Esempio: Configurare la federazione del provider di identità basato su SAML/WS-Fed con AD FS
Si applica a: 
Tenant delle risorse 
Tenant esterni (altre informazioni)
Nota
La federazione diretta in Microsoft Entra per ID esterno viene ora definita federazione del provider di identità (IdP) SAML/WS-Fed.
Questo articolo descrive come configurare la federazione IdP SAML/WS-Fed usando Active Directory Federation Services (AD FS) come IdP SAML 2.0 o WS-Fed. Per supportare la federazione, è necessario configurare determinati attributi e attestazioni nel provider di identità. Per illustrare come configurare un IdP per la federazione, è stato usato Active Directory Federation Services (AD FS) come esempio. Viene illustrato come configurare AD FS sia come IdP SAML che come IdP WS-Fed.
Nota
Questo articolo descrive come configurare AD FS sia per SAML che per WS-Fed a scopo illustrativo. Per le integrazioni di federazioni in cui il provider di identità è AD FS, è consigliabile usare WS-Fed come protocollo.
Configurare AD FS per la federazione SAML 2.0
È possibile configurare Microsoft Entra B2B per la federazione con i provider di identità che usano il protocollo SAML con alcuni requisiti specifici indicati di seguito. Per illustrare la procedura di configurazione SAML, in questa sezione viene spiegato come configurare AD FS per SAML 2.0.
Per configurare la federazione, è necessario che gli attributi seguenti vengano ricevuti nella risposta SAML 2.0 del provider di identità. Questi attributi possono essere configurati tramite il collegamento al file XML del servizio token di sicurezza online o mediante immissione manuale. Il passaggio 12 in Creare un'istanza di AD FS di test descrive come trovare gli endpoint AD FS o come generare l'URL dei metadati, ad esempio https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.
| Attributo | valore |
|---|---|
| AssertionConsumerService | https://login.microsoftonline.com/login.srf |
| Destinatari | urn:federation:MicrosoftOnline |
| Autorità di certificazione | URI dell'autorità emittente del provider di identità partner, ad esempio http://www.example.com/exk10l6w90DHM0yi... |
Le attestazioni seguenti devono essere configurate nel token SAML 2.0 rilasciato dal provider di identità:
| Attributo | valore |
|---|---|
| Formato NameID | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
| emailaddress | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
La sezione successiva spiega come configurare gli attributi e le attestazioni necessari usando AD FS come esempio di provider di identità SAML 2.0.
Operazioni preliminari
Prima di iniziare questa procedura, è necessaria la disponibilità di un server AD FS già configurato e funzionante.
Aggiungere la descrizione dell'attestazione
Nel server AD FS selezionare Strumenti>Gestione AD FS.
Nel riquadro di spostamento, selezionare Servizio>Descrizioni attestazioni.
In Azioniselezionare Aggiungi descrizione attestazione.
Nella finestra Aggiungi una descrizione attestazione specificare i valori seguenti:
- Nome visualizzato: identificatore permanente
- Identificatore attestazione:
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent - Selezionare la casella di controllo Pubblica questa descrizione attestazione nei metadati della federazione come tipo di attestazione che il servizio federativo può accettare.
- Selezionare la casella di controllo Pubblica questa descrizione attestazione nei metadati di federazione come tipo di attestazione che il servizio federativo può inviare.
Selezionare OK.
Aggiungere il trust della relying party
Nel server AD FS passare a Strumenti>Gestione AD FS.
Nel riquadro di spostamento selezionare Trust della relying party.
In Azioniselezionare Aggiungi trust della relying party.
Nella procedura guidata di aggiunta del trust della relying party selezionare In grado di riconoscere attestazioni e quindi selezionare Avvia.
Nella sezione Seleziona origine dati selezionare la casella di controllo Importa dati sulla relying party pubblicati online o in una rete locale. Immettere l’URL dei metadati federativi:
https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. Selezionare Avanti.Lasciare le altre impostazioni impostate sui valori predefiniti. Continuare a selezionare Avantie infine selezionare Chiudi per chiudere la procedura guidata.
In Gestione AD FS, selezionare Trust della relying party, fare clic con il pulsante destro del mouse sul trust della relying party creato in precedenza e quindi selezionare Proprietà.
Nella casella Monitoraggio deselezionare la casella Monitoraggio della relying party.
Nella scheda Identificatori immettere
https://login.microsoftonline.com/<tenant ID>/nella casella di testo Identificatore della relying party usando l'ID tenant del tenant Microsoft Entra del partner del servizio. Seleziona Aggiungi.Nota
Assicurarsi di includere una barra (/) dopo l'ID tenant, ad esempio :
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.Seleziona OK.
Creare regole attestazioni
Fare clic con il pulsante destro del mouse sul trust della relying party creato e quindi scegliere Modifica criterio di rilascio attestazioni.
Nella procedura guidata di modifica delle regole delle attestazioni selezionare Aggiungi regola.
In Modello di regola attestazione selezionare Invia attributi LDAP come attestazioni.
In Configura regola attestazione specificare i valori seguenti:
- Nome regola attestazione: regola attestazione della posta elettronica
- Archivio attributi: Active Directory
- Attributo LDAP: indirizzi di posta elettronica
- Tipo di attestazione in uscita: indirizzo di posta elettronica
Selezionare Fine.
Seleziona Aggiungi regola.
In Modello di regola attestazione selezionare Trasforma un'attestazione in arrivo e quindi selezionare Avanti.
