Federação com provedores de identidade SAML/WS-Fed para usuários convidados

  • Artigo
  • 16 minutos para o fim da leitura

Observação

  • A Federação direta no Azure Active Directory agora é conhecida como Federação do IdP (provedor de identidade) do SAML/WS-Fed .

Este artigo descreve como configurar a federação com qualquer organização cujo IdP (provedor de identidade) ofereça suporte aos protocolos SAML 2.0 ou WS-Fed. Quando você configura a federação com o IdP de um parceiro, usuários convidados desse domínio podem usar as respectivas contas institucionais gerenciadas pelo IdP para entrar no seu locatário do Azure AD e começar a colaborar com você. Não é necessário que o usuário convidado crie uma conta do Azure AD separada.

Importante

  • Não damos mais suporte a uma lista de permitidos de IdPs para novas federações IdP SAML/WS-Fed. Quando você estiver configurando uma nova federação externa, veja a Etapa 1: Determinar se o parceiro precisa atualizar os registros de texto DNS.
  • Na solicitação SAML enviada pelo Azure AD para federações externas, a URL do Emissor é um ponto de extremidade locatário. Para novas federações, recomendamos que todos os nossos parceiros definam a audiência do IdP baseado em SAML ou WS-Fed como um ponto de extremidade locatário. Consulte as seções de declarações e atributos necessários do SAML 2.0 e do WS-Fed abaixo. As federações existentes configuradas com o ponto de extremidade global continuarão funcionando, mas novas federações deixarão de funcionar se o IdP externo estiver esperando uma URL do emissor global na solicitação SAML.
  • Atualmente, você pode adicionar apenas um domínio à sua federação externa. Estamos trabalhando ativamente para permitir domínios adicionais.
  • Removemos a limitação que exigia que o domínio da URL de autenticação coincida com o domínio de destino ou que pertença a um IdP permitido. Para obter detalhes, consulte Etapa 1: determinar se o parceiro precisa atualizar seus registros de texto de DNS.

Quando um usuário convidado é autenticado com a federação do idP do SAML/WS-Fed?

Depois de configurar a federação com o IdP do SAML/WS-Fed de uma organização, todos os novos usuários que você convidar serão autenticados usando o IdP do SAML/WS-Fed. É importante observar que a configuração da federação não altera o método de autenticação para usuários convidados que já resgataram um convite enviado por você. Estes são alguns exemplos:

  • Se os usuários convidados já tiverem resgatado convites e você configurar posteriormente a federação com o IdP do SAML/WS-FED da organização, esses usuários convidados continuarão a usar o mesmo método de autenticação que usavam antes de você configurar a federação.
  • Se você configurar a federação com o IdP do SAML/WS-Fed de uma organização, convidar usuários e a organização parceira posteriormente mudar para o Azure AD, os usuários convidados que já tiverem resgatado convites continuarão a usar o IdP do SAML/WS-Fed federado enquanto a política de federação existir em seu locatário.
  • Se você excluir a federação que tiver o IdP do SAML/WS-Fed de uma organização, nenhum usuário convidado que estiver usando o IdP do SAML/WS-Fed poderá se conectar.

Em qualquer um desses cenários, você pode atualizar o método de autenticação de um usuário convidado redefinindo seu status de resgate.

A federação do idP do SAML/WS-Fed está vinculada a namespaces de domínio, como contoso.com e fabrikam.com. Ao estabelecer uma federação com o AD FS ou um IdP de terceiros, as organizações associam um ou mais namespaces de domínio a esses IdPs.

Experiência do usuário final

Com a federação do IdP do SAML/WS-Fed, os usuários convidados usam as respectivas contas organizacionais para entrar em seu locatário do Azure AD. Ao acessarem recursos compartilhados e receberem uma solicitação para entrar, os usuários são redirecionados para o respectivo IdP. Após a entrada bem-sucedida, eles são retornados ao Azure AD para acessar os recursos. Os tokens de atualização são válidos por 12 horas, a duração padrão de tokens de atualização de passagem no Azure AD. Se o IdP federado tiver o SSO habilitado, o usuário vivenciará o SSO e não verá nenhum prompt de entrada após a autenticação inicial.

