Örnek: B2B işbirliği için AD FS ile SAML/WS-Fed IdP federasyonu ayarlama

Şunlar için geçerlidir: Beyaz onay işareti simgesi olan yeşil daire. İş gücü kiracılarıGri X simgesine sahip beyaz daire. Dış kiracılar (daha fazla bilgi edinin)

Not

Microsoft Entra Dış Kimlik'daki doğrudan federasyon artık SAML/WS-Fed kimlik sağlayıcısı (IdP) federasyonu olarak adlandırılır.

Bu makalede, SAML 2.0 veya WS-Fed IdP olarak Active Directory Federasyon Hizmetleri (AD FS) (AD FS) kullanılarak SAML/WS-Fed IdP federasyonu nasıl ayarlanacağı açıklanmaktadır. Federasyonu desteklemek için, idp'de belirli özniteliklerin ve taleplerin yapılandırılması gerekir. Federasyon için IdP'yi yapılandırmayı göstermek için örnek olarak Active Directory Federasyon Hizmetleri (AD FS) (AD FS) kullanırız. AD FS'yi hem SAML IdP hem de WS-Fed IdP olarak ayarlamayı gösteriyoruz.

Not

Bu makalede, çizim amacıyla hem SAML hem de WS-Fed için AD FS'nin nasıl ayarlanacağı açıklanmaktadır. IdP'nin AD FS olduğu federasyon tümleştirmeleri için protokol olarak WS-Fed kullanmanızı öneririz.

SAML 2.0 federasyonu için AD FS'yi yapılandırma

Microsoft Entra B2B, aşağıda listelenen belirli gereksinimlerle SAML protokolunu kullanan IdP'ler ile federasyon oluşturacak şekilde yapılandırılabilir. SAML yapılandırma adımlarını göstermek için, bu bölümde SAML 2.0 için AD FS'nin nasıl ayarlanacağı gösterilmektedir.

Federasyonu ayarlamak için, IDP'den SAML 2.0 yanıtında aşağıdaki özniteliklerin alınması gerekir. Bu öznitelikler, çevrimiçi güvenlik belirteci hizmeti XML dosyasına bağlanarak veya el ile girilerek yapılandırılabilir. Test AD FS örneği oluşturma başlığındaki 12. adım, AD FS uç noktalarının nasıl bulunacağını veya meta veri URL'nizin nasıl oluşturulacağını açıklar. Örneğinhttps://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.

Öznitelik Değer
AssertionConsumerService https://login.microsoftonline.com/login.srf
Hedef Kitle urn:federation:MicrosoftOnline
Sertifikayı veren İş ortağı IdP'sinin veren URI'si, örneğin http://www.example.com/exk10l6w90DHM0yi...

Aşağıdaki taleplerin IdP tarafından verilen SAML 2.0 belirtecinde yapılandırılması gerekir:

Öznitelik Değer
NameID Biçimi urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
emailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Sonraki bölümde, SAML 2.0 IdP örneği olarak AD FS kullanılarak gerekli özniteliklerin ve taleplerin nasıl yapılandırılma işlemi gösterilmektedir.

Başlamadan önce

Bu yordama başlamadan önce bir AD FS sunucusu zaten ayarlanmış ve çalışıyor olmalıdır.

Talep açıklamasını ekleme

  1. AD FS sunucunuzda Araçlar>AD FS yönetimi'ne tıklayın.

  2. Gezinti bölmesinde Hizmet>Talebi Açıklamaları'nı seçin.

  3. Eylemler'in altında Talep Açıklaması Ekle'yi seçin.

  4. Talep Açıklaması Ekle penceresinde aşağıdaki değerleri belirtin:

    • Görünen Ad: Kalıcı Tanımlayıcı
    • Talep tanımlayıcısı: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
    • Bu talep açıklamasını federasyon meta verilerinde bu federasyon hizmetinin kabul edebileceği bir talep türü olarak yayımla onay kutusunu seçin.
    • Bu talep açıklamasını federasyon meta verilerinde bu federasyon hizmetinin gönderebileceği bir talep türü olarak yayımla onay kutusunu seçin.
  5. Tamam'ı seçin.

Bağlı olan taraf güvenini ekleme

  1. AD FS sunucusunda Araçlar>AD FS Yönetimi'ne gidin.

  2. Gezinti bölmesinde Bağlı Olan Taraf Güvenleri'ni seçin.

  3. Eylemler'in altında Bağlı Olan Taraf Güveni Ekle'yi seçin.

  4. Bağlı Olan Taraf Güveni Ekle sihirbazında Talep kullanan'ı ve ardından Başlat'ı seçin.

  5. Veri Kaynağı Seç bölümünde, Bağlı olan tarafla ilgili verileri çevrimiçi veya yerel ağda içeri aktar onay kutusunu seçin. Şu federasyon meta veri URL'sini girin: https://nexus.microsoftonline-p.com/federationmetadata/saml20/federationmetadata.xml. İleri'yi seçin.

