使用 Azure AD for Guest 和 B2B 身份进行工作区身份验证的 SAML
在阅读本文之前,您必须了解 B2B SAML 是否适合您的身份验证用例。 在决定实施此特定的特殊情况 SAML 解决方案之前,请仔细阅读用例描述和常见问题解答。 在继续之前,请确保您完全了解 B2B SAML 适用的场景以及您需要使用的身份类型。 大多数 SAML 用例可以通过遵循其他 SAML 文章并发送所有四个 cip_* 属性进行身份验证来实现。
注意:
使用 B2B SAML 会增加 Citrix Cloud 连接器的负载,因为它们必须查找每个 Workspace 最终用户登录的用户电子邮件、SID 和 OID,而不是 SAML 断言提供的这些值。 如果实际上不需要 B2B SAML,从 Citrix Cloud 连接器性能角度来看,最好在 SAML 断言中发送所有四个 cip_* 属性。
必备条件
- 专门配置用于 B2B SAML 的 SAML 应用程序,仅发送 cip_upn 进行 SAML 断言内的身份验证。
- 您的 SAML 提供商内的前端用户。
- 包含一对 Citrix Cloud 连接器的资源位置,该连接器连接到创建 AD 影子帐户的 AD 林和域。
- 使用隐式 UPN 或添加备用 UPN 后缀,并将其添加到创建 AD 影子帐户的后端 AD 林。
- 具有匹配 UPN 的后端 AD 影子帐户。
- 映射到 AD 影子帐户用户的 DaaS 或 CVAD 资源。
- 链接到同一资源位置的一个或多个 FAS 服务器。
常问问题
为什么我应该使用 B2B SAML
大型组织邀请承包商和临时雇员加入其身份平台是很常见的。 目标是使用用户的现有身份(例如承包商电子邮件地址或组织外部的电子邮件地址)授予承包商对 Citrix Workspace 的临时访问权限。 B2B SAML 允许使用发布 DaaS 资源的 AD 域中不存在的本机或来宾前端身份。
什么是 B2B SAML
通常,登录 Citrix Workspace 时,使用四个 SAML 属性 cip_* 及其对应的 AD 用户属性来对最终用户进行身份验证。 这四个 SAML 属性预计会出现在 SAML 断言中,并使用 AD 用户属性填充。 B2B SAML 指的是只需要 cip_upn SAML 属性即可成功进行身份验证。
| AD 属性 | SAML 断言中的默认属性名称 |
|---|---|
| 用户主体名称 | cip_upn |
| 邮件 | cip_email |
| objectSID | cip_sid |
| objectGUID | cip_oid |
使用加入 AD 影子帐户所在的 AD 域的 Citrix Cloud 连接器获取身份验证所需的其他三个 AD 用户属性 objectSID、objectGUID 和邮件。 在 Workspace 或 Citrix Cloud 的 SAML 登录流程中,它们不再需要包含在 SAML 断言中。
| AD 属性 | SAML 断言中的默认属性名称 |
|---|---|
| 用户主体名称 | cip_upn |
重要:
对于所有 SAML 流(包括
B2B SAML),仍然需要发送 displayName。 Workspace UI 需要 displayName 才能正确显示 Workspace 用户的全名。
什么是本机 SAML 用户身份
本地 SAML 用户是仅存在于 SAML 提供商目录中的用户身份,例如 Entra ID 或 Okta。 这些身份不包含本地用户属性,因为它们不是通过 Entra ID Connect 等 AD 同步工具创建的。 它们需要匹配 AD 后端影子帐户才能枚举和启动 DaaS 资源,本机 SAML 用户必须映射到 Active Directory 中的相应帐户。
从另一个 Entra ID 租户导入的 B2B 用户是什么
B2B 用户是 Entra ID 用户,它作为成员存在于 Entra ID 租户 1 内部,并被邀请作为访客用户加入其他 Entra ID 租户,例如 Entra ID 租户 2。 B2B SAML 应用程序在 Entra ID 租户 2 内配置,并作为 SAML IdP 连接到 Citrix Cloud。 B2B 用户需要匹配 AD 后端影子账户才能枚举和启动 DaaS 资源。 B2B 用户必须映射到 Active Directory 中相应的影子帐户。