Pontos de extremidade de entrada

Os usuários convidados da federação do IdP do SAML/WS-Fed podem então entrar em seus aplicativos multilocatário ou internos da Microsoft usando um ponto de extremidade comum (em outras palavras, uma URL de aplicativo geral que não inclui o contexto do locatário). Durante o processo de entrada, o usuário convidado escolhe Opções de entrada e seleciona Entrar em uma organização. Em seguida, ele digita o nome da sua organização e continua a entrada usando as respectivas credenciais.

Os usuários convidados da federação do IdP do SAML/WS-Fed também podem usar pontos de extremidade de aplicativos que incluam suas informações de locatário, por exemplo:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

Você também pode fornecer aos usuários convidados um link direto para um aplicativo ou recurso incluindo suas informações de locatário, por exemplo, https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Perguntas frequentes

Posso configurar a federação de IdP SAML/WS-Fed com domínios verificados do AAD?

Não, bloqueamos a federação do IdP do SAML/do WS-Fed para os domínios verificados do AAD em favor das funcionalidades nativas de domínio gerenciado do AAD. Se você tentar configurar a federação do IdP de SAML/WS-Fed com um domínio verificado por DNS no Azure AD, verá um erro.

Posso configurar a federação do idP do SAML/WS-Fed com um domínio para o qual exista um locatário não gerenciado (verificado por email)?

Sim, é possível configurar a federação do IdP do SAML/WS-Fed com os domínios que não são verificados por DNS no AAD, incluindo locatários do AAD não gerenciados (verificados por email ou "virais"). Esses locatários são criados quando um usuário resgata um convite B2B ou executa uma inscrição por autoatendimento para o AAD usando um domínio que não existe atualmente. Se o domínio não tiver sido verificado e o locatário não tiver passado por uma tomada de controle do administrador, você poderá configurar a federação com esse domínio.

Quantos relacionamentos de federação eu posso criar?

Atualmente, o limite máximo de 1.000 relações de federação é compatível. Esse limite inclui tanto federações internas quando federações do IdP do SAML/WS-Fed.

Posso configurar a federação com vários domínios do mesmo locatário?

Atualmente, não há suporte a federações de IdP do SAML/WS-Fed com vários domínios do mesmo locatário.

Preciso renovar o certificado de autenticação quando ele expirar?

Se você especificar a URL de metadados nas configurações do provedor de identidade, o Azure AD renovará automaticamente o certificado de autenticação quando ele expirar. No entanto, se a rotação do certificado for realizada por qualquer motivo antes da hora de expiração ou se você não fornecer uma URL de metadados, o Azure AD não poderá renová-lo. Nesse caso, você precisará atualizar o certificado de autenticação manualmente.

Se a federação do IdP do SAML/WS-Fed e a autenticação de senha de uso único por email estiverem habilitadas, qual método terá precedência?

Quando se estabelece uma federação do IdP do SAML/WS-Fed com uma organização parceira, ela tem precedência sobre a autenticação de senha de uso único por email para novos usuários convidados dessa organização. Se um usuário convidado resgatar um convite usando a autenticação de senha de uso único antes de configurar a federação do IdP do SAML/WS-Fed, ele continuará a usar a autenticação de senha de uso único.

A federação do IdP do SAML/WS-Fed resolve problemas de entrada devidos a uma locação parcialmente sincronizada?

Não, o recurso de senha de uso único por email deve ser usado neste cenário. Um "aluguel parcialmente sincronizado" refere-se a um locatário do Azure AD de parceiro no qual as identidades de usuário local não estão totalmente sincronizadas com a nuvem. Um convidado cuja identidade ainda não existir na nuvem, mas que tentar resgatar seu convite B2B, não conseguirá entrar. O recurso de senha de uso único permitiria que esse convidado entrasse. O recurso de federação do IdP do SAML/WS-Fed aborda os cenários em que o convidado tem sua própria conta institucional gerenciada por IdP, mas não há nenhuma presença do Azure AD na organização.

Quando a federação do IdP do SAML/WS-Fed é configurada em uma organização, é necessário que cada convidado receba um convite individual e resgate esse convite?

A configuração da federação do IdP do SAML/WS-Fed não altera o método de autenticação para usuários convidados que já resgataram um convite enviado por você. Você pode atualizar o método de autenticação de um usuário convidado redefinindo seu status de resgate.

Há uma forma de enviar uma solicitação assinada para o provedor de identidade SAML?

