Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Aplica-se a: 
Locatários da força de trabalho Inquilinos externos (saiba mais)
O seu tenant do Microsoft Entra pode estabelecer uma federação direta com organizações externas que utilizam um fornecedor de identidade SAML ou WS-Fed (IdP). Os usuários da organização externa podem usar suas próprias contas gerenciadas pelo IdP para entrar em seus aplicativos ou recursos, durante o resgate de convites ou a inscrição de autoatendimento, sem precisar criar novas credenciais do Microsoft Entra. O usuário é redirecionado para seu IdP ao se inscrever ou entrar em seu aplicativo e, em seguida, retorna ao Microsoft Entra assim que entrar com êxito.
Pré-requisitos
- Reveja as considerações de configuração nos provedores de identidade SAML/WS-Fed.
- Um locatário da força de trabalho ou um locatário externo .
Como configurar a federação SAML/WS-Fed IdP
Etapa 1: Determinar se o parceiro precisa atualizar seus registros de texto DNS
Use as etapas a seguir para determinar se o parceiro precisa atualizar seus registros DNS para habilitar a federação com você.
Verifique a URL de autenticação passiva do IdP do parceiro para ver se o domínio corresponde ao domínio de destino ou a um host dentro do domínio de destino. Em outras palavras, ao configurar a federação para
fabrikam.com:- Se o ponto de extremidade de autenticação passiva for
https://fabrikam.comouhttps://sts.fabrikam.com/adfs(um host no mesmo domínio), nenhuma alteração de DNS será necessária. - Se o ponto de extremidade de autenticação passiva for
https://fabrikamconglomerate.com/adfsouhttps://fabrikam.co.uk/adfs, o domínio não corresponder ao domínio fabrikam.com, portanto, o parceiro precisará adicionar um registro de texto para a URL de autenticação à sua configuração de DNS.
- Se o ponto de extremidade de autenticação passiva for
Se forem necessárias alterações de DNS com base na etapa anterior, peça ao parceiro para adicionar um registro TXT aos registros DNS do domínio, como o exemplo a seguir:
fabrikam.com. IN TXT DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs
Etapa 2: Configurar o IdP da organização parceira
Em seguida, sua organização parceira precisa configurar seu IdP com as declarações necessárias e as relações de confiança da terceira parte confiável. Para que a federação funcione corretamente, o Microsoft Entra External ID requer que o IdP externo envie determinados atributos e declarações, que devem ser configurados no IdP externo.
Nota
Para ilustrar como configurar um SAML/WS-Fed IdP para federação, usamos os Serviços de Federação do Ative Directory (AD FS) como exemplo. Consulte o artigo Configure SAML/WS-Fed IdP federation with AD FS, que fornece exemplos de como configurar o AD FS como um SAML 2.0 ou WS-Fed IdP em preparação para a federação.
Para configurar um provedor de identidade SAML 2.0
A ID Externa do Microsoft Entra requer a resposta SAML 2.0 do IdP externo para incluir atributos e declarações específicos. Os atributos e declarações necessários podem ser configurados no IdP externo de uma das seguintes formas:
- Vinculando ao arquivo XML do serviço de token de segurança online ou
- Introduzir manualmente os valores
Consulte as tabelas a seguir para obter os valores necessários.
Nota
Certifique-se de que o valor corresponde à nuvem para a qual está a configurar a federação externa.
