Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: 
Arbeitsgruppenmandanten Externe Mandanten (weitere Informationen)
In Microsoft Entra für die Belegschaft und externe Mandanten können Sie eine Föderation mit anderen Organisationen einrichten, die einen SAML- oder WS-Fed-Identitätsanbieter (IdP) verwenden. Benutzer aus der externen Organisation können dann ihre eigenen idP-verwalteten Konten verwenden, um sich bei Ihren Apps oder Ressourcen anzumelden, entweder während der Einladungseinlösung oder der Self-Service-Registrierung, ohne neue Microsoft Entra-Anmeldeinformationen erstellen zu müssen. Der Benutzer wird beim Registrieren oder Anmelden bei Ihrer App zu ihrem IdP umgeleitet und nach der erfolgreichen Anmeldung an Microsoft Entra zurückgegeben.
Sie können mehrere Domänen einer einzelnen Verbundkonfiguration zuordnen. Die Domäne des Partners kann entweder von Microsoft Entra überprüft oder nicht überprüft werden.
Das Einrichten des Verbunds von SAML- bzw. WS-Verbund-Identitätsanbietern erfordert eine Konfiguration in Ihrem Mandanten und im Identitätsanbieter der externen Organisation. In einigen Fällen muss der Partner seine DNS-Texteinträge aktualisieren. Diese müssen ihren Identitätsanbieter ebenfalls mit den erforderlichen Ansprüchen und Vertrauensstellungen der vertrauenden Seite aktualisieren.
Benutzerauthentifizierung mit SAML/WS-Fed IdP-Partnerverbund
Nachdem Sie den Partnerverbund mit dem SAML/WS-Fed IdP eines Partners eingerichtet haben, können sich Benutzer registrieren oder sich anmelden, indem Sie die Option " Anmelden mit " oder "Anmelden mit " auswählen. Sie werden an den Identitätsanbieter umgeleitet und dann nach der erfolgreichen Anmeldung an Microsoft Entra zurückgegeben.
Für externe Mandanten muss die Anmelde-E-Mail eines Benutzers nicht mit den vordefinierten Domänen übereinstimmen, die während des SAML-Verbunds eingerichtet wurden. Wenn ein Benutzer kein Konto in Ihrem externen Mandanten hat und auf der Anmeldeseite eine E-Mail-Adresse eingibt, die einer vordefinierten Domäne in einem der externen Identitätsanbieter entspricht, wird er zur Authentifizierung bei diesem Identitätsanbieter umgeleitet.
Überprüfte und nicht überprüfte Domänen
Die Anmeldeerfahrung eines Benutzers hängt davon ab, ob die Domäne des Partners Microsoft Entra überprüft wurde.
Nicht überprüfte Domänen sind Domänen , die in der Microsoft Entra-ID nicht DNS überprüft werden. Nach der Föderation können sich Benutzer mit ihren Anmeldeinformationen aus der nicht überprüften Domäne anmelden.
Nicht verwaltete (per E-Mail überprüfte oder "virale") Mandanten werden erstellt, wenn ein Benutzer eine Einladung einlöst oder eine Self-Service-Registrierung für Microsoft Entra-ID unter Verwendung einer Domäne durchführt, die derzeit nicht vorhanden ist. Nach der Föderation können sich Benutzer mit ihren Anmeldeinformationen aus dem nicht verwalteten Mandanten anmelden.
Überprüfte Microsoft Entra-ID-Domänen sind Domänen, die DNS-überprüft wurden mit Microsoft Entra, einschließlich Domänen, in denen der Mandant eine Administratorübernahme durchlaufen hat. Nach der Föderation:
- Für die Self-Service-Registrierung können Benutzer ihre eigenen Domänenanmeldeinformationen verwenden.
- Für die Einlösung von Einladungen bleibt die Microsoft Entra-ID der primäre IdP. In einem Mitarbeitermandanten können Sie den Verbund-IDP für die Einladungseinlösung priorisieren, indem Sie die Einlösungsreihenfolge ändern.
Hinweis
Das Ändern der Einlösungsbestellung wird derzeit nicht in externen Mandanten oder in cloudübergreifenden Clouds unterstützt.
Auswirkungen des Partnerverbunds auf aktuelle externe Benutzer
Wenn ein externer Benutzer bereits eine Einladung eingelöst oder die Self-Service-Registrierung verwendet hat, ändert sich die Authentifizierungsmethode beim Einrichten des Verbunds nicht. Sie verwenden weiterhin ihre ursprüngliche Authentifizierungsmethode (z. B. Einmalpasswort). Selbst wenn ein Benutzer aus einer nicht überprüften Domäne einen Partnerverbund verwendet und seine Organisation später zu Microsoft Entra wechselt, wird der Partnerverbund weiterhin verwendet.
Für die B2B-Zusammenarbeit in einem Mitarbeiterverzeichnis müssen Sie keine neuen Einladungen an vorhandene Benutzer senden, da sie ihre bestehende Anmeldemethode weiterhin verwenden. Sie können jedoch den Einlösungsstatus eines Benutzers zurücksetzen. Wenn der Benutzer das nächste Mal auf Ihre App zugreift, wiederholt er die Einlösungsschritte und kann zum Partnerverbund wechseln.