有关 B2B 用户的详细信息以及如何邀请其他 Entra ID 租户的成员用户作为来宾用户加入您的 Entra ID 租户,请参阅 Microsoft 文档。
概述:与外部客人进行 B2B 合作,为您的员工提供更好的服务 Microsoft Entra B2B 协作用户的属性
什么是 AD 支持的 SAML 用户身份
AD 支持的 SAML 用户是存在于您的 SAML 提供商目录(如 Entra ID 或 Okta)中以及您的内部 AD 林中的用户身份。 这些身份包含本地用户属性,因为它们是通过 AD 同步工具(如 Entra ID Connect)创建的。 这些用户不需要 AD 后端影子帐户,因为它们包含本地 SID 和 OID,因此可以枚举和启动使用 AD 域加入的 VDA 发布的 DaaS 资源。
什么是前端身份
前端身份是用于登录 SAML 提供商和工作区的身份。 前端身份具有不同的用户属性,具体取决于它们在 SAML 提供商中的创建方式。
- 本机 SAML 用户身份
- AD 支持的 SAML 用户身份
您的 SAML 提供商可能混合拥有这两种类型的身份。 例如,如果您的身份平台内同时拥有承包商和永久雇员,则 B2B SAML 将适用于两种类型的前端身份,但仅当您拥有一些属于本机 SAML 用户身份类型的帐户时才是强制性的。
什么是后端 AD 影子帐户
后端 AD 影子帐户是 DaaS 使用的 AD 帐户,它映射到 SAML 提供商内的相应前端身份。
为什么需要后端 AD 影子账户
为了枚举使用 AD 域加入的 VDA 发布的 DaaS 或 CVAD 资源,需要 VDA 加入的 Active Directory 林内的 AD 帐户。 将 DaaS 交付组中的资源映射到影子帐户用户,并映射到包含您将 VDA 加入到的 AD 域中的影子帐户的 AD 组。
重要:
仅有没有 AD 域属性的本机 SAML 用户才需要匹配 AD 影子帐户。 如果您的前端身份是从 Active Directory 导入的,那么您不需要使用
B2B SAML,也不需要创建后端 AD 影子帐户。
我们如何将前端身份链接到相应的后端 AD 影子帐户
链接前端身份和后端身份的方法是使用匹配的 UPN。 两个链接身份应该具有相同的 UPN,以便 Workspace 可以分辨出它们代表需要登录 Workspace 以及枚举和启动 DaaS 资源的同一个最终用户。
B2B SAML 是否需要 Citrix FAS
是的。 当使用任何联合身份验证方法登录 Workspace 时,启动期间需要 FAS 才能将 SSON 传递到 VDA。
什么是“SID 不匹配问题”?什么时候会发生
当 SAML 断言包含 FrontEnd 用户的 SID,而该 SID 与 AD 影子帐户用户的 SID 不匹配时,就会导致“SID 不匹配问题”。 当登录到 SAML 提供商的帐户具有内部 SID(该 SID 与影子帐户用户的 SID 不同)时,就会发生这种情况。 仅当前端身份由 AD 同步工具(例如 Entra ID Connect)配置,并且来自与创建影子帐户的 AD 林不同的 AD 林时,才会发生这种情况。
B2B SAML 可防止发生“SID 不匹配问题”。 始终通过加入后端 AD 域的 Citrix Cloud 连接器为影子帐户用户获取正确的 SID。 影子帐户用户查找是使用 FrontEnd 用户的 UPN 执行的,然后将其与其相应的后端影子帐户用户进行匹配。
SID 不匹配问题示例: 前端用户 由 Entra ID Connect 创建,并从 AD 林 1同步。 S-1-5-21-000000000-0000000000-0000000001-0001
后端影子帐户用户 在 AD 林 2 内创建并映射到 DaaS 资源 S-1-5-21-000000000-0000000000-0000000002-0002
SAML 断言包含所有四个 cip_* 属性,并且 cip_sid 包含值 S-1-5-21-000000000-0000000000-0000000001-0001,这与影子账户的 SID 不匹配并触发错误。
在 Entra ID 中为外部访客帐户配置 B2B SAML 应用程序
- 登录 Azure 门户。
- 从门户菜单中,选择 Entra ID。
