SAML/WS-Fed kimlik sağlayıcılarıyla federasyon

Şunlar için geçerlidir: İş gücü kiracıları Dış kiracılar (daha fazla bilgi edinin)

Bu makalede, kimlik sağlayıcısı (IdP) SAML 2.0 veya WS-Fed protokolünü destekleyen herhangi bir kuruluşla federasyonun nasıl ayarlanacağı açıklanmaktadır. Bir iş ortağının IdP'si ile federasyonu ayarladığınızda, bu etki alanındaki yeni konuk kullanıcılar Kendi IdP ile yönetilen kuruluş hesabını kullanarak Microsoft Entra kiracınızda oturum açabilir ve sizinle işbirliği yapmaya başlayabilir. Konuk kullanıcının ayrı bir Microsoft Entra hesabı oluşturmasına gerek yoktur.

Konuk kullanıcının SAML/WS-Fed IdP federasyonuyla kimliği ne zaman doğrulanır?

Bir kuruluşun SAML/WS-Fed IdP'si ile federasyonu ayarladıktan sonra:

• Birleştirdiğiniz etki alanı Microsoft Entra Id doğrulanmış bir etki alanı değilse, davet ettiğiniz tüm yeni konuk kullanıcıların kimliği bu SAML/WS-Fed IdP kullanılarak doğrulanır.

• Etki alanı Doğrulanmış Microsoft Entra Id ise, federasyon IdP'si ile kullanım önceliğini önceliklendirmek için gelen B2B işbirliği için kiracılar arası erişim ayarlarınızda Kullanım sırası ayarlarını (önizleme) yapılandırmanız gerekir. Ardından davet ettiğiniz tüm yeni konuk kullanıcıların kimlikleri bu SAML/WS-Fed IdP kullanılarak doğrulanır.

Federasyonu ayarlamanın, zaten sizden bir daveti kullanan konuk kullanıcılar için kimlik doğrulama yöntemini değiştirmediğini unutmayın. Burada bazı örnekler verilmiştir:

• Konuk kullanıcılar sizden gelen davetleri zaten kullandılar ve daha sonra kuruluşun SAML/WS-Fed IdP'si ile federasyon ayarlarsınız. Bu konuk kullanıcılar, federasyon ayarlamadan önce kullandıkları kimlik doğrulama yöntemini kullanmaya devam ederler.
• Bir kuruluşun SAML/WS-Fed IdP'si ile federasyonu ayarlar ve konuk kullanıcıları davet eder, ardından iş ortağı kuruluş daha sonra Microsoft Entra Id'ye geçer. Davetleri zaten kullanan konuk kullanıcılar, kiracınızdaki federasyon ilkesi mevcut olduğu sürece federasyon SAML/WS-Fed IdP'sini kullanmaya devam eder.
• Bir kuruluşun SAML/WS-Fed IdP'si ile federasyonu silersiniz. Şu anda SAML/WS-Fed IdP kullanan tüm konuk kullanıcılar oturum açamaz.

Bu senaryoların herhangi birinde, kullanım durumunu sıfırlayarak konuk kullanıcının kimlik doğrulama yöntemini güncelleştirebilirsiniz.

SAML/WS-Fed IdP federasyonu, contoso.com ve fabrikam.com gibi etki alanı ad alanlarına bağlıdır. AD FS veya üçüncü taraf IdP ile federasyon oluştururken, kuruluşlar bir veya daha fazla etki alanı ad alanını bu IdP'lerle ilişkilendirir.

Son kullanıcı deneyimi

SAML/WS-Fed IdP federasyonu ile konuk kullanıcılar kendi kuruluş hesabını kullanarak Microsoft Entra kiracınızda oturum açar. Paylaşılan kaynaklara erişirken ve oturum açma istendiğinde, kullanıcılar IdP'lerine yönlendirilir. Oturum açma başarılı olduktan sonra kullanıcılar kaynaklara erişmek için Microsoft Entra Id'ye geri döner. Microsoft Entra oturumunun süresi dolarsa veya geçersiz olursa ve federasyon IdP'sinde SSO etkinse, kullanıcı SSO deneyimi yaşar. Federasyon kullanıcısının oturumu geçerliyse, kullanıcıdan yeniden oturum açması istenmez. Aksi takdirde, kullanıcı oturum açmak için IdP'sine yönlendirilir.