Atualmente, o recurso de federação SAML/WS-Fed do AAD não dá suporte ao envio de um token de autenticação assinada para o provedor de identidade SAML.

Etapa 1: determinar se o parceiro precisa atualizar seus registros de texto de DNS

A depender do IdP do parceiro, ele pode precisar atualizar seus registros DNS para habilitar a federação com você. Use as etapas a seguir para determinar se são necessárias atualizações de DNS.

Observação

Não damos mais suporte a uma lista de permitidos de IdPs para novas federações IdP SAML/WS-Fed.

  1. Verifique a URL de autenticação passiva do IdP do parceiro para conferir se o domínio corresponde ao domínio de destino ou a um host dentro do domínio de destino. Em outras palavras, ao configurar a federação para fabrikam.com:

    • Se a ponto de extremidade de autenticação passiva for https://fabrikam.com ou https://sts.fabrikam.com/adfs (um host no mesmo domínio), nenhuma alteração de DNS será necessária.
    • Se o ponto de extremidade de autenticação passiva for https://fabrikamconglomerate.com/adfs ou https://fabrikam.com.uk/adfs, o domínio não corresponderá ao domínio fabrikam.com. Portanto, o parceiro precisará adicionar um registro de texto da URL de autenticação à configuração de DNS.

  2. Se forem necessárias alterações de DNS com base na etapa anterior, peça ao parceiro para adicionar um registro TXT aos registros DNS do domínio do parceiro, como no exemplo a seguir:

    fabrikam.com.  IN   TXT   DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs

Etapa 2: configurar o provedor de identidade da organização parceira

Em seguida, a organização parceira precisa configurar o respectivo provedor de identidade com as declarações e relações de confiança da terceira parte confiável necessárias.

Observação

Para ilustrar como configurar um IdP do SAML/WS-Fed para uma federação, usaremos os Serviços de Federação do Active Directory (AD FS) como exemplo. Confira o artigo Configurar a federação do IdP do SAML/WS-Fed com o AD FS, que fornece exemplos de como configurar o AD FS como um provedor de identidade SAML 2.0 ou WS-Fed em preparação para a federação.

Configuração do SAML 2.0

O Azure AD B2B pode ser configurado para federar com IdPs que usam o protocolo SAML com os requisitos específicos listados abaixo. Para mais informações sobre como configurar uma relação de confiança entre seu provedor de identidade SAML e o Azure AD, confira Usar um provedor de identidade SAML 2.0 (IdP) para logon único.

Observação

O domínio de destino para a federação do IdP do SAML/WS-Fed não pode ser do tipo verificado por DNS no Azure AD. Confira a seção Perguntas frequentes para obter detalhes.

Atributos e declarações SAML 2.0 necessários

As tabelas a seguir mostram os requisitos para declarações e atributos específicos que devem ser configurados no provedor de identidade de terceiros. Para configurar a federação, os atributos a seguir precisam ser recebidos na resposta SAML 2.0 do IdP. Esses atributos podem ser configurados vinculando ao arquivo XML do serviço de token de segurança online ou inserindo-os manualmente.

Observação

Confira se o valor abaixo corresponde à nuvem para a qual você está configurando a federação externa.

Atributos necessários para a resposta SAML 2.0 do IdP:

Atributo Valor
AssertionConsumerService https://login.microsoftonline.com/login.srf
Público https://login.microsoftonline.com/<tenant ID>/ (Recomendável) Substitua <tenant ID> pela ID de locatário do locatário do Azure AD com o qual você está configurando a federação.

Na solicitação SAML enviada pelo Azure AD para federações externas, a URL do Emissor é um ponto de extremidade locatário (por exemplo, https://login.microsoftonline.com/<tenant ID>/). Para novas federações, recomendamos que todos os nossos parceiros definam a audiência do IdP baseado em SAML ou WS-Fed como um ponto de extremidade locatário. As federações existentes configuradas com o ponto de extremidade global (por exemplo, urn:federation:MicrosoftOnline) continuarão funcionando, mas as novas federações deixarão de funcionar se o IdP externo estiver esperando uma URL do emissor global na solicitação SAML.
Emissor O URI do emissor do IdP do parceiro, por exemplo, http://www.example.com/exk10l6w90DHM0yi...

