Koble til Microsoft Entra ID med SAML 2.0

Koble FoxIDs som en ekstern identitetsleverandør for Microsoft Entra ID med SAML 2.0.

Ved å konfigurere en OpenID Connect autentiseringsmetode og Microsoft Entra ID som en SAML 2.0 applikasjon blir FoxIDs en bro mellom OpenID Connect og SAML 2.0 og konverterer automatisk JWT (OAuth 2.0) krav til SAML 2.0 krav.

Konfigurer Microsoft Entra ID

Denne veiledningen beskriver hvordan du setter opp FoxIDs som en ekstern identitetsleverandør for Microsoft Entra ID. Brukere kobles til Microsoft Entra ID brukere med Immutable ID.

1 - Start med å konfigurere et sertifikat i FoxIDs Control Client

Du må laste opp SAML 2.0 signeringssertifikatet som brukes i FoxIDs til Microsoft Entra ID. Derfor er det nødvendig å bruke et langvarig sertifikat i FoxIDs, f.eks. gyldig i 3 år.

  1. Velg fanen Certificates
  2. Klikk Change Container type Endre sertifikat container type i FoxIDs
  3. Finn Self-signed or your certificate og klikk Change to this container type
  4. Det selvsignerte sertifikatet er gyldig i 3 år, og du kan valgfritt laste opp ditt eget sertifikat Endre sertifikat i FoxIDs

2 - Opprett deretter en SAML 2.0 applikasjon i FoxIDs Control Client

  1. Velg fanen Applications
  2. Klikk New application
  3. Klikk Web application (SAML 2.0)
  4. Legg til Name f.eks. Microsoft Entra ID
  5. Sett Application issuer til urn:federation:MicrosoftOnline
  6. Sett Assertion consumer service (ACS) URL til https://login.microsoftonline.com/login.srf Legg til issuer og ACS i FoxIDs
  7. Klikk Create
  8. Klikk Change application for å åpne applikasjonen i redigeringsmodus
  9. Klikk Show advanced
  10. Sett Authn request binding til Post
  11. Sett NameID format til urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
  12. Sett Optional logged out URL og Optional single logout URL til https://login.microsoftonline.com/login.srf Sett binding, NameID format og logout URL-er i FoxIDs
  13. Sett Authn response sign type til Sign assertion Signer assertion
  14. Gå til toppen av applikasjonen, finn seksjonen Application information og klikk Show more
    • Kopier IdP Issuer
    • Kopier Single Sign-On URL
    • Kopier Single Logout URL
    • Kopier IdP Signing Certificate i Base64 format
  15. Velg fanen Claims Transform
  16. Klikk Add claim transform og klikk Map for å legge til et NameID krav med brukerens Immutable ID som samsvarer med Microsoft Entra ID brukerens Immutable ID.
  17. Sett New claim til http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier - som er NameID krav URI
  18. Sett Select claim til http://schemas.foxids.com/ws/identity/claims/immutableid
  19. Klikk Update

Du må sette brukerens Immutable ID som et krav i FoxIDs.
For å sette Immutable ID på en intern bruker, velg fanen Users og deretter fanen Internal Users, finn brukeren og legg til et krav med kravtypen immutable_id og verdien av Immutable ID i Microsoft Entra ID - den skal være base64 kodet.
Kravtypen immutable_id er tilordnet SAML 2.0 krav URI http://schemas.foxids.com/ws/identity/claims/immutableid i FoxIDs.

3 - Konfigurer deretter domeneføderasjon i Microsoft Entra ID med PowerShell

Det er ikke mulig å konfigurere en ekstern SAML 2.0 identitetsleverandør i Microsoft Entra ID Portalen. Du må bruke PowerShell.

