Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: 
Inquilinos laborales Inquilinos externos (obtén más información)
El inquilino de Microsoft Entra se puede federar directamente con organizaciones externas que usan un proveedor de identidades (IdP) de SAML o WS-Fed. Los usuarios de la organización externa pueden usar sus propias cuentas administradas por IdP para iniciar sesión en sus aplicaciones o recursos, ya sea durante el canje de invitación o el registro de autoservicio, sin tener que crear nuevas credenciales de Microsoft Entra. El usuario se redirige a su IdP al registrarse o iniciar sesión en la aplicación y, a continuación, se devuelve a Microsoft Entra una vez que inicie sesión correctamente.
Prerrequisitos
- Revise las consideraciones de configuración en los proveedores de identidad SAML/WS-Fed.
- Un inquilino de recursos o un inquilinoexterno.
Nota:
El valor del emisor del IdP debe ser un URI válido después del formato RFC 3986 (por ejemplo, https://testdev.example.com o http://www.example.com/exk10l6w90DHM0yi). El portal no admite valores de palabra única o que no son URI (por ejemplo, testdev).
Esto se alinea con los patrones de identificadores seguros de Microsoft Entra ID, tal como se documenta en Restricciones sobre los URI de identificador. En el caso de los IDP de SAML, el emisor debe identificar de forma única el proveedor como un URI, según los estándares SAML 2.0 y las reglas de validación de Microsoft Entra.
Cómo configurar la federación de IdP de SAML/WS-Fed
Paso 1: Determinación de si el asociado necesita actualizar sus registros de texto DNS
Siga estos pasos para determinar si el asociado necesita actualizar sus registros DNS para habilitar la federación con usted.
Compruebe la dirección URL de autenticación pasiva del IdP del asociado para ver si el dominio coincide con el dominio de destino o un host dentro del dominio de destino. Es decir, al configurar la federación para
fabrikam.com:- Si el punto de conexión de autenticación pasiva es
https://fabrikam.comohttps://sts.fabrikam.com/adfs(un host del mismo dominio), no se necesita ningún cambio de DNS. - Si el punto de conexión de autenticación pasiva es
https://fabrikamconglomerate.com/adfsohttps://fabrikam.co.uk/adfs, el dominio no coincide con el dominio fabrikam.com, por lo que el asociado tiene que agregar un registro de texto para la dirección URL de autenticación a su configuración DNS.
- Si el punto de conexión de autenticación pasiva es
Si se necesitan cambios de DNS en función del paso anterior, pida al asociado que agregue un registro TXT a los registros DNS de su dominio, como en el ejemplo siguiente:
fabrikam.com. IN TXT DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs
Paso 2: Configura el IdP de la organización asociada
A continuación, la organización asociada debe configurar su proveedor de identidades con las notificaciones necesarias y las confianzas de los usuarios de confianza. Para que la federación funcione correctamente, Id. externa de Microsoft Entra requiere que el IdP externo envíe determinados atributos y notificaciones, que se deben configurar en el IdP externo.
Nota:
Para ilustrar cómo configurar un IDP de SAML oWS-Fed para la federación, usamos los Servicios de federación de Active Directory (AD FS) como ejemplo. Vea el artículo Configure SAML/WS-Fed IdP Federation with AD FS, que da ejemplos de cómo configurar AD FS como un proveedor de identidad (IdP) de SAML 2.0 o WS-Fed en preparación para la federación.
Para configurar un proveedor de identidades de SAML 2.0
Id. externa de Microsoft Entra requiere la respuesta SAML 2.0 del IdP externo para incluir atributos y notificaciones específicos. Los atributos y reclamaciones necesarios se pueden configurar en el IdP externo mediante:
- Vinculación al archivo XML del servicio de token de seguridad en línea o
- Escribir manualmente los valores
Consulte las tablas siguientes para conocer los valores necesarios.
Nota:
Asegúrese de que el valor coincide con la nube para la que está configurando la federación externa.