Tabela 1. Atributos necessários para a resposta SAML 2.0 do IdP.
| Atributo | Valor para um membro da equipa de trabalho | Valor para um locatário externo |
|---|---|---|
| AssertionConsumerService | https://login.microsoftonline.com/login.srf |
https://<tenantID>.ciamlogin.com/login.srf Adicione https://<tenantID>.ciamlogin.com/login.srf como URL de retorno de chamada/ACS no IdP externo, se exigido por esse provedor. |
| Audiência |
https://login.microsoftonline.com/<tenant ID>/ (Recomendado) Substitua <tenant ID> pela ID do locatário do Microsoft Entra com o qual você está configurando a federação.Na solicitação SAML enviada pelo Microsoft Entra ID para federações externas, a URL do emissor é um endpoint "tenant" (por exemplo, https://login.microsoftonline.com/<tenant ID>/). Para quaisquer novas federações, recomendamos que todos os nossos parceiros definam o público do IdP baseado em SAML ou WS-Fed para um endpoint de locatário. Todas as federações existentes configuradas com o ponto de extremidade global (por exemplo, urn:federation:MicrosoftOnline) continuam a funcionar, mas as novas federações deixam de funcionar se o IdP externo estiver à espera de uma URL de emissor global na solicitação SAML enviada pelo Microsoft Entra ID. |
https://login.microsoftonline.com/<tenant ID>/Substitua <tenant ID> pelo ID do inquilino do Microsoft Entra com o qual está a configurar a federação. |
| Emissor | O URI do emissor do IdP do parceiro, por exemplo http://www.example.com/exk10l6w90DHM0yi... |
O URI do emissor do IdP do parceiro, por exemplo http://www.example.com/exk10l6w90DHM0yi... |
Tabela 2. Declarações necessárias para o token SAML 2.0 emitido pelo IdP.
| Nome do Atributo | Valor |
|---|---|
| Formato NameID | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
O endereço de e-mail do usuário |
Para configurar um provedor de identidade WS-Fed
A ID Externa do Microsoft Entra requer que a mensagem WS-Fed do IdP externo inclua atributos e reivindicações específicos. Os atributos e declarações necessários podem ser configurados no IdP externo de uma das seguintes formas:
- Vinculando ao arquivo XML do serviço de token de segurança online ou
- Introduzir manualmente os valores
Nota
Atualmente, os dois provedores de WS-Fed que foram testados quanto à compatibilidade com o Microsoft Entra ID são AD FS e Shibboleth.
Atributos e declarações WS-Fed necessários
As tabelas a seguir mostram os requisitos para atributos e declarações específicos que devem ser configurados no IdP WS-Fed de terceiros. Para configurar a federação, os seguintes atributos devem ser recebidos na mensagem WS-Fed do IdP. Esses atributos podem ser configurados vinculando-os ao arquivo XML do serviço de token de segurança online ou inserindo-os manualmente.
Consulte as tabelas a seguir para obter os valores necessários.
Nota
Certifique-se de que o valor corresponde à nuvem para a qual está a configurar a federação externa.
Tabela 3. Atributos necessários na mensagem WS-Fed do IdP.
| Atributo | Valor para um membro da equipa de trabalho | Valor para um locatário externo |
|---|---|---|
| Endpoint do Solicitante Passivo | https://login.microsoftonline.com/login.srf |
https://<tenantID>.ciamlogin.com/login.srf |
| Audiência |
https://login.microsoftonline.com/<tenant ID>/ (Recomendado) Substitua <tenant ID> pela ID do locatário do Microsoft Entra com o qual você está configurando a federação.Na solicitação SAML enviada pelo Microsoft Entra ID para federações externas, a URL do emissor é um endpoint "tenant" (por exemplo, https://login.microsoftonline.com/<tenant ID>/). Para quaisquer novas federações, recomendamos que todos os nossos parceiros definam o público do IdP baseado em SAML ou WS-Fed para um endpoint de locatário. Todas as federações existentes configuradas com o ponto de extremidade global (por exemplo, urn:federation:MicrosoftOnline) continuam a funcionar, mas as novas federações deixam de funcionar se o IdP externo estiver à espera de uma URL de emissor global na solicitação SAML enviada pelo Microsoft Entra ID. |
https://login.microsoftonline.com/<tenant ID>/ Substitua <tenant ID> pelo ID do inquilino do Microsoft Entra com o qual está a configurar a federação. |
| Emissor | O URI do emissor do IdP do parceiro, por exemplo http://www.example.com/exk10l6w90DHM0yi... |
O URI do emissor do IdP do parceiro, por exemplo http://www.example.com/exk10l6w90DHM0yi... |
Tabela 4. Declarações necessárias para o token WS-Fed emitido pelo IdP.
