Exempel: Konfigurera SAML/WS-Fed-baserad identitetsproviderfederation med AD FS

Gäller för:Personalklientorganisationer Externa klienter (läs mer)

Kommentar

Direkt federation i Microsoft Entra Externt ID kallas nu SAML /WS-Fed identitetsprovider (IdP) federation.

I den här artikeln beskrivs hur du konfigurerar SAML/WS-Fed IdP-federation med hjälp av Active Directory Federation Services (AD FS) (AD FS) som antingen en SAML 2.0- eller WS-Fed-IdP. För att stödja federation måste vissa attribut och anspråk konfigureras i IdP:t. För att illustrera hur du konfigurerar en IdP för federation använder vi Active Directory Federation Services (AD FS) (AD FS) som exempel. Vi visar hur du konfigurerar AD FS både som en SAML-IdP och som en WS-Fed-IdP.

Kommentar

Den här artikeln beskriver hur du konfigurerar AD FS för både SAML och WS-Fed i illustrationssyfte. För federationsintegreringar där IdP är AD FS rekommenderar vi att du använder WS-Fed som protokoll.

Konfigurera AD FS för SAML 2.0-federation

Microsoft Entra B2B kan konfigureras att federera med IP-adresser som använder SAML-protokollet med specifika krav som anges nedan. För att illustrera SAML-konfigurationsstegen visar det här avsnittet hur du konfigurerar AD FS för SAML 2.0.

För att konfigurera federation måste följande attribut tas emot i SAML 2.0-svaret från IdP:t. Dessa attribut kan konfigureras genom att länka till XML-filen för onlinesäkerhetstokentjänsten eller genom att ange dem manuellt. Steg 12 i Skapa en AD FS-testinstans beskriver hur du hittar AD FS-slutpunkterna eller hur du genererar din metadata-URL, till exempel https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.

Attribut	Värde
AssertionConsumerService	https://login.microsoftonline.com/login.srf
Målgrupp	urn:federation:MicrosoftOnline
Utfärdare	Utfärdarens URI för partner-IdP, till exempel http://www.example.com/exk10l6w90DHM0yi...

Följande anspråk måste konfigureras i SAML 2.0-token som utfärdats av IdP:

Attribut	Värde
NameID-format	urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
emailaddress	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

I nästa avsnitt visas hur du konfigurerar nödvändiga attribut och anspråk med HJÄLP av AD FS som ett exempel på ett SAML 2.0-IdP.

Innan du börjar

En AD FS-server måste redan konfigureras och fungera innan du påbörjar den här proceduren.

Lägg till anspråksbeskrivningen

1. På AD FS-servern väljer du Verktyg>AD FS-hantering.

2. I navigeringsfönstret väljer du Beskrivningar av tjänstanspråk>.

3. Under Åtgärder väljer du Lägg till anspråksbeskrivning.

4. I fönstret Lägg till en anspråksbeskrivning anger du följande värden:

   • Visningsnamn: Beständig identifierare
   • Anspråksidentifierare: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
   • Markera kryssrutan för Publicera den här anspråksbeskrivningen i federationsmetadata som en anspråkstyp som federationstjänsten kan acceptera.
   • Markera kryssrutan för Publicera den här anspråksbeskrivningen i federationsmetadata som en anspråkstyp som federationstjänsten kan skicka.

5. Välj OK.

Lägg till förtroende för förlitande part

1. På AD FS-servern går du till Verktyg>AD FS-hantering.

2. I navigeringsfönstret väljer du Förlitande part förtroenden.

3. Under Åtgärder väljer du Lägg till förlitande partförtroende.

4. I guiden Lägg till förlitande partförtroende väljer du Anspråksmedveten och sedan Start.

5. I avsnittet Välj datakälla markerar du kryssrutan för Importera data om den förlitande parten som publicerats online eller i ett lokalt nätverk. Ange den här url:en för federationsmetadata: https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. Välj Nästa.

6. Lämna de andra inställningarna i sina standardalternativ. Fortsätt att välja Nästa och välj slutligen Stäng för att stänga guiden.

7. I AD FS Management högerklickar du på det förlitande partförtroendet som du nyss skapade under Förlitande partförtroenden och väljer Egenskaper.

8. På fliken Övervakning avmarkerar du rutan Övervaka förlitande part.

9. På fliken Identifierare anger du https://login.microsoftonline.com/<tenant ID>/ i textrutan Förlitande partsidentifierare med hjälp av klient-ID:t för tjänstpartnerns Microsoft Entra-klientorganisation. Markera Lägga till.

   Kommentar

   Se till att inkludera ett snedstreck (/) efter klientorganisations-ID:t, till exempel: https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.

10. Välj OK.

Skapa anspråksregler

1. Högerklicka på det förlitande partförtroendet som du skapade och välj sedan Redigera anspråksutfärdandeprincip.

2. I guiden Redigera anspråksregler väljer du Lägg till regel.

3. I Mall för anspråksregel väljer du Skicka LDAP-attribut som anspråk.

4. I Konfigurera anspråksregel anger du följande värden:

   • Anspråksregelnamn: Regel för anspråk via e-post
   • Attributarkiv: Active Directory
   • LDAP-attribut: E-postadresser
   • Utgående anspråkstyp: E-postadress

5. Välj Slutför.

6. Välj Lägg till regel.

7. I Mallen Anspråksregel väljer du Transformera ett inkommande anspråk och väljer sedan Nästa.

8. I Konfigurera anspråksregel anger du följande värden:

   • Anspråksregelnamn: Regel för e-posttransformering
   • Inkommande anspråkstyp: E-postadress
   • Utgående anspråkstyp: Namn-ID
   • Format för utgående namn-ID: Beständig identifierare
   • Välj Passera alla anspråksvärden.