Tabla 1. Atributos necesarios para la respuesta SAML 2.0 del IdP.
| Atributo | Valor de un inquilino de recursos | Valor de un inquilino externo |
|---|---|---|
| AssertionConsumerService | https://login.microsoftonline.com/login.srf |
https://<tenantID>.ciamlogin.com/login.srf Agregue https://<tenantID>.ciamlogin.com/login.srf como URL callback/ACS en el IdP externo si lo requiere ese proveedor. |
| Público |
https://login.microsoftonline.com/<tenant ID>/ (Recomendado) Reemplace <tenant ID> por el identificador del inquilino de Microsoft Entra con el que va a configurar la federación.En la solicitud SAML enviada por Microsoft Entra ID para las federaciones externas, la dirección URL del emisor es un punto de conexión con inquilinos (por ejemplo, https://login.microsoftonline.com/<tenant ID>/). En el caso de las nuevas federaciones, se recomienda que todos nuestros asociados establezcan la audiencia del IdP basado en SAML o WS-Fed en un punto de conexión con inquilinos. Cualquier federación existente configurada con el punto de conexión global (por ejemplo, urn:federation:MicrosoftOnline) sigue funcionando, pero las nuevas federaciones dejan de funcionar si el IdP externo espera una URL del emisor global en la solicitud SAML enviada por Microsoft Entra ID. |
https://login.microsoftonline.com/<tenant ID>/Reemplace <tenant ID> por el identificador del inquilino de Microsoft Entra con el que va a configurar la federación. |
| Emisor | El URI del emisor del IdP del asociado, por ejemplo http://www.example.com/exk10l6w90DHM0yi... |
El URI del emisor del IdP del asociado, por ejemplo http://www.example.com/exk10l6w90DHM0yi... |
Tabla 2. Declaraciones necesarias para el token SAML 2.0 emitido por el IdP.
| Nombre del atributo | Valor |
|---|---|
| Formato de NameID | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
La dirección de correo electrónico del usuario |
Para configurar un proveedor de identidades WS-Fed
El ID externo de Microsoft Entra requiere que el mensaje WS-Fed del IdP externo incluya atributos y reclamaciones específicos. Los atributos y reclamaciones necesarios se pueden configurar en el IdP externo mediante:
- Vinculación al archivo XML del servicio de token de seguridad en línea o
- Escribir manualmente los valores
Nota:
Actualmente, los dos proveedores de WS-Fed que se han probado para la compatibilidad con el id. de Microsoft Entra son AD FS y Shibboleth.
Atributos y notificaciones de WS-Fed necesarios
En las tablas siguientes se muestran los requisitos de los atributos y las notificaciones específicos que se deben configurar en el proveedor de identidades de terceros que usa WS-Fed. Para configurar la federación, se deben recibir los siguientes atributos en el mensaje de WS-Fed del IdP. Estos atributos se pueden configurar mediante la vinculación con el archivo XML del servicio de token de seguridad en línea o la introducción manual.
Consulte las tablas siguientes para conocer los valores necesarios.
Nota:
Asegúrese de que el valor coincide con la nube para la que está configurando la federación externa.
Tabla 3. Atributos necesarios en el mensaje WS-Fed del IdP.
| Atributo | Valor de un inquilino de recursos | Valor de un inquilino externo |
|---|---|---|
| PassiveRequestorEndpoint | https://login.microsoftonline.com/login.srf |
https://<tenantID>.ciamlogin.com/login.srf |
| Público |
https://login.microsoftonline.com/<tenant ID>/ (Recomendado) Reemplace <tenant ID> por el identificador del inquilino de Microsoft Entra con el que va a configurar la federación.En la solicitud SAML enviada por Microsoft Entra ID para las federaciones externas, la dirección URL del emisor es un punto de conexión con inquilinos (por ejemplo, https://login.microsoftonline.com/<tenant ID>/). En el caso de las nuevas federaciones, se recomienda que todos nuestros asociados establezcan la audiencia del IdP basado en SAML o WS-Fed en un punto de conexión con inquilinos. Cualquier federación existente configurada con el punto de conexión global (por ejemplo, urn:federation:MicrosoftOnline) sigue funcionando, pero las nuevas federaciones dejan de funcionar si el IdP externo espera una URL del emisor global en la solicitud SAML enviada por Microsoft Entra ID. |
https://login.microsoftonline.com/<tenant ID>/ Reemplace <tenant ID> por el identificador del inquilino de Microsoft Entra con el que va a configurar la federación. |
| Emisor | El URI del emisor del IdP del asociado, por ejemplo http://www.example.com/exk10l6w90DHM0yi... |
El URI del emisor del IdP del asociado, por ejemplo http://www.example.com/exk10l6w90DHM0yi... |
Tabla 4. Las notificaciones necesarias para el token de WS-Fed emitido por el proveedor de identidades.
