Тип ресурса internalDomainFederation

Пространство имен: microsoft.graph

Представляет конфигурации доменов клиента, федеративных и проверенных с помощью Microsoft Entra ID. Используйте этот ресурс для настройки параметров федерации при настройке федерации с Microsoft Entra ID. Сведения о федерации см. в статье Что такое федерация с Microsoft Entra ID?.

Наследует от samlOrWsFedProvider.

Методы

Метод Тип возвращаемых данных Описание
Список Коллекция internalDomainFederation Чтение свойств объекта internalDomainFederation для домена.
Создание internalDomainFederation Создайте объект internalDomainFederation .
Получение internalDomainFederation Чтение свойств и связей объекта internalDomainFederation .
Обновление internalDomainFederation Обновите свойства объекта internalDomainFederation .
удаление; Нет Удалите объект internalDomainFederation .

Свойства

Свойство Тип Описание
activeSignInUri String URL-адрес конечной точки, используемой активными клиентами при проверке подлинности с федеративными доменами, настроенными для единого входа в Microsoft Entra ID. Соответствует свойству ActiveLogOnUriкомандлета PowerShell Set-MsolDomainFederationSettings MSOnline версии 1.
displayName String Отображаемое имя федеративного поставщика удостоверений (IdP). Унаследовано от identityProviderBase.
federatedIdpMfaBehavior federatedIdpMfaBehavior Определяет, принимает ли Microsoft Entra ID MFA, выполняемую федеративным поставщиком удостоверений, когда федеративный пользователь обращается к приложению, управляемому политикой условного доступа, требующей многофакторной проверки подлинности. Допустимые значения: acceptIfMfaDoneByFederatedIdp, enforceMfaByFederatedIdp, rejectMfaByFederatedIdp, unknownFutureValue. Дополнительные сведения см. в разделе Значения federatedIdpMfaBehavior.
id String Идентификатор федеративного поставщика удостоверений. Наследуется от сущности.
isSignedAuthenticationRequestRequired Логический Если trueзадано значение , когда запросы проверки подлинности SAML отправляются федеративной поставщику удостоверений SAML, Microsoft Entra ID будет подписывать эти запросы с помощью ключа подписи OrgID. Если false (по умолчанию), запросы проверки подлинности SAML, отправленные федеративной поставщику удостоверений, не подписываются.
issuerUri String URI издателя сервера федерации. Наследуется от samlOrWsFedProvider.
metadataExchangeUri String URI конечной точки обмена метаданными, используемой для проверки подлинности из расширенных клиентских приложений. Наследуется от samlOrWsFedProvider.
nextSigningCertificate String Резервный сертификат подписи маркеров, который также можно использовать для подписи маркеров, например по истечении срока действия основного сертификата подписи. Отформатированные как строки в кодировке Base64 общедоступной части сертификата подписи маркера федеративного поставщика удостоверений. Должен быть совместим с классом X509Certificate2. Как и при подписанииCertificate, свойство nextSigningCertificate используется, если смена требуется за пределами автоматического обновления, настраивается новая служба федерации или если новый сертификат подписи маркера отсутствует в свойствах федерации после обновления сертификата службы федерации.
passiveSignInUri String URI, к которому направляются веб-клиенты при входе в службы Microsoft Entra. Наследуется от samlOrWsFedProvider.
preferredAuthenticationProtocol authenticationProtocol Предпочтительный протокол проверки подлинности. Этот параметр должен быть явно настроен, чтобы поток пассивной проверки подлинности федерации работал. Допустимые значения: wsFed, saml, unknownFutureValue. Наследуется от samlOrWsFedProvider.
promptLoginBehavior promptLoginBehavior Задает предпочтительное поведение для запроса на вход. Допустимые значения: translateToFreshPasswordAuthentication, nativeSupport, disabled, unknownFutureValue.
signingCertificate String Текущий сертификат, используемый для подписывания маркеров, переданных платформа удостоверений Майкрософт. Сертификат имеет формат строки в кодировке Base64 общедоступной части сертификата подписи маркера федеративного поставщика удостоверений и должен быть совместим с классом X509Certificate2.
Это свойство используется в следующих сценариях:
  • Если требуется откат за пределами автоматического обновления
  • Настраивается новая служба федерации
  • Если новый сертификат подписи маркера отсутствует в свойствах федерации после обновления сертификата службы федерации.
    Microsoft Entra ID обновляет сертификаты с помощью процесса автоматической переключения, в котором пытается получить новый сертификат из метаданных службы федерации за 30 дней до истечения срока действия текущего сертификата. Если новый сертификат недоступен, Microsoft Entra ID ежедневно отслеживает метаданные и обновляет параметры федерации для домена при появлении нового сертификата. Наследуется от samlOrWsFedProvider.
  • signingCertificateUpdateStatus signingCertificateUpdateStatus Предоставляет состояние и метку времени последнего обновления сертификата подписи.
    signOutUri String URI, на который перенаправляются клиенты при выходе из Microsoft Entra служб. Соответствует свойству LogOffUriкомандлета PowerShell Set-MsolDomainFederationSettings MSOnline версии 1.