  6. Diğer ayarları varsayılan seçeneklerinde bırakın. İleri'yi seçmeye devam edin ve son olarak kapat'ı seçerek sihirbazı kapatın.

  7. AD FS Yönetimi'nde, Bağlı Olan Taraf Güvenleri'nin altında, az önce oluşturduğunuz bağlı olan taraf güveni'ne sağ tıklayın ve Özellikler'i seçin.

  8. İzleme sekmesinde bağlı olan tarafı izle kutusunun işaretini kaldırın.

  9. Tanımlayıcılar sekmesinde, hizmet ortağının Microsoft Entra kiracısının kiracı kimliğini kullanarak Bağlı olan taraf tanımlayıcısı metin kutusuna girinhttps://login.microsoftonline.com/<tenant ID>/. Ekle'yi seçin.

    Not

    Kiracı kimliğinden sonra eğik çizgi (/) eklediğinizden emin olun, örneğin: https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.

  10. Tamam'ı seçin.

Talep kuralları oluşturma

  1. Oluşturduğunuz bağlı olan taraf güvene sağ tıklayın ve ardından Talep Verme İlkesini Düzenle'yi seçin.

  2. Talep Kurallarını Düzenle sihirbazında Kural Ekle'yi seçin.

  3. Talep kuralı şablonunda LDAP Özniteliklerini Talep Olarak Gönder'i seçin.

  4. Talep Kuralını Yapılandır bölümünde aşağıdaki değerleri belirtin:

    • Talep kuralı adı: E-posta talep kuralı
    • Öznitelik deposu: Active Directory
    • LDAP Özniteliği: E-Posta Adresleri
    • Giden Talep Türü: E-posta Adresi
  5. Bitir'i seçin.

  6. Kural Ekle'yi seçin.

  7. Talep kuralı şablonunda Gelen Talebi Dönüştür'ü ve ardından İleri'yi seçin.

  8. Talep Kuralını Yapılandır bölümünde aşağıdaki değerleri belirtin:

    • Talep kuralı adı: E-posta dönüştürme kuralı
    • Gelen talep türü: E-posta Adresi
    • Giden talep türü: Ad Kimliği
    • Giden ad kimliği biçimi: Kalıcı Tanımlayıcı
    • Tüm talep değerlerini geçir'i seçin.
  9. Bitir'i seçin.

  10. Talep Kurallarını Düzenle bölmesinde yeni kurallar gösterilir. Uygula'yı seçin.

  11. Tamam'ı seçin. AD FS sunucusu artık SAML 2.0 protokolü kullanılarak federasyon için yapılandırıldı.

WS-Fed federasyonu için AD FS'yi yapılandırma

Microsoft Entra B2B, aşağıda listelenen belirli gereksinimlerle WS-Fed protokolunu kullanan IdP'ler ile federasyon oluşturacak şekilde yapılandırılabilir. Şu anda iki WS-Fed sağlayıcısı AD FS ve Shibboleth dahil Microsoft Entra Dış Kimlik uyumluluk açısından test edilmiştir. Burada WS-Fed IdP örneği olarak Active Directory Federasyon Hizmetleri (AD FS) (AD FS) kullanıyoruz. Microsoft Entra Dış Kimlik ile WS-Fed uyumlu bir sağlayıcı arasında bağlı olan taraf güveni oluşturma hakkında daha fazla bilgi için Microsoft Entra kimlik sağlayıcısı uyumluluk belgelerini indirin.

Federasyonu ayarlamak için WS-Fed iletisinde IdP'den aşağıdaki özniteliklerin alınması gerekir. Bu öznitelikler, çevrimiçi güvenlik belirteci hizmeti XML dosyasına bağlanarak veya el ile girilerek yapılandırılabilir. Test AD FS örneği oluşturma başlığındaki 12. adım, AD FS uç noktalarının nasıl bulunacağını veya meta veri URL'nizin nasıl oluşturulacağını açıklar. Örneğinhttps://fs.iga.azure-test.net/federationmetadata/2007-06/federationmetadata.xml.

Öznitelik Değer
PassiveRequestorEndpoint https://login.microsoftonline.com/login.srf
Hedef Kitle urn:federation:MicrosoftOnline
Sertifikayı veren İş ortağı IdP'sinin veren URI'si, örneğin http://www.example.com/exk10l6w90DHM0yi...