Oturum açma uç noktaları

SAML/WS-Fed IdP federasyon konuk kullanıcıları artık ortak bir uç nokta (diğer bir deyişle kiracı bağlamınızı içermeyen genel bir uygulama URL'si) kullanarak çok kiracılı veya Microsoft birinci taraf uygulamalarınızda oturum açabilir. Oturum açma işlemi sırasında konuk kullanıcı Oturum açma seçeneklerini ve ardından Kuruluşta oturum aç'ı seçer. Kullanıcı daha sonra kuruluşunuzun adını yazın ve kendi kimlik bilgilerini kullanarak oturum açmaya devam eder.

SAML/WS-Fed IdP federasyon konuk kullanıcıları, kiracı bilgilerinizi içeren uygulama uç noktalarını da kullanabilir, örneğin:

• https://myapps.microsoft.com/?tenantid=<your tenant ID>
• https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
• https://portal.azure.com/<your tenant ID>

Konuk kullanıcılara, örneğin https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>kiracı bilgilerinizi ekleyerek bir uygulama veya kaynağa doğrudan bağlantı da verebilirsiniz.

Sık sorulan sorular

Microsoft Entra ID doğrulanmış etki alanlarıyla SAML/WS-Fed IdP federasyonu ayarlayabilir miyim?

Evet, artık diğer Microsoft Entra Kimliği doğrulanmış etki alanlarıyla SAML/WS-Fed IdP federasyonu ayarlayabilirsiniz. Bu, kiracının yönetici devraldığı doğrulanmış etki alanlarını içerir. Birleştirdiğiniz etki alanı Microsoft Entra Id doğrulanmışsa, gelen B2B işbirliği için kiracılar arası erişim ayarlarınızda Kullanım sırası ayarlarını (önizleme) yapılandırmanız ve davet edilen kullanıcıların oturum açtıklarında Microsoft Entra Kimliği yerine federasyon IdP'sini kullanarak davetlerini kullandıklarından emin olmanız gerekir.

Şu anda kullanım sırası ayarları bulutlar arasında desteklenmemektedir. Birleştirdiğiniz etki alanı farklı bir Microsoft bulutunda doğrulanmış Microsoft Entra Id ise, Microsoft Entra kullanım her zaman önceliklidir.

Yönetilmeyen (e-postayla doğrulanmış) kiracının bulunduğu bir etki alanıyla SAML/WS-Fed IdP federasyonu ayarlayabilir miyim?

Evet, yönetilmeyen (e-postayla doğrulanmış veya "viral") Microsoft Entra kiracıları da dahil olmak üzere Microsoft Entra Id'de DNS ile doğrulanmamış etki alanlarıyla SAML/WS-Fed IdP federasyonu ayarlayabilirsiniz. Bu kiracılar, kullanıcı bir B2B daveti kullandığında veya şu anda mevcut olmayan bir etki alanını kullanarak Microsoft Entra Id için self servis kayıt gerçekleştirdiğinde oluşturulur.

Aynı kiracıdan birden çok etki alanıyla federasyon ayarlayabilir miyim?

Evet, artık aynı kiracıdan birden çok etki alanına sahip SAML/WS-Fed IdP federasyonu destekleniyor.

Süresi dolduğunda imzalama sertifikasını yenilemem gerekiyor mu?

IdP ayarlarında meta veri URL'sini belirtirseniz, Microsoft Entra Id süresi dolduğunda imzalama sertifikasını otomatik olarak yeniler. Ancak, sertifika süre sonu tarihinden önce herhangi bir nedenle döndürülürse veya meta veri URL'si sağlamazsanız, Microsoft Entra Kimliği sertifikayı yenileyemez. Bu durumda, imzalama sertifikasını el ile güncelleştirmeniz gerekir.

SAML/WS-Fed IdP federasyonu ve e-posta tek seferlik geçiş kodu kimlik doğrulaması etkinleştirildiyse, hangi yöntem önceliklidir?