| Atributo | Valor |
|---|---|
| ID imutável | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
| endereço de e-mail | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Etapa 3: Configurar a federação SAML/WS-Fed IdP no Microsoft Entra External ID
Em seguida, configure a federação com o IdP configurado na etapa 1 no Microsoft Entra ID Externo. Você pode usar o centro de administração do Microsoft Entra ou a API do Microsoft Graph. Pode levar de 5 a 10 minutos até que a política de federação entre em vigor. Durante esse período, não tente concluir a inscrição de autoatendimento ou resgatar um convite para o domínio de federação. Os seguintes atributos são necessários:
- URI do emissor do IdP do parceiro
- Ponto de extremidade de autenticação passiva do IdP do parceiro (apenas https é suportado)
- Certificado
Para adicionar o IdP ao seu locatário no centro de administração do Microsoft Entra
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Provedor de Identidade Externo.
Se você tiver acesso a vários locatários, use o ícone
Configurações no menu superior e alterne para seu locatário no menu Diretórios.Navegue até Entra ID>Identidades Externas>Todos os fornecedores de identidades.
Selecione a guia Personalizado e, em seguida, selecione Adicionar novo>SAML/WS-Fed.
Na página Novo IdP SAML/WS-Fed, introduza o seguinte:
- Nome para exibição - Insira um nome para ajudá-lo a identificar o IdP do parceiro.
- Protocolo do provedor de identidade - Selecione SAML ou WS-Fed.
- Nome de domínio do IdP federador - Insira o nome de domínio de destino do IdP do seu parceiro para federação. Durante essa configuração inicial, insira apenas um nome de domínio. Você pode adicionar mais domínios mais tarde.
Selecione um método para preencher metadados. Se você tiver um arquivo que contenha os metadados, poderá preencher automaticamente os campos selecionando Analisar arquivo de metadados e procurando o arquivo. Ou, você pode selecionar Inserir metadados manualmente e inserir as seguintes informações:
- O URI do Emissor do IdP SAML do parceiro ou o ID da Entidade do IdP WS-Fed do parceiro.
- O ponto de extremidade de autenticação passiva do IdP SAML do parceiro ou o ponto de extremidade de solicitação passiva do IdP WS-Fed do parceiro.
- Certificado - A ID do certificado de assinatura.
- URL de metadados - O local dos metadados do IdP para renovação automática do certificado de assinatura.
Nota
O URL dos metadados é opcional. No entanto, recomendamos vivamente. Se você fornecer a URL de metadados, o Microsoft Entra ID poderá renovar automaticamente o certificado de assinatura quando ele expirar. Se o certificado for alternado por qualquer motivo antes do tempo de expiração ou se você não fornecer uma URL de metadados, a ID do Microsoft Entra não poderá renová-lo. Nesse caso, você precisa atualizar o certificado de assinatura manualmente.
Selecione Salvar. O provedor de identidade é adicionado à lista de provedores de identidade SAML/WS-Fed .
(Opcional) Para adicionar mais nomes de domínio a este provedor de identidade federativa:
Selecione o link na coluna Domínios .
Ao lado de Nome de domínio do IdP federador, digite o nome de domínio e selecione Adicionar. Repita para cada domínio que você deseja adicionar. Quando terminar, selecione Concluído.
Para configurar a federação usando a API do Microsoft Graph
Você pode usar o tipo de recurso samlOrWsFedExternalDomainFederation da API do Microsoft Graph para configurar a federação com um provedor de identidade que ofereça suporte ao protocolo SAML ou WS-Fed.