- 在左侧窗格中,在 管理下,选择 企业应用程序。
- 选择 创建您自己的应用程序。
-
为 SAML 应用程序输入合适的名称,例如
Citrix Cloud SAML SSO Production B2B SAML UPN Only。
- 从左侧导航窗格中,选择 单点登录 ,然后从工作窗格中单击 SAML。
- 在 基本 SAML 配置 部分中,单击 编辑 并配置以下设置:
- 在 标识符(实体 ID) 部分中,选择 添加标识符 ,然后输入与您的 Citrix Cloud 租户所在区域关联的值:
- 对于欧洲、美国和亚太南部地区,输入
https://saml.cloud.com。 - 对于日本地区,输入
https://saml.citrixcloud.jp。 - 对于 Citrix Cloud Government 区域,输入
https://saml.cloud.us。
- 对于欧洲、美国和亚太南部地区,输入
- 在 回复 URL(断言消费者服务 URL) 部分中,选择 添加回复 URL ,然后输入与您的 Citrix Cloud 租户所在区域关联的值:
- 对于欧洲、美国和亚太南部地区,输入
https://saml.cloud.com/saml/acs。 - 对于日本地区,输入
https://saml.citrixcloud.jp/saml/acs。 - 对于 Citrix Cloud Government 区域,输入
https://saml.cloud.us/saml/acs。
- 对于欧洲、美国和亚太南部地区,输入
- 在 登录 URL 部分,输入您的工作区 URL。
- 在 注销 URL(可选) 部分中,输入与您的 Citrix Cloud 租户所在区域关联的值:
- 对于欧洲、美国和亚太南部地区,输入
https://saml.cloud.com/saml/logout/callback。 - 对于日本地区,输入
https://saml.citrixcloud.jp/saml/logout/callback。 - 对于 Citrix Cloud Government 区域,输入
https://saml.cloud.us/saml/logout/callback。
- 对于欧洲、美国和亚太南部地区,输入
-
在命令栏中,单击 保存。 基本 SAML 配置 部分如下所示:
- 在 标识符(实体 ID) 部分中,选择 添加标识符 ,然后输入与您的 Citrix Cloud 租户所在区域关联的值:
-
在 属性 & 声明 部分,单击 编辑 以配置以下声明。 这些声明出现在 SAML 响应内的 SAML 断言中。 创建 SAML 应用后,配置以下属性。
- 对于唯一用户标识符(名称 ID)声明,将名称标识符格式设置为未指定,并将其源属性设置为
user.localuserprincipalname。 - 对于 cip_upn 声明,保留默认值
user.localuserprincipalname。 - 对于 displayName,保留默认值
user.displayname。 -
在 附加声明 部分中,对于任何剩余的具有
http://schemas.xmlsoap.org/ws/2005/05/identity/claims命名空间的声明,单击省略号 (…) 按钮,然后单击 删除。 无需包含这些声明,因为它们是上述用户属性的重复。完成后, 属性 & 声明 部分如下所示:
- 使用此 第三方在线工具获取 Citrix Cloud SAML 签名证书的副本。
- 在 URL 字段中输入
https://saml.cloud.com/saml/metadata,然后单击 加载。
- 对于唯一用户标识符(名称 ID)声明,将名称标识符格式设置为未指定,并将其源属性设置为
-
滚动到页面底部并点击 下载。
- 配置 Azure Active Directory SAML 应用程序签名设置。
- 在 Azure Active Directory SAML 应用程序中上传在步骤 10 中获得的生产 SAML 签名证书
- 启用 要求验证证书。
配置 Citrix Cloud B2B SAML 连接
默认情况下,Citrix Cloud 希望 cip_upn、cip_email、cip_sid 和 cip_oid 出现在 SAML 断言中,如果未发送这些属性,SAML 登录将失败。 为防止这种情况,请在创建新的 SAML 连接时删除对这些属性的检查。
