Microsoft Entra Kimliği ile Federasyon için Birden Çok Etki Alanı Desteği

  • Makale

Aşağıdaki belgelerde, Microsoft 365 veya Microsoft Entra etki alanlarıyla federasyon yaparken birden çok üst düzey etki alanı ve alt etki alanını kullanma hakkında yönergeler sağlanmaktadır.

Birden çok üst düzey etki alanı desteği

Microsoft Entra ID ile birden çok üst düzey etki alanını bir araya getirmek için, bir üst düzey etki alanıyla federasyon sırasında gerekli olmayan bazı ek yapılandırmalar gerekir.

Bir etki alanı Microsoft Entra Id ile birleştirilirse, Azure'da etki alanında çeşitli özellikler ayarlanır. Önemli bir tanesi IssuerUri'dir. Bu özellik, belirtecin ilişkilendirdiği etki alanını tanımlamak için Microsoft Entra Id tarafından kullanılan bir URI'dir. URI'nin herhangi bir şeyi çözümlemesi gerekmez, ancak geçerli bir URI olmalıdır. Varsayılan olarak, Microsoft Entra Id URI'yi şirket içi AD FS yapılandırmanızdaki federasyon hizmeti tanımlayıcısının değerine ayarlar.

Not

Federasyon hizmeti tanımlayıcısı, bir federasyon hizmetini benzersiz olarak tanımlayan bir URI'dir. Federasyon hizmeti, güvenlik belirteci hizmeti olarak işlev gösteren bir AD FS örneğidir.

PowerShell komutunu Get-MsolDomainFederationSettings -DomainName <your domain>kullanarak IssuerUri'yi görüntüleyebilirsiniz.

PowerShell'de

Not

Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.

Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş yapmanızı öneririz. Sık sorulan geçiş soruları için Bkz. Geçiş hakkında SSS. Not: MSOnline'ın 1.0.x sürümleri 30 Haziran 2024'den sonra kesintiye neden olabilir.

Birden fazla üst düzey etki alanı eklediğinizde bir sorun oluşur. Örneğin, Microsoft Entra Id ile şirket içi ortamınız arasında federasyon ayarladığınızı varsayalım. Bu belge için bmcontoso.com etki alanı kullanılıyor. Şimdi ikinci bir üst düzey etki alanı bmfabrikam.com eklendi.

Birden çok üst düzey etki alanını gösteren ekran görüntüsü

bmfabrikam.com etki alanını federasyona dönüştürmeye çalıştığınızda bir hata oluşur. Bunun nedeni, Microsoft Entra Id'nin IssuerUri özelliğinin birden fazla etki alanı için aynı değere sahip olmasına izin vermeyecek bir kısıtlaması olmasıdır.

PowerShell'de federasyon hatalarını gösteren ekran görüntüsü.

SupportMultipleDomain Parametresi

Bu kısıtlamayı geçici olarak çözmek için parametresi kullanılarak -SupportMultipleDomain yapılabilecek farklı bir IssuerUri eklemeniz gerekir. Bu parametre aşağıdaki cmdlet'lerle kullanılır:

  • New-MsolFederatedDomain
  • Convert-MsolDomaintoFederated
  • Update-MsolFederatedDomain

Bu parametre, Microsoft Entra Id'nin IssuerUri'yi etki alanının adına dayalı olacak şekilde yapılandırmasına neden olur. IssuerUri, Microsoft Entra Id'deki dizinler arasında benzersiz olacaktır. parametresini kullanmak, PowerShell komutunun başarıyla tamamlanmasını sağlar.

PowerShell komutunun başarıyla tamamlandığını gösteren ekran görüntüsü.

bmfabrikam.com etki alanının ekran görüntüsüne bakarak aşağıdaki ayarları görebilirsiniz:

-SupportMultipleDomain adfs.bmcontoso.com federasyon hizmetine işaret etmek üzere yapılandırılmış olan diğer uç noktaları değiştirmez.

-SupportMultipleDomain ayrıca AD FS sisteminin Microsoft Entra Id için verilen belirteçlere uygun Veren değerini içermesini sağlar. Bu değer, kullanıcının UPN'sinin etki alanı bölümü alınarak ve IssuerUri'de https://{upn suffix}/adfs/services/trustetki alanı olarak kullanılarak ayarlanır.

Bu nedenle, Microsoft Entra Id veya Microsoft 365 kimlik doğrulaması sırasında, kullanıcının belirtecindeki IssuerUri öğesi, Etki alanını Microsoft Entra Id'de bulmak için kullanılır. Eşleşme bulunamazsa kimlik doğrulaması başarısız olur.