| Atributo | Valor |
|---|---|
| ImmutableID | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
| dirección de correo electrónico | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Paso 3: Configurar la federación de IdP SAML/WS-Fed en Id. externa de Microsoft Entra
A continuación, configure la federación con el IdP configurado en el paso 1 en Id. externa de Microsoft Entra. Usted puede utilizar el centro de administración de Microsoft Entra o la Microsoft Graph API. Pueden pasar de 5 a 10 minutos antes de que la directiva de la federación entre en vigor. Durante este tiempo, no intente completar el registro de autoservicio ni canjee una invitación para el dominio de federación. Los atributos siguientes son necesarios:
- URI del emisor del IdP del asociado
- Punto final de autenticación pasiva del IdP de socio (solo se admite https)
- Certificado
Para agregar el IdP al inquilino en el Centro de administración de Microsoft Entra
Inicie sesión en el centro de administración de Microsoft Entra como Administrador del proveedor de identidades externo como mínimo.
Si tiene acceso a varios inquilinos, use el icono
Configuración del menú superior para cambiar al inquilino desde el menú Directorios.Vaya a Microsoft Entra ID>Identidades externas>Todos los proveedores de identidades.
Seleccione la pestaña Personalizado y, a continuación, seleccione Agregar>SAML/WS-Fed.
En la página Nuevo IdP de SAML/WS-Fed, escriba lo siguiente:
- Nombre para mostrar: escriba un nombre para ayudarle a identificar el IdP del asociado.
- Protocolo del proveedor de identidades: seleccione SAML o WS-Fed.
- Sin dominio : al seleccionar Sin dominio , no se aplica ninguna comprobación de dominio de la dirección de correo electrónico del usuario. Para obtener más información, consulte Federación de IdP de SAML sin dominio.
- Nombre de dominio del IdP de federación: escriba el nombre de dominio de destino del IdP del asociado para la federación. Durante esta configuración inicial, escriba solo un nombre de dominio. Puede agregar más dominios más tarde.
Seleccione un método para rellenar los metadatos. Si tiene un archivo que contiene los metadatos, puede rellenar automáticamente los campos seleccionando Analizar el archivo de metadatos y navegando hasta el archivo. O bien, puede seleccionar Introducir metadatos manualmente y escribir la siguiente información:
- El Identificador URI del emisor del IdP de SAML del asociado o el Id. de entidad del IdP de WS-Fed del asociado.
- El Punto de conexión de autenticación pasiva del IdP de SAML del asociado o el Punto de conexión del solicitante pasivo del IdP de WS-Fed del asociado.
- Certificado: identificador de certificado de firma.
- Dirección URL de metadatos: la ubicación de los metadatos del IdP para la renovación automática del certificado de firma.
Nota:
La dirección URL de metadatos es opcional. Sin embargo, se recomienda encarecidamente. Si proporciona la dirección URL de metadatos, Microsoft Entra ID puede renovar automáticamente el certificado de firma cuando expire. Si el certificado rota por cualquier razón antes de expirar o si no proporciona una dirección URL de metadatos, Microsoft Entra ID no puede renovarlo. En este caso, deberá actualizar manualmente el certificado de firma.
Seleccione Guardar. El proveedor de identidades se agrega a la lista de proveedores de identidades de SAML/WS-Fed.
(Opcional) Para agregar más nombres de dominio a este proveedor de identidades de federación:
Seleccione el vínculo en la columna Dominios.
Junto a Nombre de dominio del IdP de federación, escriba el nombre de dominio y, a continuación, seleccione Agregar. Repita para cada dominio que quiera agregar. Cuando haya finalizado, seleccione Listo.
Para configurar la federación mediante Microsoft Graph API
Puede usar el tipo de recurso samlOrWsFedExternalDomainFederation de Microsoft Graph API para configurar la federación con un proveedor de identidades que admita el protocolo SAML o WS-Fed.
Paso 4: Configurar el orden de canje (colaboración B2B en inquilinos de recursos)
Si va a configurar la federación en el inquilino del personal para la colaboración B2B con un dominio comprobado, asegúrese de que el IdP federado se usa primero durante el canje de invitación. Configure el orden de canje en la configuración de acceso entre inquilinos para la colaboración B2B entrante. Mueva los proveedores de identidades de SAML/WS-Fed a la parte superior de la lista de proveedores de identidades principales para priorizar el canje con el IdP federado.