- 使用默认设置创建新的 SAML 连接。
- 导航到底部的 SAML 属性映射配置 部分并在保存新的 SAML 配置之前进行更改。
- 从 cip_email、 cip_sid和 cip_oid 字段中删除 SAML 属性名称。
- 不要从其字段中删除 cip_upn 。
- 不要从各自的字段中删除任何其他属性。 工作区 UI 仍然需要 displayName ,不应更改。
配置 AD 影子帐户资源位置和连接器
需要后端影子帐户 AD 林内的资源位置和连接器对。 当 SAML 断言中仅直接提供 cip_upn 时,Citrix Cloud 需要此 AD 林中的连接器查找影子帐户用户身份和属性,例如 cip_email、cip_sid 和 cip_oid。
-
创建一个新的 资源位置 ,它将包含加入后端影子帐户 AD 林的 Citrix Cloud 连接器。
- 将资源位置命名为与 AD 林匹配,其中包含您希望使用的后端 AD 影子帐户。
- 在新创建的资源位置内配置一对 Citrix Cloud 连接器。
例如 ccconnector1.shadowaccountforest.com ccconnector2.shadowaccountforest.com
在后端 AD 林中配置 FAS
承包商前端用户肯定需要 FAS。 在 DaaS 启动期间,承包商用户将无法手动输入 Windows 凭据来完成启动,因为他们可能不知道 AD 影子帐户密码。
- 在创建影子帐户的后端 AD 林中配置一个或多个 FAS 服务器。
- 将 FAS 服务器链接到相同的资源位置,该位置包含一对 Citrix Cloud 连接器,这些连接器已加入到创建影子帐户的后端 AD 林。
在 AD 域中配置备用 UPN 后缀
重要:
UPN 与用户的电子邮件地址不同。 在许多情况下,为了易于使用,它们是相同的值,但 UPN 和电子邮件通常可以具有不同的值,并且在不同的活动目录属性和不同的 Entra ID 用户属性中定义。 该解决方案依赖于前端和后端身份之间的 UPN 匹配,而不是电子邮件匹配。
如果您的域在 DNS 中可公开路由,则可以为它使用隐式 UPN 后缀,或者为您希望邀请加入 Okta 或 Azure AD 租户的每个外部 FrontEnd 用户添加匹配的备用 UPN 后缀。 如果 AD 使用 yourdomain.local 作为隐式 UPN,则您必须选择备用 UPN 后缀,如 yourdomain.com。 Entra ID 不允许您在自定义域名中添加 yourdomain.local 。
例如,如果您邀请外部用户 contractuser@hotmail.co.uk 并且希望将其与后端 AD 影子帐户 contractuser@yourforest.com 关联,则将 yourforest.com 添加为 AD 林中的 ALT UPN 后缀。
使用 Active Directory 域和信任 UI 在 Active Directory 中添加备用 UPN 后缀
- 登录到后端 AD 林中的域控制器。
- 打开 运行对话框,然后输入
domain.msc,然后单击 确定。 - 在 Active Directory 域和信任窗口中,右键单击 Active Directory 域和信任,然后选择 属性。
-
在 UPN 后缀 选项卡上的备用 UPN 后缀框中,添加备用 UPN 后缀,然后选择 添加。
- 单击 “ 确定”。
使用 PowerShell 管理后端 AD 林的 UPN 后缀
您可能需要向后端 AD 林添加大量新的 UPN 后缀,以便创建必要的影子帐户 UPN。 您需要添加到后端 AD 林的备用 UPN 后缀的数量取决于您选择邀请加入 SAML 提供商租户的不同外部用户的数量。
如果需要创建大量新的替代 UPN 后缀,可以使用以下 PowerShell 来实现此目的。
# Get the list of existing ALT UPN suffixes within your AD Forest
(Get-ADForest).UPNSuffixes
# Add or remove ALT UPN Suffixes
$NewUPNSuffixes = @("yourforest.com","externalusers.com")