Örneğin, bir kullanıcının UPN'si ise bsimon@bmcontoso.com, belirteçteki IssuerUri öğesi (AD FS veren) olarak http://bmcontoso.com/adfs/services/trustayarlanır. Bu öğe Microsoft Entra yapılandırmasıyla eşleşecek ve kimlik doğrulaması başarılı olacaktır.

Aşağıdaki özelleştirilmiş talep kuralı bu mantığı uygular:

c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)", "http://${domain}/adfs/services/trust/"));

Önemli

Yeni etki alanları eklemeye veya zaten var olan etki alanlarını dönüştürmeye çalışırken -SupportMultipleDomain anahtarını kullanmak için, federasyon güveninizin bunları destekleyecek şekilde ayarlanmış olması gerekir.

AD FS ile Microsoft Entra Id arasındaki güveni güncelleştirme

AD FS ile Microsoft Entra Id örneğiniz arasında federasyon güvenini ayarlamadıysanız, bu güveni yeniden oluşturmanız gerekebilir. Bunun nedeni, başlangıçta parametresi olmadan -SupportMultipleDomain ayarlandığında IssuerUri'nin varsayılan değerle ayarlanmasıdır. Aşağıdaki ekran görüntüsünde IssuerUri değerinin olarak https://adfs.bmcontoso.com/adfs/services/trustayarlandığını görebilirsiniz.

Microsoft Entra yönetim merkezine başarıyla yeni bir etki alanı eklediyseniz ve kullanarak Convert-MsolDomaintoFederated -DomainName <your domain>bu etki alanını dönüştürmeyi denerseniz aşağıdaki hatayı alırsınız.

Anahtarı eklemeye -SupportMultipleDomain çalışırsanız aşağıdaki hatayı alırsınız:

Yalnızca özgün etki alanında çalıştırmaya Update-MsolFederatedDomain -DomainName <your domain> -SupportMultipleDomain çalışmak da hataya neden olur.

Federasyon hatası

Ek bir üst düzey etki alanı eklemek için aşağıdaki adımları kullanın. Zaten bir etki alanı eklediyseniz ve parametresini -SupportMultipleDomain kullanmadıysanız, özgün etki alanınızı kaldırma ve güncelleştirme adımlarıyla başlayın. Henüz üst düzey bir etki alanı eklemediyseniz, Microsoft Entra Bağlan PowerShell kullanarak etki alanı ekleme adımlarıyla başlayabilirsiniz.

Microsoft Online güvenini kaldırmak ve özgün etki alanınızı güncelleştirmek için aşağıdaki adımları kullanın.

  1. AD FS federasyon sunucunuzda AD FS Yönetimi'ne tıklayın.
  2. Sol tarafta Güven İlişkileri ve Bağlı Olan Taraf Güvenleri'ni genişletin.
  3. Sağ tarafta Microsoft Office 365 Kimlik Platformu girişini silin. Microsoft Online'ı kaldırma
  4. Azure AD PowerShell modülünün yüklü olduğu bir makinede aşağıdaki PowerShell'i çalıştırın: $cred=Get-Credential.
  5. Federasyon oluşturduğunuz Microsoft Entra etki alanı için Karma Kimlik Yönetici istrator'ın kullanıcı adını ve parolasını girin.
  6. PowerShell'de girin Connect-MsolService -Credential $cred.
  7. PowerShell'de girin Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -SupportMultipleDomain. Bu güncelleştirme özgün etki alanına yöneliktir. Bu nedenle yukarıdaki etki alanları kullanıldığında şu şekilde olur: Update-MsolFederatedDomain -DomainName bmcontoso.com -SupportMultipleDomain

PowerShell kullanarak yeni üst düzey etki alanını eklemek için aşağıdaki adımları kullanın

  1. Azure AD PowerShell modülünün yüklü olduğu bir makinede aşağıdaki PowerShell'i çalıştırın: $cred=Get-Credential.
  2. Federasyon yaptığınız Microsoft Entra etki alanı için Karma Kimlik Yönetici istrator'ın kullanıcı adını ve parolasını girin
  3. PowerShell'de Connect-MsolService -Credential $cred
  4. PowerShell'de New-MsolFederatedDomain –SupportMultipleDomain –DomainName

Microsoft Entra Bağlan kullanarak yeni üst düzey etki alanını eklemek için aşağıdaki adımları kullanın.