Etapa 4: Configurar a ordem de resgate (colaboração B2B em utilizadores da força de trabalho)
Se estiveres a configurar a federação no teu tenant de força de trabalho para colaboração B2B com um domínio verificado, assegura-te de que o IdP federado seja usado primeiro durante a aceitação do convite. Configure as configurações de ordem de resgate em suas configurações de acesso entre locatários para colaboração B2B de entrada. Mova os provedores de identidade SAML/WS-Fed para o topo da lista de provedores de identidade primários para dar prioridade ao reconhecimento com o IdP federado.
Você pode testar sua configuração de federação convidando um novo usuário convidado B2B. Para obter detalhes, consulte Adicionar usuários de colaboração B2B do Microsoft Entra no centro de administração do Microsoft Entra.
Nota
Você pode configurar a ordem de resgate de convite usando a API REST do Microsoft Graph (versão beta). Consulte Exemplo 2: Atualizar a configuração padrão de resgate de convite na documentação de referência do Microsoft Graph.
Como atualizar o certificado ou os detalhes de configuração
Na página Todos os provedores de identidade , você pode exibir a lista de provedores de identidade SAML/WS-Fed configurados e suas datas de expiração de certificado. Nessa lista, você pode renovar certificados e modificar outros detalhes de configuração.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Provedor de Identidade Externo.
Navegue até Entra ID>Identidades Externas>Todos os fornecedores de identidades.
Selecione a guia Personalizado.
Role até um provedor de identidade na lista ou use a caixa de pesquisa.
Para atualizar o certificado ou modificar os detalhes da configuração:
- Na coluna Configuração do provedor de identidade, selecione o link Editar .
- Na página de configuração, modifique qualquer um dos seguintes detalhes:
- Nome de exibição - Nome de exibição da organização do parceiro.
- Protocolo do provedor de identidade - Selecione SAML ou WS-Fed.
- Ponto de extremidade de autenticação passiva - O ponto de extremidade de solicitante passivo do IdP parceiro.
- Certificado - A ID do certificado de assinatura. Para renová-lo, insira um novo ID de certificado.
- URL de metadados - A URL que contém os metadados do parceiro, usada para a renovação automática do certificado de assinatura.
- Selecione Salvar.
Para editar os domínios associados ao parceiro, selecione o link na coluna Domínios . No painel de detalhes do domínio:
- Para adicionar um domínio, digite o nome de domínio ao lado de Nome de domínio do IdP federativo e selecione Adicionar. Repita para cada domínio que você deseja adicionar.
- Para excluir um domínio, selecione o ícone de exclusão ao lado do domínio.
- Quando terminar, selecione Concluído.
Como remover a federação
Você pode remover sua configuração de federação. Se você fizer isso, os usuários convidados de federação que já resgataram seus convites não poderão mais entrar. Mas você pode dar a eles acesso aos seus recursos novamente redefinindo o status de resgate. Para remover uma configuração de um IdP no centro de administração do Microsoft Entra:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Provedor de Identidade Externo.
Navegue até Entra ID>Identidades Externas>Todos os fornecedores de identidades.
Selecione a guia Personalizado e role até o provedor de identidade na lista ou use a caixa de pesquisa.
Selecione o link na coluna Domínios para visualizar os detalhes do domínio do IdP.
Exclua todos, exceto um, dos domínios na lista Nome de domínio .
Selecione Excluir configuração e, em seguida, selecione Concluído.
Selecione OK para confirmar a exclusão.
Você também pode remover a federação usando o tipo de recurso samlOrWsFedExternalDomainFederation da API do Microsoft Graph.
Próximos passos
- Locatários externos:Adicione o provedor de identidade SAML/WS-Fed a um fluxo de usuário.
- Inquilinos da força de trabalho: Saiba mais sobre a experiência de resgate de convites quando usuários externos entram com vários provedores de identidade.