Konuk kullanıcılar için SAML/WS-Fed kimlik sağlayıcılarıyla federasyon (önizleme)

Bu makalede, kimlik sağlayıcısı (IdP) SAML 2.0 veya ağ protokolünü destekleyen herhangi bir kuruluşla WS-Fed açıklanmıştır. Bir iş ortağının IdP'sini kullanarak federasyon ayarladığı zaman, bu etki alanındaki yeni konuk kullanıcılar Kendi IdP ile yönetilen kuruluş hesaplarını kullanarak Azure AD kiracınıza oturum açma ve işbirliği yapmaya başlayabilir. Konuk kullanıcının ayrı bir Azure AD hesabı oluşturması gerek yoktur.

Bir konuk kullanıcının kimliği SAML/WS-Fed IdP federasyonuyla ne zaman doğrulanır?

Bir kuruluşun SAML/WS-Fed IdP'sine federasyon ayarlandıktan sonra, davet edersiniz tüm yeni konuk kullanıcıların kimliği SAML/WS-Fed IdP kullanılarak doğrulanır. Federasyon ayarlamanın, zaten bir daveti zaten kullanan konuk kullanıcılar için kimlik doğrulama yöntemini değiştirmez. İşte bazı örnekler:

• Konuk kullanıcılar zaten davetleri kullandı ve daha sonra kuruluşun SAML/WS-Fed IdP'sine federasyon ayarlamışsanız, bu konuk kullanıcılar federasyon ayarlamadan önce kullandığı kimlik doğrulama yöntemini kullanmaya devam eder.
• Bir kuruluşun SAML/WS-Fed IdP'sine federasyon ayarlar ve konuk kullanıcıları davet ederseniz ve ardından iş ortağı kuruluş daha sonra Azure AD'ye taşınırsa, davetleri zaten kullanan konuk kullanıcılar, kiracınız içinde federasyon ilkesi mevcut olduğu sürece federasyon SAML/WS-Fed IdP'yi kullanmaya devam eder.
• Bir kuruluşun SAML/WS-Fed IdP'sine sahip federasyonu silersiniz, şu anda SAML/WS-Fed IdP kullanan konuk kullanıcılar oturum açamaz.

Bu senaryolardan herhangi biri, kullanım durumunu sıfırlayarak konuk kullanıcının kimlik doğrulama yöntemini güncelleştirebilirsiniz.

SAML/WS-Fed IdP federasyonu, etki alanı ad alanlarına (contoso.com ve fabrikam.com. Kuruluşlar, AD FS veya üçüncü taraf IdP ile federasyon kurulurken, bir veya daha fazla etki alanı ad alanını bu IdP'lerle ilişkilendirilr.

Son kullanıcı deneyimi

SAML/WS-Fed IdP federasyonu ile konuk kullanıcılar kendi kuruluş hesaplarını kullanarak Azure AD kiracınız içinde oturum açın. Paylaşılan kaynaklara erişirken ve oturum açmaları istendiğinde, kullanıcılar IdP'lerine yeniden yönlendirilir. Başarılı bir oturum açma sonrasında kullanıcılar kaynaklara erişmek için Azure AD'ye döndürülür. Yenileme belirteçleri, Azure AD'de geçiş yenileme belirteci için varsayılan uzunluk olan 12 saat boyunca geçerlidir. Federasyon IdP'sinde SSO etkinse, kullanıcı SSO ile deneyimlenir ve ilk kimlik doğrulamasının ardından herhangi bir oturum açma istemi görmez.

Oturum açma uç noktaları

SAML/WS-Fed IdP federasyon konuk kullanıcıları artık ortak bir uç nokta kullanarak (diğer bir deyişle, kiracı bağlamınızı dahil olmayan genel bir uygulama URL'si) kullanarak çok kiracılı veya Microsoft birinci taraf uygulamalarınız için oturum açabilirsiniz. Oturum açma işlemi sırasında konuk kullanıcı Oturum açma seçenekleri'ne ve ardından Bir kuruluşta oturum açma'ya seçer. Ardından kullanıcı, kuruluş adını yazın ve kendi kimlik bilgilerini kullanarak oturum açmaya devam eder.