    Примечание.

    модули PowerShell Azure AD и MSOnline устарели с 30 марта 2024 г. Дополнительные сведения см. в статье Обновление для прекращения поддержки. После этой даты поддержка этих модулей ограничивается поддержкой миграции пакета SDK Для Microsoft Graph PowerShell и исправлениями безопасности. Устаревшие модули будут работать до 30 марта 2025 г.

    Мы рекомендуем выполнить миграцию в Microsoft Graph PowerShell для взаимодействия с Microsoft Entra ID (ранее Azure AD). Распространенные вопросы о миграции см. в разделе Вопросы и ответы о миграции. Заметка: В версиях 1.0.x MSOnline может возникнуть сбой после 30 июня 2024 г.

    Значения federatedIdpMfaBehavior

    Member Описание
    acceptIfMfaDoneByFederatedIdp Microsoft Entra ID принимает MFA, выполняемую федеративными поставщиками удостоверений. Если федеративный поставщик удостоверений не выполнил MFA, Microsoft Entra ID выполняет MFA.
    enforceMfaByFederatedIdp Microsoft Entra ID принимает MFA, выполняемую федеративными поставщиками удостоверений. Если федеративный поставщик удостоверений не выполнил MFA, он перенаправляет запрос федеративного поставщика удостоверений для выполнения MFA.
    rejectMfaByFederatedIdp Microsoft Entra ID всегда выполняет MFA и отклоняет MFA, выполняемую поставщиком федеративных удостоверений.

    Примечание.

    federatedIdpMfaBehavior — это усовершенствованая версия свойства SupportsMfaкомандлета PowerShell Set-MsolDomainFederationSettings MSOnline версии 1.

    • Переключение между federatedIdpMfaBehavior и SupportsMfa не поддерживается.
    • Если задано свойство federatedIdpMfaBehavior, Microsoft Entra ID игнорирует параметр SupportsMfa.
    • Если свойство federatedIdpMfaBehavior никогда не задано, Microsoft Entra ID продолжит учитывать параметр SupportsMfa.
    • Если ни federatedIdpMfaBehavior, ни SupportsMfa не заданы, Microsoft Entra ID по умолчанию будет использоваться acceptIfMfaDoneByFederatedIdp поведение.

    Связи

    Отсутствуют.

    Представление JSON

    В следующем представлении JSON показан тип ресурса.

    {
      "@odata.type": "#microsoft.graph.internalDomainFederation",
      "id": "String (identifier)",
      "displayName": "String",
      "issuerUri": "String",
      "metadataExchangeUri": "String",
      "signingCertificate": "String",
      "passiveSignInUri": "String",
      "preferredAuthenticationProtocol": "String",
      "activeSignInUri": "String",
      "signOutUri": "String",
      "promptLoginBehavior": "String",
      "isSignedAuthenticationRequestRequired": "Boolean",
      "nextSigningCertificate": "String",
      "signingCertificateUpdateStatus": {
        "certificateUpdateResult": "String",
        "@odata.type": "microsoft.graph.signingCertificateUpdateStatus"
      },
      "federatedIdpMfaBehavior": "String"
    }