9. Välj Slutför.

10. Fönstret Redigera anspråksregler visar de nya reglerna. Välj tillämpa.

11. Välj OK. AD FS-servern har nu konfigurerats för federation med hjälp av SAML 2.0-protokollet.

Konfigurera AD FS för WS-Fed-federation

Microsoft Entra B2B kan konfigureras att federera med IP-adresser som använder WS-Fed-protokollet med de specifika krav som anges nedan. För närvarande har de två WS-Fed-leverantörerna testats för kompatibilitet med Microsoft Entra External ID, inklusive AD FS och Shibboleth. Här använder vi Active Directory Federation Services (AD FS) (AD FS) som ett exempel på WS-Fed IdP. Mer information om hur du upprättar ett förlitande partsförtroende mellan en WS-Fed-kompatibel leverantör med Microsoft Entra Externt ID finns i kompatibilitetsdokumenten för Microsoft Entra-identitetsprovidern.

För att konfigurera federation måste följande attribut tas emot i WS-Fed-meddelandet från IdP: n. Dessa attribut kan konfigureras genom att länka till XML-filen för onlinesäkerhetstokentjänsten eller genom att ange dem manuellt. Steg 12 i Skapa en AD FS-testinstans beskriver hur du hittar AD FS-slutpunkterna eller hur du genererar din metadata-URL, till exempel https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.

Attribut	Värde
PassiveRequestorEndpoint	https://login.microsoftonline.com/login.srf
Målgrupp	urn:federation:MicrosoftOnline
Utfärdare	Utfärdarens URI för partner-IdP, till exempel http://www.example.com/exk10l6w90DHM0yi...

Nödvändiga anspråk för WS-Fed-token som utfärdats av IdP:

Attribut	Värde
OföränderligtID	http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
emailaddress	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

I nästa avsnitt visas hur du konfigurerar nödvändiga attribut och anspråk med HJÄLP av AD FS som ett exempel på ett WS-Fed-IdP.

Innan du börjar

En AD FS-server måste redan konfigureras och fungera innan du påbörjar den här proceduren.

Lägg till förtroende för förlitande part

1. På AD FS-servern går du till Verktyg>AD FS-hantering.

2. I navigeringsfönstret väljer du Betrodda relationer>Förlitande part förtroenden.

3. Under Åtgärder väljer du Lägg till förlitande partförtroende.

4. I guiden Lägg till förlitande partförtroende väljer du Anspråksmedveten och sedan Start.

5. I avsnittet Välj datakälla väljer du Ange data om den förlitande parten manuellt och väljer sedan Nästa.

6. På sidan Ange visningsnamn skriver du ett namn i Visningsnamn. Du kan också ange en beskrivning för den förlitande partens förtroende i avsnittet Anteckningar . Välj Nästa.

7. Om du har ett tokenkrypteringscertifikat på sidan Konfigurera certifikat kan du välja Bläddra för att hitta en certifikatfil. Välj Nästa.

8. På sidan Konfigurera URL väljer du kryssrutan Aktivera stöd för WS-Federation Passivt protokoll. Under Förlitande part WS-Federation Passiv protokoll-URL anger du följande URL: https://login.microsoftonline.com/login.srf

9. Välj Nästa.

10. På sidan Konfigurera identifierare anger du följande URL:er och väljer Lägg till. I den andra URL:en anger du klientorganisations-ID för tjänstpartnerns Microsoft Entra-klientorganisation.

    • urn:federation:MicrosoftOnline
    • https://login.microsoftonline.com/<tenant ID>/

    Kommentar

    Se till att inkludera ett snedstreck (/) efter klientorganisations-ID:t, till exempel: https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.

11. Välj Nästa.

12. På sidan Välj åtkomstkontrollprincip väljer du en princip och väljer sedan Nästa.

13. På sidan Redo att lägga till förtroende granskar du inställningarna och väljer sedan Nästa för att spara förtroendeinformationen för den förlitande parten.

14. På sidan Slutför väljer du Stäng. välj Förlitande partsförtroende och välj Redigera anspråksutfärdandeprincip.

Skapa anspråksregler

1. Välj det förlitande partförtroende som du nyss skapade och välj sedan Redigera anspråksutfärdandeprincip.

2. Välj Lägg till regel.

3. Välj Skicka LDAP-attribut som anspråk och välj sedan Nästa.

4. I Konfigurera anspråksregel anger du följande värden:

   • Anspråksregelnamn: Regel för anspråk via e-post
   • Attributarkiv: Active Directory
   • LDAP-attribut: E-postadresser
   • Utgående anspråkstyp: E-postadress

5. Välj Slutför.

6. I guiden Redigera anspråksregler väljer du Lägg till regel.

7. Välj Skicka anspråk med en anpassad regel och välj sedan Nästa.

8. I Konfigurera anspråksregel anger du följande värden:

   • Anspråksregelnamn: Problem med oföränderligt ID
   • Anpassad regel: c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), query = "samAccountName={0};objectGUID;{1}", param = regexreplace(c.Value, "(?<domain>[^\\]+)\\(?<user>.+)", "${user}"), param = c.Value);

9. Välj Slutför.

10. Välj OK. AD FS-servern är nu konfigurerad för federation med hjälp av WS-Fed.

Nästa steg

Därefter konfigurerar du SAML/WS-Fed IdP-federation i Microsoft Entra Externt ID antingen i Azure-portalen eller med hjälp av Microsoft Graph API.