SAML/WS-Fed IdP federasyon konuk kullanıcıları kiracı bilgilerini içeren uygulama uç noktalarını da kullanabilir, örneğin:

• https://myapps.microsoft.com/?tenantid=<your tenant ID>
• https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
• https://portal.azure.com/<your tenant ID>

Ayrıca, örneğin kiracı bilgilerini dahil edinerek konuk kullanıcılara bir uygulama veya kaynağa doğrudan bağlantı https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID> veebilirsiniz.

Sık sorulan sorular

Azure AD doğrulanmış etki alanlarıyla SAML/WS-Fed IdP federasyonu ayarlamayı sağlar musunuz?

Hayır, yerel Azure AD yönetilen etki alanı özelliklerine sahip olmak için Azure AD doğrulanmış etki alanları için SAML/WS-Fed IdP federasyonu engellenmiş oluruz. Azure AD'de DNS ile doğrulanmış bir etki alanıyla SAML/WS-Fed IdP federasyonu ayarlamayı denersanız, Azure AD'de veya PowerShell'de Azure portal hatayla karşı karşılanırsınız.

Yönetimsiz (e-posta ile doğrulanmış) bir kiracının mevcut olduğu bir etki alanıyla SAML/WS-Fed IdP federasyonu kurabilirsiniz.

Evet, azure AD'de DNS ile doğrulanmamış etki alanlarına (e-posta ile doğrulanmış veya "virüslü") Azure AD kiracıları da dahil olmak üzere SAML/WS-Fed IdP federasyonu kurabilirsiniz. Bu tür kiracılar, bir kullanıcı B2B davetini kullanırken veya mevcut olmayan bir etki alanını kullanarak Azure AD'ye self servis kaydolma gerçekleştiriyorsa oluşturulur. Etki alanı doğrulanmamışsa ve kiracı bir yönetici devretmesi geçirmemişse, bu etki alanıyla federasyon kurabilirsiniz.

Kaç tane federasyon ilişkisi oluşturabilirim?

Şu anda en fazla 1.000 federasyon ilişkisi de destek almaktadır. Bu sınır hem iç federasyonları hem de SAML/WS-Fed IdP federasyonlarını içerir.

Aynı kiracıdan birden çok etki alanıyla federasyon oluşturabilir miyim?

Şu anda aynı kiracıdan birden çok etki alanına sahip SAML/WS-Fed IdP federasyonlarını desteklememektedir.

İmzalama sertifikasının süresi dolduğunda yenilemem gerekiyor mu?

IdP ayarlarında meta veri URL'sini belirtirsiniz, Azure AD imzalama sertifikasının süresi dolduğunda otomatik olarak yenilenir. Bununla birlikte, sertifika sona erme zamanından önce herhangi bir nedenle döndürülürse veya bir meta veri URL'si sağlayamıyorsanız, Azure AD sertifikayı yenileyeemez. Bu durumda, imzalama sertifikasını el ile güncelleştirmeniz gerekir.

SAML/WS-Fed IdP federasyonu ve e-posta tek kez geçiş kodu kimlik doğrulaması etkinleştirildiyse, hangi yöntem önceliklidir?

SAML/WS-Fed IdP federasyonu bir iş ortağı kuruluşla gerçekleştirildi, bu kuruluştan yeni konuk kullanıcılar için e-postada bir kez geçiş kodu kimlik doğrulamasından önceliklidir. Bir konuk kullanıcı SAML/WS-Fed IdP federasyonu ayarlamadan önce tek kullanımlık geçiş kodu kimlik doğrulaması kullanarak bir davet kullandı ise, tek kullanımlık geçiş kodu kimlik doğrulamasını kullanmaya devam eder.

SAML/WS-Fed IdP federasyon, kısmen eşitlenen bir kiradan dolayı oturum açma sorunlarını ele mi kullanıyor?