In Configura regola attestazione specificare i valori seguenti:
- Nome regola attestazione: regola di trasformazione della posta elettronica
- Tipo di attestazione in arrivo: indirizzo di posta elettronica
- Tipo di attestazione in uscita: ID nome
- Formato ID nome in uscita: identificatore permanente
- Seleziona Pass-through di tutti i valori attestazione.
Selezionare Fine.
Il riquadro Modifica regole attestazione visualizza le nuove regole. Selezionare Applica.
Selezionare OK. Il server AD FS è ora configurato per la federazione tramite il protocollo SAML 2.0.
Configurare AD FS per la federazione WS-Fed
Microsoft Entra B2B può essere configurato per la federazione con i provider di identità che usano il protocollo WS-Fed con i requisiti specifici elencati di seguito. Attualmente, i due provider WS-Fed che sono stati testati per la compatibilità con Microsoft Entra per ID esterno sono AD FS e Shibboleth. In questo caso viene usato Active Directory Federation Services (AD FS) come esempio di provider di identità WS-Fed. Per altre informazioni sulla definizione di un trust della relying party con un provider conforme a WS Fed con Microsoft Entra per ID, scaricare la documentazione sulla compatibilità del provider di identità Microsoft Entra.
Per configurare la federazione, è necessario che gli attributi seguenti vengano ricevuti nel messaggio WS-Fed del provider di identità. Questi attributi possono essere configurati tramite il collegamento al file XML del servizio token di sicurezza online o mediante immissione manuale. Il passaggio 12 in Creare un'istanza di AD FS di test descrive come trovare gli endpoint AD FS o come generare l'URL dei metadati, ad esempio https://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.
| Attributo | valore |
|---|---|
| PassiveRequestorEndpoint | https://login.microsoftonline.com/login.srf |
| Destinatari | urn:federation:MicrosoftOnline |
| Autorità di certificazione | URI dell'autorità emittente del provider di identità partner, ad esempio http://www.example.com/exk10l6w90DHM0yi... |
Attestazioni necessarie per il token WS-Fed rilasciato dal provider di identità:
| Attributo | valore |
|---|---|
| ImmutableID | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
| emailaddress | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
La sezione successiva spiega come configurare gli attributi e le attestazioni necessari usando AD FS come esempio di provider di identità WS-Fed.
Operazioni preliminari
Prima di iniziare questa procedura, è necessaria la disponibilità di un server AD FS già configurato e funzionante.
Aggiungere il trust della relying party
Nel server AD FS passare a Strumenti> Gestione AD FS.
Nel riquadro di spostamento selezionare Relazioni di trust>Trust della relying party.
In Azioniselezionare Aggiungi trust della relying party.
Nella procedura guidata di aggiunta del trust della relying party selezionare In grado di riconoscere le attestazioni e quindi selezionare Avvia.
Nella sezione Seleziona origine dati selezionare Immettere i dati sulla relying party manualmente e quindi selezionare Avanti.
Nella pagina Specifica nome visualizzato digitare un nome in Nome visualizzato. Facoltativamente, è possibile immettere una descrizione per il trust della relying party nella sezione Note. Selezionare Avanti.
Facoltativamente, nella pagina Configura certificato, se si dispone di un certificato di crittografia del token, selezionare Sfoglia per individuare un file di certificato. Selezionare Avanti.
Nella pagina Configura URL selezionare la casella di controllo Abilita supporto per il protocollo passivo WS-Federation. In URL del protocollo passivo WS-Federation della relying party immettere l'URL seguente:
https://login.microsoftonline.com/login.srfSelezionare Avanti.
Nella pagina Configura identificatori immettere gli URL seguenti e selezionare Aggiungi. Nel secondo URL immettere l'ID tenant del tenant di Microsoft Entra del partner del servizio.
urn:federation:MicrosoftOnlinehttps://login.microsoftonline.com/<tenant ID>/
Nota
Assicurarsi di includere una barra (/) dopo l'ID tenant, ad esempio :
https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.Selezionare Avanti.
Nella pagina Scegli criteri di controllo di accesso selezionare i criteri desiderati e fare clic su Avanti.
Nella pagina Aggiunta attendibilità rivedere le impostazioni e quindi fare clic su Avanti per salvare le informazioni sul trust della relying party.
Nella pagina Fine selezionare Chiudi. Selezionare Trust della relying party e scegliere Modifica criterio di rilascio attestazioni.
Creare regole attestazioni
Selezionare il trust della relying party appena creato e quindi selezionare Modifica criterio di rilascio attestazioni.
Seleziona Aggiungi regola.
Selezionare Invia attributi LDAP come attestazionie quindi selezionare Avanti.
In Configura regola attestazione specificare i valori seguenti:
- Nome regola attestazione: regola attestazione della posta elettronica
- Archivio attributi: Active Directory
- Attributo LDAP: indirizzi di posta elettronica
- Tipo di attestazione in uscita: indirizzo di posta elettronica
Selezionare Fine.
Nella stessa procedura guidata di modifica delle regole attestazioni selezionare Aggiungi regola.
Selezionare Invia attestazioni usando una regola personalizzata e quindi selezionare Avanti.
In Configura regola attestazione specificare i valori seguenti:
- Nome regola attestazione: ID non modificabile
- Regola personalizzata:
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), query = "samAccountName={0};objectGUID;{1}", param = regexreplace(c.Value, "(?<domain>[^\\]+)\\(?<user>.+)", "${user}"), param = c.Value);
Selezionare Fine.
Seleziona OK. Il server AD FS è ora configurato per la federazione tramite WS-Fed.
Passaggi successivi
Quindi, configurare la federazione IdP SAML/WS-Fed in Microsoft Entra per ID esterno nel portale di Azure o usando l'API di Microsoft Graph.