IdP tarafından verilen WS-Fed belirteci için gerekli talepler:

Öznitelik Değer
SabitId http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID
emailaddress http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Sonraki bölümde, WS-Fed IdP örneği olarak AD FS kullanılarak gerekli özniteliklerin ve taleplerin nasıl yapılandırılıp yapılandırılması gösterilmektedir.

Başlamadan önce

Bu yordama başlamadan önce bir AD FS sunucusu zaten ayarlanmış ve çalışıyor olmalıdır.

Bağlı olan taraf güvenini ekleme

  1. AD FS sunucusunda Araçlar>AD FS yönetimi'ne gidin.

  2. Gezinti bölmesinde Güven İlişkileri>Bağlı Olan Taraf Güvenleri'ni seçin.

  3. Eylemler'in altında Bağlı Olan Taraf Güveni Ekle'yi seçin.

  4. Bağlı Olan Taraf Güveni Ekle sihirbazında Talep kullanan'ı ve ardından Başlat'ı seçin.

  5. Veri Kaynağı Seç bölümünde Bağlı olan tarafla ilgili verileri el ile girin'i ve ardından İleri'yi seçin.

  6. Görünen Ad Belirtin sayfasında Görünen ad alanına bir ad yazın. İsteğe bağlı olarak Bu bağlı olan taraf güveni için Notlar bölümüne bir açıklama girebilirsiniz. İleri'yi seçin.

  7. İsteğe bağlı olarak, Sertifikayı Yapılandır sayfasında, belirteç şifreleme sertifikanız varsa, bir sertifika dosyasını bulmak için Gözat'ı seçin. İleri'yi seçin.

  8. URL'yi Yapılandır sayfasında WS-Federasyon Pasif protokolü desteğini etkinleştir onay kutusunu seçin. Bağlı olan taraf WS-Federasyon Pasif protokolü URL'si altında aşağıdaki URL'yi girin:https://login.microsoftonline.com/login.srf

  9. İleri'yi seçin.

  10. Tanımlayıcıları Yapılandır sayfasında aşağıdaki URL'leri girin ve Ekle'yi seçin. İkinci URL'de hizmet ortağının Microsoft Entra kiracısının kiracı kimliğini girin.

    • urn:federation:MicrosoftOnline
    • https://login.microsoftonline.com/<tenant ID>/

    Not

    Kiracı kimliğinden sonra eğik çizgi (/) eklediğinizden emin olun, örneğin: https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/.

  11. İleri'yi seçin.

  12. Erişim Denetimi İlkesi Seç sayfasında bir ilke seçin ve ardından İleri'yi seçin.

  13. Güven Eklemeye Hazır sayfasında ayarları gözden geçirin ve ardından bağlı olan taraf güven bilgilerinizi kaydetmek için İleri'yi seçin.

  14. Son sayfasında Kapat'ı seçin. Bağlı Olan Taraf Güveni'ni seçin ve Talep Verme İlkesini Düzenle'yi seçin.

Talep kuralları oluşturma

  1. Yeni oluşturduğunuz Bağlı Olan Taraf Güveni'ni ve ardından Talep Verme İlkesini Düzenle'yi seçin.

  2. Kural ekle'yi seçin.

  3. LDAP Özniteliklerini Talep Olarak Gönder'i ve ardından İleri'yi seçin.

  4. Talep Kuralını Yapılandır bölümünde aşağıdaki değerleri belirtin:

    • Talep kuralı adı: E-posta talep kuralı
    • Öznitelik deposu: Active Directory
    • LDAP Özniteliği: E-Posta Adresleri
    • Giden Talep Türü: E-posta Adresi
  5. Bitir'i seçin.

  6. Aynı Talep Kurallarını Düzenle sihirbazında Kural Ekle'yi seçin.

  7. Özel Kural Kullanarak Talep Gönder'i ve ardından İleri'yi seçin.

  8. Talep Kuralını Yapılandır bölümünde aşağıdaki değerleri belirtin:

    • Talep kuralı adı: Sabit kimlik sorunu
    • Özel kural: c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), query = "samAccountName={0};objectGUID;{1}", param = regexreplace(c.Value, "(?<domain>[^\\]+)\\(?<user>.+)", "${user}"), param = c.Value);
  9. Bitir'i seçin.

  10. Tamam'ı seçin. AD FS sunucusu artık WS-Fed kullanılarak federasyon için yapılandırıldı.

Sonraki adımlar

Ardından Azure portalında veya Microsoft Graph API'sini kullanarak Microsoft Entra Dış Kimlik SAML/WS-Fed IdP federasyonu yapılandıracaksınız.