Hayır, bu senaryoda e-posta bir kez geçiş kodu özelliği kullanılmalıdır. "Kısmen eşitlenen kiracı", şirket içi kullanıcı kimliklerinin bulutla tam olarak eşitlenememelerini ifade eder. Kimliği henüz bulutta mevcut olmayan ancak B2B davetini kullanmaya çalışan bir konuk oturum açmaz. Tek bir geçiş kodu özelliği, bu konuğun oturum açmasına olanak sağlar. SAML/WS-Fed IdP federasyon özelliği, konuğun kendi IdP ile yönetilen kuruluş hesabına sahip olduğu ancak kuruluşun Azure AD varlığı olmayan senaryoları ele alır.

SAML/WS-Fed IdP federasyonu bir kuruluşla yapılandırıldığında, her konuğun tek bir daveti göndermesi ve kullanması gerekiyor mu?

SAML/WS-Fed IdP federasyonunun ayarı, zaten bir daveti zaten kullanan konuk kullanıcılar için kimlik doğrulama yöntemini değiştirmez. Konuk kullanıcının kimlik doğrulama yöntemini, kullanım durumunu sıfırlayarak güncelleştirebilirsiniz.

SAML kimlik sağlayıcısına imzalı istek göndermenin bir yolu var mı?

Şu anda Azure AD SAML/WS-Fed federasyon özelliği SAML kimlik sağlayıcısına imzalı kimlik doğrulama belirteci göndermeyi desteklememektedir.

1. Adım: İş ortağının DNS metin kayıtlarını güncelleştirmesi gerektirileceğini belirleme

İş ortağının IdP'sini bağlı olarak, iş ortağının dns kayıtlarını güncelleştirerek federasyonu etkinleştirmesi gerekir. DNS güncelleştirmelerinin gerekli olup olmadığını belirlemek için aşağıdaki adımları kullanın.

1. İş ortağının IdP'si bu izin verilen IdP'lerden biri ise DNS değişikliği gerekmez (bu liste değişebilir):

   • accounts.google.com
   • pingidentity.com
   • login.pingone.com
   • okta.com
   • oktapreview.com
   • okta-emea.com
   • my.salesforce.com
   • federation.exostar.com
   • federation.exostartest.com
   • idaptive.app
   • idaptive.qa

2. IdP önceki adımda listelenen izin verilen sağlayıcılardan biri değilse, etki alanının hedef etki alanı veya hedef etki alanı içindeki bir konakla eş olup olmadığını görmek için iş ortağının IdP kimlik doğrulama URL'sini kontrol edin. Başka bir deyişle, için federasyon fabrikam.com ayarlarken:

   • Kimlik doğrulama URL'si https://fabrikam.com veya https://sts.fabrikam.com/adfs (aynı etki alanındaki bir konak) ise, DNS değişikliği gerekmez.
   • Kimlik doğrulama URL'si veya ise, etki alanı fabrikam.com etki alanıyla eşleşmez, bu nedenle iş ortağının DNS yapılandırmasına kimlik doğrulama URL'si için bir metin https://fabrikamconglomerate.com/adfs    https://fabrikam.com.uk/adfs kaydı eklemesi gerekir.

   Önemli

   Aşağıdaki adımda bilinen bir sorun vardır. Şu anda, federasyon IdP'sini etki alanına DNS metin kaydı eklemek kimlik doğrulamasının engelini kaldırmaz. Bu sorunu düzeltmek için etkin bir şekilde çalışıyoruz.

3. Önceki adıma göre DNS değişiklikleri gerekirse, aşağıdaki örnekte olduğu gibi iş ortağının etki alanının DNS kayıtlarına TXT kaydı eklemesini sorun:

   fabrikam.com.  IN   TXT   DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs

2. Adım: İş ortağı kuruluşun IdP'lerini yapılandırma

Bundan sonra, iş ortağı kurum un IdP'sini gerekli talepler ve bağlı olan taraf güvenleri ile yapılandırması gerekir.

SAML 2.0 yapılandırması

Azure AD B2B, SAML protokolünü kullanan IdP'lerle federasyon için aşağıda listelenen belirli gereksinimlerle yalıtabilirsiniz. SAML IdP'niz ile Azure AD arasında güven ayarlama hakkında daha fazla bilgi için bkz. Çoklu Oturum Açma için SAML 2.0 Kimlik Sağlayıcısı (IdP) kullanma.