SamL/WS-Fed IdP federasyonu bir iş ortağı kuruluşuyla kurulduğunda, bu kuruluştan yeni konuk kullanıcılar için e-posta tek seferlik geçiş kodu kimlik doğrulamasından önceliklidir. Konuk kullanıcı, SAML/WS-Fed IdP federasyonu ayarlamadan önce tek seferlik geçiş kodu kimlik doğrulaması kullanarak bir davet kullandıysa, tek seferlik geçiş kodu kimlik doğrulamasını kullanmaya devam eder.

KıSMEN eşitlenmiş bir kiracı nedeniyle SAML/WS-Fed IdP federasyon oturum açma sorunlarını giderir mi?

Hayır, bu senaryoda tek seferlik e-posta geçiş kodu özelliği kullanılmalıdır. "Kısmen eşitlenmiş kiracı", şirket içi kullanıcı kimliklerinin bulutla tam olarak eşitlenmediği bir iş ortağı Microsoft Entra kiracısını ifade eder. Kimliği henüz bulutta olmayan ancak B2B davetinizi kullanmaya çalışan bir konuk oturum açamaz. Tek seferlik geçiş kodu özelliği bu konuğun oturum açmasına izin verebilir. SAML/WS-Fed IdP federasyon özelliği, konuğun kendi IdP ile yönetilen kuruluş hesabına sahip olduğu ancak kuruluşun Microsoft Entra varlığı olmadığı senaryoları ele alır.

SAML/WS-Fed IdP federasyonu bir kuruluşla yapılandırıldıktan sonra, her konuğun gönderilmesi ve tek bir daveti kullanması gerekir mi?

Yeni konukları davet ederken, konukların kullanım adımlarını tamamlayabilmesi için davet göndermeniz veya doğrudan bağlantılar sağlamanız gerekir. Mevcut konuklar için yeni davet göndermeniz gerekmez. Mevcut konuklar federasyon kurulmadan önce kullandıkları kimlik doğrulama yöntemini kullanmaya devam edecektir. Bu konukların kimlik doğrulaması için federasyon kullanmaya başlamalarını istiyorsanız, kullanım durumlarını sıfırlayabilirsiniz. Ardından, uygulamanıza bir sonraki erişişinde veya davetinizdeki bağlantıyı kullandıklarında, kullanım işlemini yineler ve kimlik doğrulama yöntemi olarak federasyonu kullanmaya başlarlar.

SAML kimlik sağlayıcısına imzalı istek göndermenin bir yolu var mı?

Şu anda Microsoft Entra SAML/WS-Fed federasyon özelliği SAML kimlik sağlayıcısına imzalı kimlik doğrulama belirteci göndermeyi desteklememektedir.

SAML/Ws-Fed kimlik sağlayıcısını yapılandırmak için hangi izinler gerekir?

SAML/Ws-Fed kimlik sağlayıcısını yapılandırmak için en azından Dış Kimlik Sağlayıcısı Yöneticisi olmanız gerekir.

Federasyon, B2B işbirliği kullanıcısı için dizinimde konuk hesabı oluşturma gereksinimini ortadan kaldırır mı?

Hayır Kullanılan kimlik doğrulamasından veya federasyon yönteminden bağımsız olarak dizininizdeki bir B2B işbirliği kullanıcısı için bir konuk hesabı oluşturulur. Bu kullanıcı nesnesi uygulamalara erişim vermenizi, rol atamanızı ve güvenlik gruplarında üyelik tanımlamanızı sağlar.

1. Adım: İş ortağının DNS metin kayıtlarını güncelleştirmesi gerekip gerekmediğini belirleme

İş ortağının IdP'sine bağlı olarak, iş ortağının sizinle federasyonu etkinleştirmek için DNS kayıtlarını güncelleştirmesi gerekebilir. DNS güncelleştirmelerinin gerekli olup olmadığını belirlemek için aşağıdaki adımları kullanın.