  1. Masaüstünden veya başlat menüsünden Microsoft Entra Bağlan başlatma
  2. "Ek bir Microsoft Entra Etki Alanı ekle" seçeneğini belirleyin
  3. Microsoft Entra Kimliğinizi ve Active Directory kimlik bilgilerinizi girin
  4. Federasyon için yapılandırmak istediğiniz ikinci etki alanını seçin. Ek bir Microsoft Entra etki alanı ekleme
  5. Yükle'ye tıklayın

Yeni üst düzey etki alanını doğrulama

PowerShell komutunu Get-MsolDomainFederationSettings -DomainName <your domain>kullanarak güncelleştirilmiş IssuerUri'yi görüntüleyebilirsiniz. Aşağıdaki ekran görüntüsünde federasyon ayarlarının özgün etki alanında güncelleştirilmiş olduğu gösterilmektedir http://bmcontoso.com/adfs/services/trust

Özgün etki alanında güncelleştirilen federasyon ayarlarını gösteren ekran görüntüsü.

Yeni etki alanındaki IssuerUri de https://bmcontoso.com/adfs/services/trust

Get-MsolDomainFederationSettings

Alt etki alanları desteği

Bir alt etki alanı eklediğinizde, Microsoft Entra ID'nin etki alanlarını işleme şekli nedeniyle üst etki alanının ayarlarını devralır. Bu nedenle IssuerUri'nin ebeveynlerle eşleşmesi gerekiyor.

Örneğin bmcontoso.com sahip olduğumu ve ardından corp.bmcontoso.com ekleyebilirim. corp.bmcontoso.com bir kullanıcının IssuerUri'sinin olması http://bmcontoso.com/adfs/services/trustgerekir. Ancak yukarıda Microsoft Entra Id için uygulanan standart kural, veren olarak http://corp.bmcontoso.com/adfs/services/trustbir belirteç oluşturur. etki alanının gerekli değeriyle eşleşmez ve kimlik doğrulaması başarısız olur.

Alt etki alanları için desteği etkinleştirme

Bu davranışı geçici olarak çözmek için Microsoft Online için AD FS bağlı olan taraf güveninin güncelleştirilmesi gerekir. Bunu yapmak için, özel bir talep kuralı yapılandırarak özel Veren değerini oluştururken kullanıcının UPN sonekindeki tüm alt etki alanları çıkarması gerekir.

Aşağıdaki talebi kullanın:

c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));

[! NOT] Normal ifade kümesindeki son sayı, kök etki alanınızda kaç üst etki alanı olduğudur. Burada bmcontoso.com kullanıldığından iki üst etki alanı gereklidir. Üç üst etki alanı tutulacaksa (yani, corp.bmcontoso.com), sayı üç olurdu. Sonunda bir aralık gösterilebilir, eşleşme her zaman etki alanı üst sınırıyla eşleşecek şekilde yapılır. "{2,3}" iki ile üç etki alanı (bmfabrikam.com ve corp.bmcontoso.com) eşleşir.

Alt etki alanlarını desteklemek üzere özel bir talep eklemek için aşağıdaki adımları kullanın.

  1. AD FS Yönetimi'nin açılması

  2. Microsoft Online RP güveni'ne sağ tıklayın ve Talep Kurallarını Düzenle'yi seçin

  3. Üçüncü talep kuralını seçin ve Talebi düzenle

  4. Geçerli talebi değiştirin:

    c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)","http://${domain}/adfs/services/trust/"));

    örneklerini şununla değiştirin:

    c:[Type == "http://schemas.xmlsoap.org/claims/UPN"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, "^.*@([^.]+\.)*?(?<domain>([^.]+\.?){2})$", "http://${domain}/adfs/services/trust/"));

    Talebi değiştir

  5. Tamam’a tıklayın. Uygula'ya tıklayın. Tamam’a tıklayın. AD FS Yönetimi'ni kapatın.

Sonraki adımlar

Artık Microsoft Entra Bağlan yüklediğinize göre yüklemeyi doğrulayabilir ve lisansları atayabilirsiniz.

Yükleme ile etkinleştirilen bu özellikler hakkında daha fazla bilgi edinin: Otomatik yükseltme, Yanlışlıkla silmeleri önleme ve Microsoft Entra Bağlan Health.

Şu genel konu başlıkları hakkında daha fazla bilgi edinin: Zamanlayıcı ve eşitleme tetikleme.

Şirket içi kimliklerinizi Microsoft Entra Id ile tümleştirme hakkında daha fazla bilgi edinin.