmutableIDImmutableID http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
emailaddressemailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Krok 2. Konfigurowanie bezpośredniej Federacji w usłudze Azure ADStep 2: Configure direct federation in Azure AD

Następnie skonfigurujesz Federacji z dostawcą tożsamości skonfigurowanym w kroku 1 w usłudze Azure AD.Next, you'll configure federation with the identity provider configured in step 1 in Azure AD. Możesz użyć portalu usługi Azure AD lub programu PowerShell.You can use either the Azure AD portal or PowerShell. Przed zastosowaniem bezpośrednich zasad Federacji może upłynąć 5-10 minut.It might take 5-10 minutes before the direct federation policy takes effect. W tym czasie nie należy próbować zrealizować zaproszenia dla domeny Federacji bezpośredniej.During this time, don't attempt to redeem an invitation for the direct federation domain. Wymagane są następujące atrybuty:The following attributes are required:

  • Identyfikator URI wystawcy partnera dostawcy tożsamościIssuer URI of partner IdP
  • Punkt końcowy uwierzytelniania pasywnego dostawcy tożsamości partnera (obsługiwana jest tylko obsługa protokołu HTTPS)Passive authentication endpoint of partner IdP (only https is supported)
  • CertyfikatCertificate

Aby skonfigurować bezpośrednią Federacji w portalu usługi Azure ADTo configure direct federation in the Azure AD portal

  1. Przejdź do witryny Azure Portal.Go to the Azure portal. W lewym okienku wybierz pozycję Azure Active Directory.In the left pane, select Azure Active Directory.

  2. Wybierz relacje organizacyjne.Select Organizational Relationships.

  3. Wybierz pozycję dostawcy tożsamości, a następnie wybierz pozycję Nowy protokół SAML/WS-dostawcy tożsamości.Select Identity providers, and then select New SAML/WS-Fed IdP.

    Zrzut ekranu przedstawiający przycisk dodawania nowych dostawcy tożsamości języka SAML lub protokołu WS-karmionego

  4. Na nowej stronie dostawcy tożsamości SAML/WS-karmione w obszarze Protokół dostawcy tożsamościwybierz pozycję SAML lub WS-karmione.On the New SAML/WS-Fed IdP page, under Identity provider protocol, select SAML or WS-FED.

    Zrzut ekranu przedstawiający przycisk analizy na stronie dostawcy tożsamości SAML lub WS-karmione

  5. Wprowadź nazwę domeny organizacji partnera, która będzie nazwą domeny docelowej dla Federacji bezpośredniejEnter your partner organization’s domain name, which will be the target domain name for direct federation

  6. Aby wypełnić szczegóły metadanych, można przekazać plik metadanych.You can upload a metadata file to populate metadata details. Jeśli zdecydujesz się na ręczne wprowadzanie metadanych, wprowadź następujące informacje:If you choose to input metadata manually, enter the following information:

    • Nazwa domeny dostawcy tożsamości partneraDomain name of partner IdP
    • Identyfikator jednostki dostawcy tożsamości partneraEntity ID of partner IdP
    • Punkt końcowy żądania pasywnego dostawcy tożsamości partneraPassive requestor endpoint of partner IdP
    • CertyfikatCertificate

    Uwaga

    Adres URL metadanych jest opcjonalny, jednak zdecydowanie zalecamy.Metadata URL is optional, however we strongly recommend it. W przypadku podania adresu URL metadanych usługa Azure AD może automatycznie odnowić certyfikat podpisywania po jego wygaśnięciu.If you provide the metadata URL, Azure AD can automatically renew the signing certificate when it expires. Jeśli certyfikat jest obrócony z dowolnego powodu przed upływem czasu wygaśnięcia lub jeśli nie podasz adresu URL metadanych, usługa Azure AD nie będzie mogła go odnowić.If the certificate is rotated for any reason before the expiration time or if you do not provide a metadata URL, Azure AD will be unable to renew it. W takim przypadku należy ręcznie zaktualizować certyfikat podpisywania.In this case, you'll need to update the signing certificate manually.

  7. Wybierz pozycję Zapisz.Select Save.

Aby skonfigurować bezpośrednią Federacji w usłudze Azure AD przy użyciu programu PowerShellTo configure direct federation in Azure AD using PowerShell

  1. Zainstaluj najnowszą wersję modułu PowerShell usługi Azure AD dla programu Graph (AzureADPreview).Install the latest version of the Azure AD PowerShell for Graph module (AzureADPreview). (Jeśli potrzebujesz szczegółowych kroków, Przewodnik Szybki Start dotyczący dodawania użytkownika-gościa zawiera sekcję Instalowanie najnowszego modułu AzureADPreview).(If you need detailed steps, the quickstart for adding a guest user includes the section Install the latest AzureADPreview module.)

