在 Microsoft Entra 员工租户中,可以与其他使用 SAML 或 WS-Fed 标识提供者(IdP)的组织建立联合。 然后,外部组织中的用户可以使用自己的 IdP 托管帐户在邀请兑换期间登录到应用或资源,而无需创建新的Microsoft Entra 凭据。 注册或登录应用时,用户将被重定向到其 IdP,然后在用户成功登录后返回到 Microsoft Entra。
可以将多个域与单个联合配置相关联。 合作伙伴的域名可以是经过 Microsoft Entra 验证或未验证的。
要设置 SAML/WS-Fed IdP 联合身份验证,需要同时在租户和外部组织的 IdP 中配置。 在某些情况下,合作伙伴需要更新其 DNS 文本记录。 他们还需要使用所需的声明和信赖方信任更新其 IdP。
使用 SAML/WS-Fed IdP 联合身份验证进行用户身份验证
设置与合作伙伴的 SAML/WS-Fed IdP 的联合后,用户可以通过选择“注册方式”或“登录方式”选项来进行注册或登录。 它们会重定向到标识提供者,然后在成功登录后返回到 Microsoft Entra。
对于外部租户,用户的登录电子邮件不需要与 SAML 联合身份验证期间设置的预定义域匹配。 如果用户在您的外部租户中没有帐户,并且在登录页输入的电子邮件地址与任何外部标识提供者的预定义域匹配,则会将用户重定向到该标识提供者进行身份验证。
已验证和未验证的域
用户的登录体验取决于合作伙伴的域是否通过Microsoft Entra 认证。
未经验证的域 是在 Microsoft Entra ID 中未验证 DNS 的域。 联邦化后,用户可以使用来自未验证域的凭据登录。
当用户使用当前不存在的域兑换Microsoft Entra ID 的邀请时,将创建非托管(电子邮件验证或“自然增长”)租户。 联合后,用户可以使用非托管租户中的凭据登录。
Microsoft Entra ID 验证域 是使用 Microsoft Entra 进行 DNS 验证的域,包括租户已接受管理员接管的域。 联合后:
- 对于邀请兑换,Microsoft Entra ID 仍然是主要 IdP。 在员工租户中,可以通过更改兑换顺序来确定联合 IdP 的优先级以进行邀请兑换。
注释
外部租户或云中当前不支持更改兑换顺序。
联合对当前外部用户的影响
如果外部用户已兑换邀请,则设置联合身份验证时,其身份验证方法不会更改。 他们继续使用其原始身份验证方法(例如一次性密码)。 即使来自未经验证的域的用户使用联合身份验证,并且其组织后来仍会迁移到 Microsoft Entra,他们仍使用联合身份验证。
对于员工租户中的 B2B 协作,无需向现有用户发送新邀请,因为他们继续使用其当前的登录方法。 但你可以 重置用户的兑换状态。 下次用户访问你的应用时,用户将重复兑换步骤,并可以切换到联合身份验证模式。
员工租户中的登录终结点
在员工租户中设置联合身份验证时,来自联合组织的用户可以使用 通用终结点 (换句话说,不包括租户上下文的常规应用 URL)登录到多租户或 Microsoft 第一方应用。 在登录过程中,用户选择 登录选项,然后选择 登录到组织。 他们键入组织的名称,然后使用自己的凭据继续登录。
SAML/WS-Fed IdP 联合用户也可以使用包含租户信息的应用程序终结点,例如:
https://myapplications.windowsazure.cn/?tenantid=<your tenant ID>
https://myapplications.windowsazure.cn/<your verified domain>.partner.onmschina.cn
https://portal.azure.cn/<your tenant ID>
还可以通过包括租户信息(例如 https://myapplications.windowsazure.cn/signin/X/<application ID?tenantId=<your tenant ID>
)为用户提供指向应用程序或资源的直接链接。
SAML/WS-Fed 联合身份验证的关键注意事项
合作伙伴 IdP 要求
要设置 SAML/WS-Fed IdP 联合身份验证,需要同时在租户和外部组织的 IdP 中配置。 根据合作伙伴的 IdP,合作伙伴可能需要更新其 DNS 记录以便于与你实现联合。 请参阅 步骤 1:确定合作伙伴是否需要更新其 DNS 文本记录。
合作伙伴必须使用所需的声明和信赖方信任更新其 IdP。 Microsoft 外部联合身份验证的 Entra ID 发送的 SAML 请求中的颁发者 URL 现在是租户终结点,而以前它是全局终结点。 与全局终结点的现有联合将继续工作。 但对于新的联合身份验证,请将外部 SAML 或 WS-Fed IdP 的受众设置为租户终结点。 请参阅 SAML 2.0 部分 和 WS-Fed 部分,以了解所需的属性和声明。
签名证书过期
如果在 IdP 设置中指定元数据 URL,Microsoft Entra ID 会在签名证书过期时自动续订该证书。 但是,如果出于任何原因在过期之前轮换证书,或未提供元数据 URL,Microsoft Entra ID 将无法续订该证书。 在这种情况下,你需要手动更新签名证书。
会话过期
如果 Microsoft Entra 会话过期或失效,并且联合 IdP 已启用 SSO,则用户会体验 SSO。 如果联合用户的会话有效,则不会提示用户再次登录。 否则,用户将重定向到其 IdP 进行登录。
部分同步租户
联合身份验证无法解决由部分同步租户导致的登录问题,其中合作伙伴的本地用户标识不会完全同步到云中的 Microsoft Entra。 这些用户无法使用 B2B 邀请登录,因此他们需要改用电子邮件一次性密码功能。 SAML/WS-Fed IdP 联合身份验证功能适用于拥有其自己的 IdP 托管组织帐户的合作伙伴,但没有 Microsoft Entra 状态。
B2B 来宾帐户
联合身份验证不会取代目录中 B2B 来宾帐户的需求。 使用 B2B 协作时,无论使用的身份验证或联合方法如何,都会为员工租户目录中的用户创建来宾帐户。 借助此用户对象,可以授予对应用程序的访问权限、分配角色和定义安全组中的成员身份。
已签名的身份验证令牌
目前,Microsoft Entra SAML/WS-Fed 联合功能不支持向 SAML 标识提供者发送已签名的身份验证令牌。