Anmeldeendpunkte in Mitarbeitermandanten
Wenn der Verbund in Ihrem Mitarbeitermandanten eingerichtet ist, können sich Benutzende aus der verbundenen Organisation bei Ihren Apps mit mehreren Instanzen oder Erstanbieter-Apps von Microsoft anmelden, indem sie einen gemeinsamen Endpunkt verwenden. Dabei handelt es sich um eine allgemeine App-URL, die nicht den Kontext Ihres Mandanten enthält. Während des Anmeldevorgangs wählt der Benutzer Anmeldeoptionenaus und wählt dann Anmeldung bei einer Organisationaus. Sie geben den Namen Ihrer Organisation ein und melden sich weiterhin mit ihren eigenen Anmeldeinformationen an.
SAML/WS-Fed IdP-Partnerverbundbenutzer können auch Anwendungsendpunkte verwenden, die Ihre Mandanteninformationen enthalten, z. B.:
https://myapps.microsoft.com/?tenantid=<your tenant ID>https://myapps.microsoft.com/<your verified ___domain>.onmicrosoft.comhttps://portal.azure.com/<your tenant ID>
Sie können Benutzern auch einen direkten Link zu einer Anwendung oder Ressource bereitstellen, indem Sie Ihre Mandanteninformationen einbeziehen, z. B. https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>.
Wichtige Überlegungen für SAML/WS-Fed-Partnerverbund
Anforderungen an den Partneridentitätsanbieter
Das Einrichten des Verbunds von SAML- bzw. WS-Verbund-Identitätsanbietern erfordert eine Konfiguration in Ihrem Mandanten und im Identitätsanbieter der externen Organisation. Je nach seinem IdP muss der Partner möglicherweise seine DNS-Einträge aktualisieren, um einen Verbund mit Ihnen zu aktivieren. Siehe Schritt 1: Ermitteln, ob der Partner seine DNS-Texteinträgeaktualisieren muss.
Der Partner muss seinen IdP mit den erforderlichen Ansprüchen und Vertrauensstellungen der vertrauenden Seite aktualisieren. Die Aussteller-URL in der SAML-Anforderung, die von Microsoft Entra-ID für externe Partnerverbunde gesendet wird, ist jetzt ein Mandantenendpunkt, während es sich zuvor um einen globalen Endpunkt handelte. Vorhandene Föderationen mit dem globalen Endpunkt funktionieren weiterhin. Legen Sie bei neuen Verbunden jedoch die Zielgruppe der externen SAML- oder WS-Verbund-Identitätsanbieter auf einen Mandantenendpunkt fest. Informationen den zu erforderlichen Attributen und Ansprüchen finden Sie in den Abschnitten SAML 2.0 und WS-Verbund.
Ablauf des Signaturzertifikats
Wenn Sie die Metadaten-URL in den Identitätsanbietereinstellungen angeben, verlängert Microsoft Entra ID das Signaturzertifikat automatisch, wenn es abläuft. Wenn das Zertifikat jedoch aus irgendeinem Grund vor der Ablaufzeit rotiert wird oder wenn Sie keine Metadaten-URL bereitstellen, kann Microsoft Entra ID es nicht verlängern. In diesem Fall müssen Sie das Signaturzertifikat manuell aktualisieren.
Sitzungsablauf
Wenn die Microsoft Entra-Sitzung abläuft oder ungültig wird und der Verbund-IdP SSO aktiviert hat, erlebt der Benutzer SSO. Wenn die Sitzung des Verbundbenutzers/der Verbundbenutzerin gültig ist, wird er/sie nicht aufgefordert, sich erneut anzumelden. Andernfalls wird der Benutzer/die Benutzerin für die Anmeldung an seinen Identitätsanbieter umgeleitet.
Teilweise synchronisierter Mandant
Der Verbund behebt keine Anmeldeprobleme, die durch einen teilweise synchronisierten Mandanten verursacht werden, bei dem die lokalen Benutzeridentitäten eines Partners in der Cloud nicht vollständig mit Microsoft Entra synchronisiert werden. Diese Benutzer können sich nicht mit einer B2B-Einladung anmelden, daher müssen sie stattdessen die E-Mail-Einmal-Passwort--Funktion verwenden. Das Verbundfeature für SAML- bzw. WS-Verbund-Identitätsanbieter richtet sich an Partner mit eigenen von Identitätsanbietern verwalteten Organisationskonten, jedoch ohne Microsoft Entra.
B2B-Gastkonten
Der Verbund ersetzt nicht die Notwendigkeit von B2B-Gastkonten in Ihrem Verzeichnis. Bei der B2B-Zusammenarbeit wird unabhängig von der verwendeten Authentifizierung oder Verbundmethode ein Gastkonto für den Benutzer in Ihrem Mitarbeitermandantenverzeichnis erstellt. Mithilfe dieses Benutzerobjekts können Sie Zugriff auf Anwendungen gewähren, Rollen zuweisen und die Mitgliedschaft in Sicherheitsgruppen definieren.
Signierte Authentifizierungstoken
Derzeit unterstützt das Microsoft Entra-SAML/WS-Fed-Verbundfeature das Senden eines signierten Authentifizierungstokens an den SAML-Identitätsanbieter nicht.
Nächste Schritte
Hinzufügen eines Partnerverbunds mit einem SAML/WS-Fed Identitätsanbieter