Puede probar la configuración de federación invitando a un nuevo usuario invitado B2B. Para obtener más información, consulte Agregar usuarios de colaboración B2B de Microsoft Entra en el Centro de administración de Microsoft Entra.
Nota:
Puede configurar el pedido de canje de invitación mediante la API rest de Microsoft Graph (versión beta). Consulte ejemplo 2: Actualizar la configuración de canje de invitación predeterminada en la documentación de referencia de Microsoft Graph.
Federación de IdP de SAML sin dominio
La federación tradicional en Microsoft Entra ID requiere que compruebe un dominio personalizado (por ejemplo, contoso.com) y configure ese dominio para redirigir las solicitudes de autenticación a un proveedor de identidades (IdP) de SAML externo. En esta configuración, el dominio de la declaración de correo electrónico proporcionada por el IdP externo después de la autenticación se valida con respecto al dominio asociado al IdP de SAML configurado en Microsoft Entra ID.
Si el dominio de correo electrónico del usuario difiere del dominio configurado en el IdP de SAML (por ejemplo, yahoo.com o gmail.com), los usuarios pueden encontrar el siguiente error durante el inicio de sesión:
AADSTS5000819: la aserción de SAML no es válida. Falta la declaración de dirección de correo electrónico o no coincide con un dominio externo.
Normalmente, este error se produce cuando:
- El IdP de SAML externo no envía un atributo de correo electrónico, o
- El dominio de dirección de correo electrónico proporcionado por el IdP no coincide con el dominio configurado en el IdP externo en Microsoft Entra ID
Incluso cuando hay una notificación de correo electrónico, es posible que la autenticación siga produciendo un error si el dominio de correo electrónico no se alinea con el dominio idP configurado debido a los requisitos de coincidencia basados en dominios.
La federación de SAML sin dominio con un proveedor de identidades de SAML permite a los usuarios externos autenticarse en sus aplicaciones o recursos de personal mediante sus credenciales administradas por IdP, independientemente de su dominio de correo electrónico. La federación sin dominios elimina la necesidad de que haya coincidencia de dominio entre el correo electrónico del usuario y los dominios de IdP preconfigurados durante el inicio de sesión o el canje de la invitación.
Configure la federación sin dominio de IdP de SAML
Para solucionar la limitación de coincidencia de dominios, puede configurar el IdP de SAML como sin dominio. Cuando la federación sin dominio está habilitada:
- Microsoft Entra ID enruta las solicitudes de autenticación al IdP de SAML configurado en función de la asociación del URI del emisor.
- El dominio de dirección de correo electrónico del usuario no coincide con el dominio configurado para el IdP.
A continuación, los usuarios pueden autenticarse correctamente mediante direcciones de correo electrónico de cualquier dominio (por ejemplo, yahoo.com o gmail.com) al iniciar sesión con el IdP de SAML externo.
Para habilitar la federación sin dominio para un nuevo IdP de SAML, siga estos pasos:
En la página New SAML/WS-Fed IdP, seleccione Domainless. Al seleccionar Domainless , no se aplica ninguna comprobación de dominio de la dirección de correo electrónico del usuario.
Importante
Cuando se selecciona el campo Sin dominio , la federación se configura como sin dominio. Microsoft Entra ID usa el Issuer URI para hacer coincidir las solicitudes de autenticación entrantes en lugar del enrutamiento basado en dominio. Actualmente, solo se puede configurar un IdP de comodín por tenant.
Flujo de usuario para una federación de IdP de SAML sin dominio
Después de configurar la federación sin dominio, puede invitar a usuarios invitados de la organización asociada siguiendo estos pasos:
- En el Centro de administración Microsoft Entra, vaya a Identity>Users>Todos los usuarios.
- Seleccione + Nuevo usuario y elija Invitar a un usuario externo.
- Escriba la dirección de correo electrónico del usuario invitado. El dominio de correo electrónico no necesita coincidir con un dominio verificado en su tenant.
- En la dirección URL de redirección de invitación, incluya un parámetro domain_hint para asegurarse de que el usuario se enruta al IdP adecuado en función del URI del emisor configurado. El valor de domain_hint debe coincidir con el URI del emisor definido en la configuración del IdP de SAML.
- Complete y envíe la invitación.