Declarações necessárias para o token SAML 2.0 emitido pelo IdP:

Nome do atributo Valor
Formato NameID urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress emailaddress

Configuração de WS-Fed

O B2B do Azure AD pode ser configurado para federar com os IdPs que usam o protocolo WS-Fed com alguns requisitos específicos listados abaixo. Atualmente, os dois provedores WS-Fed que foram testados quanto à compatibilidade com o Azure AD incluem o AD FS e o Shibboleth. Para obter mais informações sobre como estabelecer um objeto de confiança de terceira parte confiável entre o Azure AD e um provedor em conformidade com o WS-Fed, confira o "Documento de integração do STS usando protocolos WS", disponível nos Documentos de compatibilidade do provedor de identidade do Azure AD.

Observação

O domínio de destino da federação não pode ser do tipo verificado por DNS no Azure AD. Confira a seção Perguntas frequentes para obter detalhes.

Atributos e declarações WS-Fed necessários

As tabelas a seguir mostram os requisitos para declarações e atributos específicos que devem ser configurados no provedor de identidade WS-FED de terceiros. Para configurar a federação, os atributos a seguir precisam ser recebidos na mensagem WS-Fed do IdP. Esses atributos podem ser configurados vinculando ao arquivo XML do serviço de token de segurança online ou inserindo-os manualmente.

Observação

Confira se o valor abaixo corresponde à nuvem para a qual você está configurando a federação externa.

Atributos necessários na mensagem WS-Fed do IdP:

Atributo Valor
PassiveRequestorEndpoint https://login.microsoftonline.com/login.srf
Público https://login.microsoftonline.com/<tenant ID>/ (Recomendável) Substitua <tenant ID> pela ID de locatário do locatário do Azure AD com o qual você está configurando a federação.

Na solicitação SAML enviada pelo Azure AD para federações externas, a URL do Emissor é um ponto de extremidade locatário (por exemplo, https://login.microsoftonline.com/<tenant ID>/). Para novas federações, recomendamos que todos os nossos parceiros definam a audiência do IdP baseado em SAML ou WS-Fed como um ponto de extremidade locatário. As federações existentes configuradas com o ponto de extremidade global (por exemplo, urn:federation:MicrosoftOnline) continuarão funcionando, mas as novas federações deixarão de funcionar se o IdP externo estiver esperando uma URL do emissor global na solicitação SAML.
Emissor O URI do emissor do IdP do parceiro, por exemplo, http://www.example.com/exk10l6w90DHM0yi...

Declarações necessárias para o token WS-Fed emitido pelo IdP:

Atributo Valor
ImmutableID http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
emailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Etapa 3: configurar a federação do IdP do SAML/WS-Fed no Azure AD

Em seguida, você vai configurar a federação com o provedor de identidade configurado na etapa 1 no Azure AD. Você pode usar o portal do Azure AD ou a API do Microsoft Graph. Pode levar de 5 a 10 minutos para a política de federação entrar em vigor. Durante esse tempo, não tente resgatar um convite para o domínio da federação. Os atributos a seguir são obrigatórios:

  • URI do emissor do IdP do parceiro
  • Ponto de extremidade de autenticação passiva do parceiro IdP (apenas https é compatível)
  • Certificado

Configurar a federação do Google no portal do Azure AD

  1. Vá para o Portal do Azure. No painel esquerdo, selecione Azure Active Directory.

  2. Confira Identidades Externas>Todos os provedores de identidade.

  3. Selecione Novo SAML/WS-Fed IdP.

    Screenshot showing button for adding a new SAML or WS-Fed IdP.

  4. Na página Novo IdP de SAML/WS-Fed, insira o seguinte:

    • Nome de exibição – insira um nome para identificar o IdP do parceiro.
    • Protocolo do provedor de identidade – selecione SAML ou WS-Fed.
    • Nome de domínio do IdP da federação – insira o nome de domínio de destino do IdP do parceiro para federação. Atualmente, há suporte para um nome de domínio, mas estamos trabalhando para permitir mais.

    Screenshot showing the new SAML or WS-Fed IdP page.

  5. Selecione um método para preencher os metadados. É possível inserir metadados manualmente ou, caso você tenha um arquivo com eles, preencher os campos automaticamente selecionando Analisar arquivo de metadados e procurando o arquivo.