Gerekli SAML 2.0 öznitelikleri ve talepleri

Aşağıdaki tablolarda, üçüncü taraf IdP'de yapılandırılması gereken belirli öznitelikler ve talepler için gereksinimler yer almaktadır. Federasyonu ayarlamak için IdP'den SAML 2.0 yanıtını aşağıdaki öznitelikler alınmıştır. Bu öznitelikler, çevrimiçi güvenlik belirteci hizmeti XML dosyasına bağlantı olarak veya el ile girerek yalıtılabilir.

IdP'den SAML 2.0 yanıtı için gerekli öznitelikler:

IdP tarafından verilen SAML 2.0 belirteci için gerekli talepler:

WS-Fed yapılandırması

Azure AD B2B, aşağıda listelenen bazı özel gereksinimlerle WS-Fed protokolünü kullanan IdP'lerle federasyon yapmak üzere yalıtabilirsiniz. Şu anda iki WS-Fed sağlayıcı Azure AD ile uyumluluk için test edilmiştir: AD FS ve Shibboleth. Azure AD ile WS-Fed uyumlu bir sağlayıcı arasında bağlı olan taraf güveni kurma hakkında daha fazla bilgi için, Azure ADKimlik Sağlayıcısı Uyumluluk Belgeleri'nin "WS Protokollerini Kullanarak STS Tümleştirme Belgesi"ne bakın.

Gerekli WS-Fed öznitelikleri ve talepleri

Aşağıdaki tablolarda, IdP'nin üçüncü taraf sunucularında yapılandırılması gereken belirli öznitelikler ve talepler WS-Fed gösterir. Federasyonu ayarlamak için IdP'den aşağıdaki öznitelikler WS-Fed iletisinde alınmıştır. Bu öznitelikler, çevrimiçi güvenlik belirteci hizmeti XML dosyasına bağlantı olarak veya el ile girerek yalıtılabilir.

IdP'den WS-Fed iletisinde gerekli öznitelikler:

IdP tarafından WS-Fed belirteç için gerekli talepler:

3. Adım: Azure AD'de SAML/WS-Fed IdP federasyonu yapılandırma

Ardından, Azure AD'de 1. adımda yapılandırılan IdP ile federasyonu yapılandırabilirsiniz. Azure AD portalını veya PowerShell'i kullanabilirsiniz. Federasyon ilkesi etkili olmadan önce 5-10 dakika sürebilir. Bu süre boyunca, federasyon etki alanı için bir daveti kullanma girişiminde bulundun. Aşağıdaki öznitelikler gereklidir:

• İş ortağı IdP'sinde issuer URI'sı
• İş ortağı IdP'sinde pasif kimlik doğrulama uç noktası (yalnızca https de desteklemektedir)
• Sertifika

Azure AD portalında federasyonu yapılandırmak için

1. Azure Portal gidin. Sol bölmede Azure Active Directory’yi seçin.

2. Dış Kimlikler Tüm kimlik sağlayıcıları > 'ı seçin.

3. Yeni SAML/WS-Fed IdP öğesini seçin.

   

4. Yeni SAML/WS-Fed IdP sayfasında, Kimlik sağlayıcısı protokolü altında SAML veya WS-FED'i seçin.

   

5. federasyon için hedef etki alanı adı olacak iş ortağı kuruluş etki alanı adını girin

6. Meta veri ayrıntılarını doldurmak için bir meta veri dosyasını karşıya yükleyebilirsiniz. Meta verileri el ile girmeyi seçerseniz aşağıdaki bilgileri girin:

   • İş ortağı IdP'nin etki alanı adı
   • İş ortağı IdP'sinde varlık kimliği
   • İş ortağı IdP'sinde pasif istekte olan uç nokta
   • Sertifika

   Not

   Meta veri URL'si isteğe bağlıdır, ancak kesinlikle önerilir. Meta veri URL'sini sağlarsanız Azure AD, süresi dolduğunda imzalama sertifikasını otomatik olarak yeniler. Sertifika süre sonu süresi dolmadan önce herhangi bir nedenle döndürülmüşse veya bir meta veri URL'si sağlayamıyorsanız, Azure AD sertifikayı yenileyeemez. Bu durumda, imzalama sertifikasını el ile güncelleştirmeniz gerekir.