- Cuando el usuario invitado canjea la invitación, Microsoft Entra ID enruta la solicitud de autenticación al IdP de SAML configurado mediante el URI del emisor en el parámetro
domain_hint. - El usuario se autentica con el IdP de SAML externo. El dominio de dirección de correo electrónico del usuario no coincide con el dominio configurado para el IdP y el usuario puede obtener acceso al inquilino de recursos.
- Para los inicios de sesión posteriores, el usuario puede obtener acceso directamente a la aplicación de inquilino de recursos mediante la autenticación con el IdP de SAML externo porque el objeto de usuario se actualiza con la asociación de IdP externa.
Problemas conocidos
El siguiente problema conocido se está solucionando activamente y esta sección se actualizará después de que la corrección esté disponible.
- La configuración de IdP se elimina si se escribe un nombre de dominio no válido incluso cuando no se guarda la configuración de IdP.
Actualización del certificado o los detalles de configuración
En la página Todos los proveedores de identidades, puede ver la lista de proveedores de identidades de SAML/WS-Fed configurados y sus fechas de expiración del certificado. En esta lista, puede renovar certificados y modificar otros detalles de la configuración.
Inicie sesión en el centro de administración de Microsoft Entra como Administrador del proveedor de identidades externo como mínimo.
Vaya a Microsoft Entra ID>Identidades externas>Todos los proveedores de identidades.
Seleccione la pestaña Personalizado.
Desplácese hasta un proveedor de identidades en la lista o use el cuadro de búsqueda.
Para actualizar el certificado o modificar detalles de la configuración:
- En la columna Configuración del proveedor de identidades, seleccione el vínculo Editar.
- En la página de configuración, modifique cualquiera de los detalles siguientes:
- Nombre visible: Nombre visible de la organización del socio.
- Protocolo del proveedor de identidades: seleccione SAML o WS-Fed.
- Punto de conexión de autenticación pasiva: el punto de conexión del solicitante pasivo del IdP del asociado.
- Certificado: el identificador del certificado de firma. Para renovarlo, escriba un nuevo identificador de certificado.
- Dirección URL de metadatos: la dirección URL que contiene los metadatos del asociado, que se usa para la renovación automática del certificado de firma.
- Seleccione Guardar.
Para editar los dominios vinculados al asociado, seleccione el vínculo de la columna Dominios. En el panel de detalles del dominio:
- Para agregar un dominio, escriba el nombre de dominio junto a Nombre de dominio del IdP de federación y, a continuación, seleccione Agregar. Repita para cada dominio que quiera agregar.
- Para eliminar un dominio, seleccione el icono para eliminar situado junto al dominio.
- Cuando haya finalizado, seleccione Listo.
Para cambiar a la federación sin dominio, active la casilla Domainless (Sin dominio ) y, a continuación, seleccione Listo.
Nota:
Para quitar la federación con un asociado, elimine primero todos los dominios excepto uno y, a continuación, siga los pasos de la sección siguiente.
Cómo eliminar la federación
Puede eliminar la configuración de la federación. Si lo hace, los usuarios invitados de federación que ya canjearon sus invitaciones no podrán iniciar sesión. Sin embargo, puede concederles acceso de nuevo a sus recursos al restablecer el estado de canje. Para quitar una configuración de un IdP en el Centro de administración de Microsoft Entra:
Inicie sesión en el centro de administración de Microsoft Entra como Administrador del proveedor de identidades externo como mínimo.
Vaya a Microsoft Entra ID>Identidades externas>Todos los proveedores de identidades.
Seleccione la pestaña Personalizado y desplácese hasta el proveedor de identidades de la lista o use el cuadro de búsqueda.
Seleccione el vínculo de la columna Dominios para ver los detalles del dominio del IdP.
Elimine todos los dominios menos uno de la lista Nombre de dominio.
Seleccione Eliminar configuración y, a continuación, seleccione Listo.
Seleccione Aceptar para confirmar la eliminación.
También puede eliminar la federación mediante el tipo de recurso samlOrWsFedExternalDomainFederation de Microsoft Graph API.
Pasos siguientes
- Inquilinos externos:agregue el proveedor de identidades SAML/WS-Fed a un flujo de usuario.
- Inquilinos de recursos: obtenga más información sobre la experiencia de canje de invitación cuando los usuarios externos inician sesión con varios proveedores de identidades.