1. Etki alanının hedef etki alanıyla mı yoksa hedef etki alanındaki bir konakla mı eşleşip eşleşmediğini görmek için iş ortağının IdP pasif kimlik doğrulama URL'sini denetleyin. Başka bir deyişle, için fabrikam.comfederasyon ayarlanırken:

   • Pasif kimlik doğrulama uç noktası https://fabrikam.com veya https://sts.fabrikam.com/adfs (aynı etki alanındaki bir konak) ise, DNS değişikliği gerekmez.
   • Pasif kimlik doğrulama uç noktası veya https://fabrikam.com.uk/adfsisehttps://fabrikamconglomerate.com/adfs, etki alanı fabrikam.com etki alanıyla eşleşmiyorsa, iş ortağının dns yapılandırmasına kimlik doğrulama URL'si için bir metin kaydı eklemesi gerekir.

2. Önceki adıma göre DNS değişiklikleri gerekiyorsa, aşağıdaki örnekte olduğu gibi iş ortağından etki alanının DNS kayıtlarına bir TXT kaydı eklemesini isteyin:

   fabrikam.com.  IN   TXT   DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs

2. Adım: İş ortağı kuruluşun IdP'sini yapılandırma

Ardından, iş ortağı kuruluşunuzun IdP'sini gerekli talepler ve bağlı olan taraf güvenleriyle yapılandırması gerekir.

SAML 2.0 yapılandırması

Microsoft Entra B2B, bu bölümde listelenen belirli gereksinimlerle SAML protokolunu kullanan IdP'ler ile federasyon oluşturacak şekilde yapılandırılabilir. SAML IdP'niz ile Microsoft Entra Kimliği arasında güven ayarlama hakkında daha fazla bilgi için bkz . SSO için SAML 2.0 Kimlik Sağlayıcısı (IdP) kullanma.

Gerekli SAML 2.0 öznitelikleri ve talepleri

Aşağıdaki tablolarda, üçüncü taraf IdP'de yapılandırılması gereken belirli öznitelikler ve talepler için gereksinimler gösterilmektedir. Federasyonu ayarlamak için, IDP'den SAML 2.0 yanıtında aşağıdaki özniteliklerin alınması gerekir. Bu öznitelikler, çevrimiçi güvenlik belirteci hizmeti XML dosyasına bağlanarak veya el ile girilerek yapılandırılabilir.

IdP'den SAML 2.0 yanıtı için gerekli öznitelikler:

IdP tarafından verilen SAML 2.0 belirteci için gerekli talepler:

WS-Fed yapılandırması

Microsoft Entra B2B, WS-Fed protokolunu kullanan IdP'lerle federasyon oluşturacak şekilde yapılandırılabilir. Bu bölümde gereksinimler ele alınmaktadır. Şu anda iki WS-Fed sağlayıcısı, Ad FS ve Shibboleth'i içeren Microsoft Entra ID ile uyumluluk açısından test edilmiştir. Microsoft Entra ID ile WS-Fed uyumlu sağlayıcı arasında bağlı taraf güveni oluşturma hakkında daha fazla bilgi için, Microsoft Entra kimlik Sağlayıcısı Uyumluluk Belgeleri'nde bulunan "WS Protokollerini Kullanan STS Tümleştirme Belgesi" bölümüne bakın.

Gerekli WS-Fed öznitelikleri ve talepleri

Aşağıdaki tablolarda, üçüncü taraf WS-Fed IdP'sinde yapılandırılması gereken belirli öznitelikler ve talepler için gereksinimler gösterilmektedir. Federasyonu ayarlamak için WS-Fed iletisinde IdP'den aşağıdaki özniteliklerin alınması gerekir. Bu öznitelikler, çevrimiçi güvenlik belirteci hizmeti XML dosyasına bağlanarak veya el ile girilerek yapılandırılabilir.

IdP'den WS-Fed iletisinde gerekli öznitelikler:

IdP tarafından verilen WS-Fed belirteci için gerekli talepler:

3. Adım: Microsoft Entra Id'de SAML/WS-Fed IdP federasyonu yapılandırma

Ardından, Microsoft Entra Id'de 1. adımda yapılandırılan IdP ile federasyonu yapılandırın. Microsoft Entra yönetim merkezini veya Microsoft Graph API'sini kullanabilirsiniz. Federasyon ilkesinin geçerlilik kazanması 5-10 dakika sürebilir. Bu süre boyunca, federasyon etki alanı için daveti kullanmaya çalışma. Aşağıdaki öznitelikler gereklidir:

• İş ortağının IdP'sinin veren URI'si
• İş ortağı IdP'sinin pasif kimlik doğrulama uç noktası (yalnızca https desteklenir)
• Sertifika

Microsoft Entra yönetim merkezinde federasyonu yapılandırmak için

1. Microsoft Entra yönetim merkezinde en azından Dış Kimlik Sağlayıcısı yöneticisi olarak oturum açın.

2. Kimlik>Dış Kimlikleri>Tüm kimlik sağlayıcıları'na göz atın.

3. Özel sekmesini ve ardından Yeni>SAML/WS-Fed ekle'yi seçin.