  2. Uruchom następujące polecenie:Run the following command:

    Connect-AzureAD
    
  3. W wierszu logowania zaloguj się przy użyciu zarządzanego konta administratora globalnego.At the sign-in prompt, sign in with the managed Global Administrator account.

  4. Uruchom następujące polecenia, zastępując wartości z pliku metadanych Federacji.Run the following commands, replacing the values from the federation metadata file. W przypadku AD FS Server i usługi okta plik federacyjny to federationmetadata. XML, na przykład: https://sts.totheclouddemo.com/federationmetadata/2007-06/federationmetadata.xml.For AD FS Server and Okta, the federation file is federationmetadata.xml, for example: https://sts.totheclouddemo.com/federationmetadata/2007-06/federationmetadata.xml.

    $federationSettings = New-Object Microsoft.Open.AzureAD.Model.DomainFederationSettings
    $federationSettings.PassiveLogOnUri ="https://sts.totheclouddemo.com/adfs/ls/"
    $federationSettings.LogOffUri = $federationSettings.PassiveLogOnUri
    $federationSettings.IssuerUri = "http://sts.totheclouddemo.com/adfs/services/trust"
    $federationSettings.MetadataExchangeUri="https://sts.totheclouddemo.com/adfs/services/trust/mex"
    $federationSettings.SigningCertificate= <Replace with X509 signing cert’s public key>
    $federationSettings.PreferredAuthenticationProtocol="WsFed" OR "Samlp"
    $domainName = <Replace with domain name>
    New-AzureADExternalDomainFederation -ExternalDomainName $domainName  -FederationSettings $federationSettings
    

Krok 3. Testowanie Federacji bezpośredniej w usłudze Azure ADStep 3: Test direct federation in Azure AD

Teraz Przetestuj konfigurację Federacji bezpośredniej, zapraszając nowego użytkownika-gościa B2B.Now test your direct federation setup by inviting a new B2B guest user. Aby uzyskać szczegółowe informacje, zobacz Dodawanie użytkowników współpracy B2B usługi Azure AD w Azure Portal.For details, see Add Azure AD B2B collaboration users in the Azure portal.

Jak mogę edytować bezpośredniej relacji Federacji?How do I edit a direct federation relationship?

  1. Przejdź do witryny Azure Portal.Go to the Azure portal. W lewym okienku wybierz pozycję Azure Active Directory.In the left pane, select Azure Active Directory.
  2. Wybierz relacje organizacyjne.Select Organizational Relationships.
  3. Wybierz dostawców tożsamościSelect Identity providers
  4. W obszarze dostawcy tożsamości protokołu SAML/WS-karmionegowybierz dostawcę.Under SAML/WS-Fed identity providers, select the provider.
  5. W okienku szczegółów dostawcy tożsamości zaktualizuj wartości.In the identity provider details pane, update the values.
  6. Wybierz pozycję Zapisz.Select Save.

Jak mogę usunąć Federacji bezpośredniej?How do I remove direct federation?

Możesz usunąć konfigurację Federacji bezpośredniej.You can remove your direct federation setup. Jeśli to zrobisz, wszyscy użytkownicy-Goście Federacji, którzy już korzystali z zaproszenia, nie będą mogli się zalogować.If you do, direct federation guest users who have already redeemed their invitations won't be able to sign in. Można jednak umożliwić im ponowne uzyskanie dostępu do zasobów, usuwając je z katalogu i ponownie zapraszając.But you can give them access to your resources again by deleting them from the directory and reinviting them. Aby usunąć bezpośrednią Federacji z dostawcą tożsamości w portalu usługi Azure AD:To remove direct federation with an identity provider in the Azure AD portal:

  1. Przejdź do witryny Azure Portal.Go to the Azure portal. W lewym okienku wybierz pozycję Azure Active Directory.In the left pane, select Azure Active Directory.
  2. Wybierz relacje organizacyjne.Select Organizational Relationships.
  3. Wybierz pozycję dostawcy tożsamości.Select Identity providers.
  4. Wybierz dostawcę tożsamości, a następnie wybierz pozycję Usuń.Select the identity provider, and then select Delete.
  5. Wybierz pozycję tak , aby potwierdzić usunięcie.Select Yes to confirm deletion.

Aby usunąć bezpośrednią Federacji z dostawcą tożsamości przy użyciu programu PowerShell:To remove direct federation with an identity provider by using PowerShell:

  1. Zainstaluj najnowszą wersję modułu PowerShell usługi Azure AD dla programu Graph (AzureADPreview).Install the latest version of the Azure AD PowerShell for Graph module (AzureADPreview).
  2. Uruchom następujące polecenie:Run the following command:
    Connect-AzureAD
    
  3. W wierszu logowania zaloguj się przy użyciu zarządzanego konta administratora globalnego.At the sign-in prompt, sign in with the managed Global Administrator account.
  4. Wprowadź następujące polecenie:Enter the following command:
    Remove-AzureADExternalDomainFederation -ExternalDomainName  $domainName