7. Kaydet’i seçin.

PowerShell kullanarak Azure AD'de SAML/WS-Fed IdP federasyonu yapılandırmak için

1. Graph modülü (AzureADPreview) için Azure AD PowerShell'in en son sürümünü yükleyin. Ayrıntılı adımlara ihtiyacınız varsa Hızlı Başlangıç kılavuzu olan PowerShell modülünü içerir.

2. Şu komutu çalıştırın:

   Connect-AzureAD
   

3. Oturum açma isteminde, yönetilen Genel Yönetici hesabıyla oturum açın.

4. Federasyon meta veri dosyasındaki değerleri değiştirerek aşağıdaki komutları çalıştırın. Sunucu AD FS Okta için federasyon dosyası federationmetadata.xml, örneğin: https://sts.totheclouddemo.com/federationmetadata/2007-06/federationmetadata.xml .

   $federationSettings = New-Object Microsoft.Open.AzureAD.Model.DomainFederationSettings
   $federationSettings.PassiveLogOnUri ="https://sts.totheclouddemo.com/adfs/ls/"
   $federationSettings.LogOffUri = $federationSettings.PassiveLogOnUri
   $federationSettings.IssuerUri = "http://sts.totheclouddemo.com/adfs/services/trust"
   $federationSettings.MetadataExchangeUri="https://sts.totheclouddemo.com/adfs/services/trust/mex"
   $federationSettings.SigningCertificate= <Replace with X509 signing cert’s public key>
   $federationSettings.PreferredAuthenticationProtocol="WsFed" OR "Samlp"
   $domainName = <Replace with domain name>
   New-AzureADExternalDomainFederation -ExternalDomainName $domainName  -FederationSettings $federationSettings
   

4. Adım: Azure AD'de SAML/WS-Fed IdP federasyonu test edin

Şimdi yeni bir B2B konuk kullanıcı davet ederek federasyon kurulumlarınızı test edin. Ayrıntılar için bkz. Azure AD B2B işbirliği kullanıcılarını Azure portal.

Nasıl yaparım? SAML/WS-Fed IdP federasyon ilişkisini düzenleyemediniz mi?

1. Azure Portal gidin. Sol bölmede Azure Active Directory’yi seçin.
2. Dış Kimlikler'i seçin.
3. Tüm kimlik sağlayıcıları'ı seçin
4. SAML/WS-Fed kimlik sağlayıcıları altında sağlayıcıyı seçin.
5. Kimlik sağlayıcısı ayrıntıları bölmesinde değerleri güncelleştirin.
6. Kaydet’i seçin.

Nasıl yaparım? kaldır mı?

Federasyon kurulumlarınızı kaldırabilirsiniz. Bunu yaptıysanız, davetlerini zaten kullanan federasyon konuk kullanıcıları oturum açmaz. Ancak, geri ödeme durumlarını sıfırlayarak kaynaklarınıza yeniden erişim veebilirsiniz. Azure AD portalında IdP ile federasyonu kaldırmak için:

1. Azure Portal gidin. Sol bölmede Azure Active Directory’yi seçin.
2. Dış Kimlikler'i seçin.
3. Tüm kimlik sağlayıcıları'ı seçin.
4. Kimlik sağlayıcısını ve ardından Sil'i seçin.
5. Silme işlemini onaylamak için Evet'i seçin.

PowerShell kullanarak kimlik sağlayıcısı ile federasyonu kaldırmak için:

1. Graph modülü (AzureADPreview) için Azure AD PowerShell'in en son sürümünü yükleyin.

2. Şu komutu çalıştırın:

   Connect-AzureAD
   

3. Oturum açma isteminde, yönetilen Genel Yönetici hesabıyla oturum açın.

4. Aşağıdaki komutu girin:

   Remove-AzureADExternalDomainFederation -ExternalDomainName  $domainName
   

Sonraki adımlar

Dış kullanıcılar çeşitli kimlik sağlayıcılarıyla oturum aken davet kullanım deneyimi hakkında daha fazla bilgi edinebilirsiniz.