   

4. Yeni SAML/WS-Fed IdP sayfasında aşağıdakileri girin:

   • Görünen ad - İş ortağının IdP'sini tanımlamanıza yardımcı olacak bir ad girin.
   • Kimlik sağlayıcısı protokolü - SAML veya WS-Fed'i seçin.
   • Federasyon IdP'sinin etki alanı adı - Federasyon için iş ortağınızın IdP hedef etki alanı adını girin. Bu ilk yapılandırma sırasında yalnızca bir etki alanı adı girin. Daha sonra daha fazla etki alanı ekleyebilirsiniz.

   

5. Meta verileri doldurma yöntemi seçin. Meta verileri içeren bir dosyanız varsa, Meta veri dosyasını ayrıştır'ı seçip dosyaya göz atarak alanları otomatik olarak doldurabilirsiniz. Alternatif olarak, Giriş meta verilerini el ile seçip aşağıdaki bilgileri girebilirsiniz:

   • İş ortağının SAML IdP'sinin Veren URI'si veya iş ortağının WS-Fed IdP'sinin Varlık Kimliği .
   • İş ortağının SAML IdP'sinin Pasif kimlik doğrulama uç noktası veya iş ortağının WS-Fed IdP'sinin Pasif istekte bulunan uç noktası .
   • Sertifika - İmzalama sertifikası kimliği.
   • Meta Veri URL'si - İmzalama sertifikasının otomatik olarak yenilenmesi için IdP'nin meta verilerinin konumu.

   

   Not

   Meta veri URL'si isteğe bağlıdır ancak bunu kesinlikle öneririz. Meta veri URL'sini sağlarsanız, Microsoft Entra Id süresi dolduğunda imzalama sertifikasını otomatik olarak yenileyebilir. Sertifika süre sonu öncesinde herhangi bir nedenle döndürülürse veya meta veri URL'si sağlamazsanız, Microsoft Entra Kimliği sertifikayı yenileyemez. Bu durumda, imzalama sertifikasını el ile güncelleştirmeniz gerekir.

6. Kaydet'i seçin. Kimlik sağlayıcısı SAML/WS-Fed kimlik sağlayıcıları listesine eklenir.

   

7. (İsteğe bağlı) Bu federasyon kimlik sağlayıcısına daha fazla etki alanı adı eklemek için:

   1. Etki Alanları sütununda bağlantıyı seçin.

      

   2. Federasyon IdP'sinin etki alanı adı'nın yanına etki alanı adını yazın ve Ekle'yi seçin. Eklemek istediğiniz her etki alanı için bu işlemi yineleyin. İşiniz bittiğinde Bitti'yi seçin.

      

Microsoft Graph API'sini kullanarak federasyonu yapılandırmak için

SamlOrWsFedExternalDomainFederation kaynak türünü kullanarak SAML veya WS-Fed protokollerini destekleyen bir kimlik sağlayıcısıyla federasyon ayarlayabilirsiniz.

4. Adım: Microsoft Entra ID doğrulanmış etki alanları için kullanım sırasını yapılandırma

Etki alanı Doğrulanmış Microsoft Entra Id ise, gelen B2B işbirliği için kiracılar arası erişim ayarlarınızda Kullanım sırası ayarlarını yapılandırın. Federasyon IdP'si ile kullanım önceliğini ayarlamak için SAML/WS-Fed kimlik sağlayıcılarını Birincil kimlik sağlayıcıları listesinin en üstüne taşıyın.

5. Adım: Microsoft Entra Id'de SAML/WS-Fed IdP federasyonu test edin

Şimdi yeni bir B2B konuk kullanıcı davet ederek federasyon kurulumunuzu test edin. Ayrıntılar için bkz . Microsoft Entra yönetim merkezinde Microsoft Entra B2B işbirliği kullanıcıları ekleme.