# Set action to "add" or "remove" depending on the operation you wish to perform.
$Action = "add"
foreach($NewUPNSuffix in $NewUPNSuffixes)
{
Get-ADForest | Set-ADForest -UPNSuffixes @{ $Action=$NewUPNSuffix }
}
<!--NeedCopy-->
在后端 AD 林中配置 AD 影子帐户
- 创建一个新的 AD 影子帐户用户。
-
对于新 AD 用户,默认选择 AD 林隐式 UPN,例如
yourforest.local。 选择您之前创建的适当的替代 UPN 后缀。 例如,选择yourforest.com作为影子账户用户的 UPN 后缀。
影子账户用户的 UPN 也可以通过 PowerShell 进行更新。
Set-ADUser "contractoruser" -UserPrincipalName "contractoruser@yourforest.com" <!--NeedCopy--> - 影子帐户用户的 UPN 应与外部 FrontEnd 身份用户的 UPN 完全匹配。
- 测试 FrontEnd 用户登录 Workspace。
- 登录成功后,验证工作区中是否枚举了所有预期资源。 应该会出现映射到 AD 影子帐户的资源。
配置 Guest Entra ID 用户 UPN 以匹配 AD 影子帐户 UPN
当外部来宾用户被邀请加入 Entra ID 租户时,将创建一个自动生成的 UPN,表明该用户是外部的。 外部 Entra ID 用户将自动分配 @Entra IDtenant.onmicrosoft.com UPN 后缀,该后缀不适合与 B2B SAML 一起使用,并且与您的 AD 影子帐户不匹配。 这将需要更新以匹配 Entra ID 中导入的 DNS 域和您在 AD 林中创建的备用 UPN 后缀。
-
将自定义域导入到 Entra ID,该域与您添加到 AD 林的备用 UPN 后缀匹配。
-
邀请来宾用户,例如
contractuser@hotmail.co.uk,并确保受邀的来宾用户接受 Microsoft 对 Entra ID 租户的邀请。Microsoft 生成的外部来宾用户 UPN 格式示例。
contractoruser_hotmail.co.uk#EXT#@yourEntra IDtenant.onmicrosoft.com
重要:
Citrix Cloud 和 Workspace 不能使用包含 # 字符的 UPN 进行 SAML 身份验证。
-
安装必要的 Azure PowerShell Graph 模块,以便您管理 Entra ID 用户。
Install-Module -Name "Microsoft.Graph" -Force Get-InstalledModule -Name "Microsoft.Graph" <!--NeedCopy--> -
使用全局管理员帐户和
Directory.AccessAsUser.All范围登录到您的 Entra ID 租户。重要:
如果您使用权限较低的帐户或未指定
Directory.AccessAsUser.All范围,则您将无法完成步骤 4 并更新 Guest 用户的 UPN。Connect-MgGraph -Scopes Directory.AccessAsUser.All <!--NeedCopy--> -
使用与您为 AD 影子帐户配置的 UPN 匹配的 UPN 来更新 Entra ID 用户。
$GuestUserId = (Get-MgUser -UserId "contractoruser_hotmail.co.uk#EXT#@yourentraidtenant.onmicrosoft.com").Id Update-MgUser -UserId $GuestUserId -UserPrincipalName "contractoruser@your.com" <!--NeedCopy--> -
获取 Entra ID 租户内的所有外部来宾用户列表(可选)。
Get-MgUser -filter "userType eq 'Guest'" | Select Id,DisplayName,UserPrincipalName,Mail <!--NeedCopy--> -
获取需要更新 UPN 的来宾用户身份,然后更新其 UPN 后缀。
$GuestUserId = (Get-MgUser -UserId "contractoruser_hotmail.co.uk#EXT#@yourEntra IDtenant.onmicrosoft.com").Id Update-MgUser -UserId $GuestUserId -UserPrincipalName "contractoruser@yourforest.com" <!--NeedCopy--> -
检查可使用新更新的 UPN 找到来宾用户身份。
Get-MgUser -UserId "contractoruser@yourforest.com" <!--NeedCopy-->
测试 B2B SAML 解决方案
在 AD、Citrix Cloud 和您的 SAML 提供商中完成所有记录的步骤后,您需要测试登录并验证 Workspace 中为来宾用户显示了正确的资源列表。
Citrix 建议使用 SAML-tracer 浏览器扩展进行所有 SAML 调试。 此扩展适用于大多数常见的网络浏览器。 该扩展将 Base64 编码的请求和响应解码为 SAML XML,使其变得易于人类阅读。
使用 SAML 跟踪器捕获的仅使用 cip_upn 进行身份验证的 B2B SAML 断言示例。
-
将正确的 DaaS 资源映射到包含它们的 AD 支持和影子帐户用户或组。