    • URI do emissor – o URI do emissor do IdP do parceiro.
    • Ponto de extremidade de autenticação passiva – o ponto de extremidade passivo do solicitante do IdP do parceiro.
    • Certificado – A ID do certificado de autenticação.
    • URL de metadados – o local dos metadados do IdP para a renovação automática do certificado de assinatura.

    Screenshot showing metadata fields.

    Observação

    A URL de metadados é opcional, no entanto, é altamente recomendável. Se você fornecer a URL de metadados, o Azure AD poderá renovar automaticamente o certificado de autenticação quando ele expirar. Se a rotação do certificado for realizada por qualquer motivo antes da hora de expiração ou se você não fornecer uma URL de metadados, o Azure AD não poderá renová-lo. Nesse caso, você precisará atualizar o certificado de autenticação manualmente.

  6. Clique em Salvar.

Para configurar a federação usando a API do Microsoft Graph

Você pode usar o tipo de recurso samlOrWsFedExternalDomainFederation da API do Microsoft Graph para configurar a federação com um provedor de identidade que dá suporte ao protocolo SAML ou WS-Fed.

Etapa 4: configurar a federação do IdP do SAML/WS-Fed no Azure AD

Agora, teste a configuração da federação convidando um novo usuário B2B. Para obter detalhes, confira Adicionar usuários de colaboração B2B do Azure AD no portal do Azure.

Como atualizar os detalhes do certificado ou da configuração?

Na página Todos os provedores de identidade, você pode exibir a lista de provedores de identidade SAML/WS-Fed que você configurou e as respectivas datas de validade de certificado. Nessa lista, você pode renovar certificados e modificar outros detalhes de configuração.

Screenshot showing an identity provider in the SAML WS-Fed list

  1. Vá para o Portal do Azure. No painel esquerdo, selecione Azure Active Directory.

  2. Selecione Identidades Externas.

  3. Selecione Todos os provedores de identidade.

  4. Em Provedores de identidade de SAML/WS-Fed, role para baixo até um provedor de identidade desejado na lista ou use a caixa de pesquisa.

  5. Como atualizar os detalhes do certificado ou modificar os detalhes da configuração:

    • Na coluna Configuração do provedor de identidade, selecione o link Editar.
    • Na página de configuração, modifique qualquer um dos seguintes detalhes:
      • Nome de exibição – nome de exibição da organização do parceiro.
      • Protocolo do provedor de identidade – selecione SAML ou WS-Fed.
      • Ponto de extremidade de autenticação passiva – o ponto de extremidade passivo do solicitante do IdP do parceiro.
      • Certificado – A ID do certificado de autenticação. Para renová-la, insira uma nova ID de certificado.
      • URL de metadados – a URL que contém os metadados do parceiro, usada para a renovação automática do certificado de autenticação.
    • Selecione Salvar.

    Screenshot of the IDP configuration details.

  6. Para exibir o domínio do IdP, selecione o link na coluna Domínios a fim de exibir o nome de domínio de destino do parceiro para a federação.

    Observação

    Se precisar atualizar o domínio do parceiro, exclua a configuração e reconfigure a federação com o provedor de identidade usando o novo domínio.

    Screenshot of the domain configuration page

Como fazer para remover uma federação?

É possível remover a configuração de federação. Se você fizer isso, os usuários convidados de federação que já tiverem resgatado os respectivos convites não conseguirão entrar. Mas você pode dar a eles acesso aos seus recursos novamente redefinindo seu status de resgate. Para remover a configuração de um IdP no portal do Azure AD:

  1. Vá para o Portal do Azure. No painel esquerdo, selecione Azure Active Directory.

  2. Selecione Identidades Externas.

  3. Selecione Todos os provedores de identidade.

  4. Em Provedores de identidade de SAML/WS-Fed, role para baixo até um provedor de identidade desejado na lista ou use a caixa de pesquisa.

  5. Selecione o link na coluna Domínios para exibir os detalhes do domínio do IdP.

  6. Selecione Excluir configuração.

    Screenshot of deleting a configuration.

  7. Clique em OK para confirmar a exclusão.

Você também pode remover a federação usando o tipo de recurso samlOrWsFedExternalDomainFederation da API do Microsoft Graph.

Próximas etapas

Saiba mais sobre a experiência de resgate de convite quando usuários externos entram com vários provedores de identidade.