Sertifika veya yapılandırma ayrıntıları Nasıl yaparım? güncelleştirildi?

Tüm kimlik sağlayıcıları sayfasında, yapılandırdığınız SAML/WS-Fed kimlik sağlayıcılarının listesini ve sertifika süre sonu tarihlerini görüntüleyebilirsiniz. Bu listeden sertifikaları yenileyebilir ve diğer yapılandırma ayrıntılarını değiştirebilirsiniz.

1. Microsoft Entra yönetim merkezinde en azından Dış Kimlik Sağlayıcısı yöneticisi olarak oturum açın.

2. Kimlik>Dış Kimlikleri>Tüm kimlik sağlayıcıları'na göz atın.

3. Özel sekmesini seçin.

4. Listede bir kimlik sağlayıcısına gidin veya arama kutusunu kullanın.

5. Sertifikayı güncelleştirmek veya yapılandırma ayrıntılarını değiştirmek için:

   • Kimlik sağlayıcısının Yapılandırma sütununda Düzenle bağlantısını seçin.
   • Yapılandırma sayfasında, aşağıdaki ayrıntılardan herhangi birini değiştirin:
     • Görünen ad - İş ortağının kuruluşunun görünen adı.
     • Kimlik sağlayıcısı protokolü - SAML veya WS-Fed'i seçin.
     • Pasif kimlik doğrulama uç noktası - İş ortağı IdP'sinin pasif istek sahibi uç noktası.
     • Sertifika - İmzalama sertifikasının kimliği. Yenilemek için yeni bir sertifika kimliği girin.
     • Meta Veri URL'si - İmzalama sertifikasının otomatik olarak yenilenmesi için kullanılan iş ortağının meta verilerini içeren URL.
   • Kaydet'i seçin.

   

6. İş ortağıyla ilişkili etki alanlarını düzenlemek için Etki Alanları sütunundaki bağlantıyı seçin. Etki alanı ayrıntıları bölmesinde:

   • Etki alanı eklemek için, Federasyon IdP'sinin Etki alanı adı'nın yanına etki alanı adını yazın ve Ekle'yi seçin. Eklemek istediğiniz her etki alanı için bu işlemi yineleyin.
   • Bir etki alanını silmek için etki alanının yanındaki sil simgesini seçin.
   • İşiniz bittiğinde Bitti'yi seçin.

   

   Not

   İş ortağıyla federasyonu kaldırmak için, etki alanlarından biri dışında tümünü silin ve sonraki bölümdeki adımları izleyin.

Federasyon Nasıl yaparım? kaldırılsın mı?

Federasyon yapılandırmanızı kaldırabilirsiniz. Bunu yaparsanız, davetlerini zaten kullanan federasyon konuk kullanıcıları artık oturum açamıyor. Ancak kullanım durumlarını sıfırlayarak kaynaklarınıza yeniden erişim verebilirsiniz. Microsoft Entra yönetim merkezinde bir IdP yapılandırmasını kaldırmak için:

1. Microsoft Entra yönetim merkezinde en azından Dış Kimlik Sağlayıcısı yöneticisi olarak oturum açın.

2. Kimlik>Dış Kimlikleri>Tüm kimlik sağlayıcıları'na göz atın.

3. Özel sekmesini seçin ve listeden kimlik sağlayıcısına gidin veya arama kutusunu kullanın.

4. IdP'nin etki alanı ayrıntılarını görüntülemek için Etki Alanları sütunundaki bağlantıyı seçin.

5. Etki alanı adı listesindeki etki alanlarından biri dışında tümünü silin.

6. Yapılandırmayı Sil'i ve ardından Bitti'yi seçin.

   

7. Silme işlemini onaylamak için Tamam'ı seçin.

Microsoft Graph API samlOrWsFedExternalDomainFederation kaynak türünü kullanarak da federasyonu kaldırabilirsiniz.

Sonraki adımlar

Dış kullanıcılar çeşitli kimlik sağlayıcılarıyla oturum açarken davet kullanım deneyimi hakkında daha fazla bilgi edinin.