-
启动 SAML 跟踪器浏览器扩展并捕获整个登录和注销流程。
-
使用表中您想要测试的前端用户类型指定的属性登录工作区。
来宾 Entra ID 用户登录: 您以来宾用户身份邀请到您的 Entra ID 租户的承包商用户的电子邮件地址为
contractuser@hotmail.co.uk。当 Entra ID 提示时,输入访客用户的 电子邮件地址 。
或者
AD 支持的 Entra ID 用户/本地 Entra ID 用户登录: 这些 Entra ID 用户的 UPN 格式为
adbackeduser@yourforest.com或nativeuser@yourforest.com。当 Entra ID 提示时,输入用户的 UPN 。
-
检查断言仅包含用于身份验证的 cip_upn 属性,以及它还包含工作区 UI 所需的 displayName 属性。
-
检查用户是否可以在 UI 中看到所需的 DaaS 资源。
排除 B2B SAML 解决方案故障
SAML 断言中发送了错误的 UPN
原因:这种情况仅可能发生在从 Entra ID 租户 1 导入到 Entra ID 租户 2 的 B2B 账户中。 使用从其他 Entra ID 租户导入的 B2B 用户时,可能会在 SAML 断言中发送错误的 UPN。 如果使用 user.userprincipalname 并且最终用户使用从另一个 Entra ID 租户导入的 B2B 用户登录,则 SAML 断言中将发送 cip_upn 的错误值。 SAML 断言中使用的 cip_upn 的值将来自源 Entra ID 租户,其中包含 B2B 用户作为 成员。 使用 user.localuserprincipalname 确保 cip_upn 的值取自 Entra ID 租户,并且 B2B 用户被邀请作为 访客。
缺少 cip_* 属性错误
原因 1:SAML 断言中不存在 SAML 属性,但 Citrix Cloud 配置为期望接收该属性。 您未能从 Citrix Cloud SAML 连接的 SAML 属性部分中删除不必要的 cip_* 属性。 断开并重新连接 SAML 以删除对不必要的 cip_* 属性的引用。
原因 2:如果 Citrix Cloud 连接器在后端 AD 林中没有相应的 AD 影子帐户来查找,也会发生此错误。 您可能已正确配置前端身份,但具有匹配 UPN 的后端 AD 影子帐户身份不存在或无法找到。
登录成功,但用户登录 Workspace 后未显示任何 DaaS 资源
原因:这很可能是由于前端到后端身份 UPN 映射不正确造成的。
确保前端和后端身份的 2 个 UPN 完全匹配,并且代表登录 Workspace 的同一个最终用户。 检查 DaaS 交付组是否包含到正确的 AD 影子帐户用户或包含它们的 AD 组的映射。
在启动 DaaS 资源期间,FAS SSON 与 AD 域加入的 VDA 失败
尝试启动 DaaS 资源时,工作区最终用户会提示在 GINA 中输入他们的 Windows 凭据。 事件 ID 103 也出现在您的 FAS 服务器上的 Windows 事件日志中。
[S103] 服务器 [CC:FASServer] 请求 UPN [frontenduser@yourforest.com] SID S-1-5-21-000000000-0000000000-0000000001-0001,但查找返回 SID S-1-5-21-000000000-0000000000-0000000001-0002。 [相关性:cc#967472c8-4342-489b-9589-044a24ca57d1]
原因:您的 B2B SAML 部署存在“SID 不匹配问题”。 您的前端身份包含来自 AD 林的 SID,该 SID 与后端影子帐户 AD 林不同。
不要在 SAML 断言中发送 cip_sid 。
当多个连接的 AD 林中存在相同的 UPN 后缀时,AD 支持的用户登录失败
Citrix Cloud 具有多个资源位置和连接到不同 AD 林的连接器。 当使用从不同于影子帐户 AD 林的 AD 支持用户导入 Entra ID 时,登录失败。
AD Forest 1 同步到 Entra ID 以创建具有 UPN 的前端用户,例如 frontenduser@yourforest.com。
AD Forest 2 包含具有 UPN 的后端影子账户,例如 frontenduser@yourforest.com。
原因:您的 B2B SAML 部署受到“UPN 模糊问题”的影响。 Citrix Cloud 无法确定使用哪个连接器来查找用户的后端身份。
不要在 SAML 断言中发送 cip_sid 。
您的用户的 UPN 存在于连接到 Citrix Cloud 的多个 AD 林中。
配置 Citrix Cloud SAML 连接
所有 Citrix 登录流程都需要由服务提供商使用 Workspace URL 或 Citrix Cloud GO URL 发起。
从您的 Entra ID 门户获取 Entra ID SAML 应用程序 SAML 端点以进入 Citrix Cloud。
Citrix Cloud SAML 连接中使用的 Entra ID SAML 端点示例
重要:
EntraID SSO 和 Logout SAML 端点是相同的 URL。
- 身份提供者实体 ID:
https://sts.windows.net/<yourEntraIDTenantID> - 身份提供者 SSO 服务 URL:
https://login.microsoftonline.com/<yourEntraIDTenantID>/saml2 - 身份提供者注销 URL:
https://login.microsoftonline.com/<yourEntraIDTenantID>/saml2