  1. Åpne PowerShell som administrator
  2. Installer Microsoft Graph PowerShell modulen hvis den ikke er installert: Install-Module -Name Microsoft.Graph og velg A
    • Valgfritt, installer for gjeldende bruker: Install-Module Microsoft.Graph -Scope CurrentUser -Force
    • Eller oppdater modulen: Update-Module -Name Microsoft.Graph og velg A
  3. Koble til Microsoft Graph: 
    Connect-MgGraph -Scopes "Domain.ReadWrite.All,Directory.AccessAsUser.All"
  4. Sett opp konfigurasjonsvariablene: 
    $domainName = "your-domain.com" # Domenenavnet som skal konfigureres for federasjon
$idpIssuer = "copied IdP Issuer from FoxIDs"
$ssoUrl = "copied Single Sign-On URL from FoxIDs"
$sloUrl = "copied Single Logout URL from FoxIDs"
$signingCertBase64 = @"
-----BEGIN CERTIFICATE-----
copied IdP Signing Certificate from FoxIDs
-----END CERTIFICATE-----
"@
  5. Konfigurer domeneføderasjon: 
    New-MgDomainFederationConfiguration -DomainId $domainName `
  -IssuerUri $idpIssuer `
  -PassiveSignInUri $ssoUrl `
  -SignOutUri $sloUrl `
  -SigningCertificate $signingCertBase64 `
  -PreferredAuthenticationProtocol "saml" `
  -FederatedIdpMfaBehavior "acceptIfMfaDoneByFederatedIdp"
    FederatedIdpMfaBehavior kan settes til:
    • acceptIfMfaDoneByFederatedIdp - Entra aksepterer MFA fra FoxIDs; hvis FoxIDs ikke gjorde MFA, vil Entra gjøre det.
    • enforceMfaByFederatedIdp - Hvis en policy krever MFA, vil Entra sende brukeren tilbake til FoxIDs for å fullføre MFA.
    • rejectMfaByFederatedIdp - Entra gjør alltid MFA selv; MFA i FoxIDs ignoreres.
  6. Valider konfigurasjonen: 
    Get-MgDomainFederationConfiguration -DomainId $domainName
# or
Get-MgDomain -DomainId $domainName | fl Id, AuthenticationType

4a - Konfigurer deretter brukerens Immutable ID i Microsoft Entra ID med PowerShell

  1. Åpne PowerShell som administrator
  2. Installer Microsoft Graph PowerShell modulen hvis den ikke er installert: Install-Module -Name Microsoft.Graph og velg A
    • Valgfritt, installer for gjeldende bruker: Install-Module Microsoft.Graph -Scope CurrentUser -Force
    • Eller oppdater modulen: Update-Module -Name Microsoft.Graph og velg A
  3. Koble til Microsoft Graph: Connect-MgGraph -Scopes "Domain.ReadWrite.All"
  4. Sett opp konfigurasjonsvariablene: 
    $userId = "user-id@my-domain.com" # Brukerens User Principal Name (UPN) eller Object ID
$immutableId = "immutable-id" # Brukerens Immutable ID - base64 kodet.
  5. Konfigurer brukerens Immutable ID: 
    Set-MgUser -UserId $userId -OnPremisesImmutableId $immutableId
  6. Valider konfigurasjonen: 
    Get-MgUser -UserId $userId | fl Id, OnPremisesImmutableId

Hvis brukeren allerede har en Immutable ID satt, må du flytte brukeren bort fra det fødererte domenet, sette Immutable ID, og deretter flytte brukeren tilbake til det fødererte domenet.

  1. Flytt brukeren til et ikke-føderert domene: 
    $userId = "user-id@my-domain.com"
$userIdTemp = "user-id@yourtenant.onmicrosoft.com"
Update-MgUser -UserId $userId -UserPrincipalName $userIdTemp
  2. Sett brukerens nye Immutable ID: 
    $immutableId = "immutable-id" # Brukerens Immutable ID - base64 kodet.
Set-MgUser -UserId $userIdTemp -OnPremisesImmutableId $immutableId
  3. Flytt brukeren tilbake til det fødererte domenet: 
    Update-MgUser -UserId $userIdTemp -UserPrincipalName $userId

4b - Eller alternativt konfigurer brukerens Immutable ID i Microsoft Entra ID med Graph API

  1. Hent et access token for Microsoft Graph API med nødvendige scopes.
  2. Gjør en PATCH forespørsel til /users/{id | userPrincipalName} endepunktet med følgende JSON body: 
    {
  "onPremisesImmutableId": "immutable-id"
}
    Erstatt immutable-id med ønsket Immutable ID verdi som samsvarer med NameID kravet sendt fra FoxIDs.
  3. Valider konfigurasjonen ved å gjøre en GET forespørsel til /users/{id | userPrincipalName} endepunktet og sjekke onPremisesImmutableId egenskapen i responsen.

Hvis brukeren allerede har en Immutable ID satt, må du flytte brukeren bort fra det fødererte domenet, sette Immutable ID, og deretter flytte brukeren tilbake til det fødererte domenet.

  1. Gjør en PATCH forespørsel til /users/{id | userPrincipalName} endepunktet for å endre userPrincipalName til et ikke-føderert domene.
  2. Gjør en PATCH forespørsel for å sette ny Immutable ID.
  3. Gjør en PATCH forespørsel for å endre userPrincipalName tilbake til det fødererte domenet.
  4. Valider konfigurasjonen ved å gjøre en GET forespørsel til /users/{id | userPrincipalName} endepunktet og sjekke onPremisesImmutableId egenskapen i responsen.

Ditt personvern

Vi bruker cookies for å gjøre opplevelsen av nettstedene våre bedre. Klikk på 'Godta alle cookies' for å samtykke til bruk av cookies. For å reservere deg mot ikke-nødvendige cookies, klikk på 'Kun nødvendige cookies'.

Besøk vår personvernerklæring for mer