Configurando SAML SSO para usuários Microsoft 365/Entra ID

Estes passos irão guiá-lo na configuração do SAML SSO para usuários Microsoft 365/Entra ID (anteriormente conhecido como Azure AD), usando ADSelfService Plus como provedor de identidade (IdP) e Microsoft 365/Entra ID como provedor de serviço (SP).

Nota:
  • O SSO pode ser habilitado apenas para domínios verificados no Microsoft Entra ID.
  • O SSO não pode ser habilitado para domínios "onmicrosoft.com" criados pela Microsoft.
  • O SSO não pode ser habilitado para o domínio padrão (o domínio principal no qual os usuários são criados). Ele só pode ser configurado para domínios personalizados. O Microsoft Entra ID proíbe a configuração de SSO para domínios padrão para garantir que os administradores possam fazer login no Office 365 independentemente de problemas com o IdP. Se sua organização não possui um domínio personalizado do Office 365, será necessário adquirir um para configurar o SSO.
  • Domínios federados, ou seja, domínios nos quais o SSO foi habilitado, não podem ser configurados para sincronização de senha.

Passos para vincular contas de usuário Microsoft 365/Entra ID e AD local

  1. Usando Microsoft Entra Connect
    • GUID como sourceAnchor: Se você possui Microsoft Entra Connect, use-o para atualizar o atributo sourceAnchor no Office 365 com o valor do atributo GUID do AD.
    • Outro atributo único do AD como sourceAnchor: Se você já atribuiu um valor diferente de GUID para o atributo sourceAnchor, use a opção Account Linking no ADSelfService Plus para mapear com o atributo correspondente no AD.
  2. Usando uma ferramenta de conversão de GUID para ImmutableID de terceiros
    • Converter GUID para ImmutableID: Se você não possui Microsoft Entra Connect, pode baixar uma ferramenta de terceiros que converte GUID para ImmutableID. Use a ferramenta para converter o valor GUID de cada usuário para valores ImmutableID e atualize-os no Microsoft Entra ID.
    • Atualize o valor ImmutableID no Microsoft Entra ID: Once you have converted the GUID to ImmutableID, you need to update the value in Microsoft Entra ID for each user by following the steps below using PowerShell commands.
      • Abra PowerShell com privilégios de administrador.
      • Run the following command to install the Microsoft Graph PowerShell, if it is not already installed:

        Install-Module Microsoft.Graph -Scope CurrentUser

        • Comandos Microsoft Graph PowerShell para ImmutableID
      • Command to connect to Microsoft Graph PowerShell:

        Connect-MgGraph -Scopes "Directory.AccessAsUser.All"

        Nota: Faça login com uma conta Microsoft 365/Entra ID que possua privilégios de Administrador Global.

      • Command to update ImmutableID attribute for existing users:

        Update-MgUserByUserPrincipalName -UserPrincipalName "<user_mailID>" -OnPremisesImmutableId "<immutable_id>"

      • Command to update ImmutableID attribute while creating new users

        New-MgUser -AccountEnabled:$true -UserPrincipalName "user01@selfservice.com" -MailNickname "user01" -OnPremisesImmutableId "" -DisplayName "user01" -GivenName "user" -Surname "S"

      • Command to confirm whether the ImmutableID attribute update was successful

        Get-MgUserByUserPrincipalName -UserPrincipalName "" -Property UserPrincipalName, OnPremisesImmutableId | select UserPrincipalName, OnPremisesImmutableId

Pré-requisito

  1. Faça login no ADSelfService Plus como administrador.

  2. Navigate to  Configuration → Self-Service → Password Sync/Single Sign On → Add Application, then select Microsoft 365/Entra ID from the applications displayed.
    Nota: Você também pode encontrar a aplicação Microsoft 365/Entra ID que precisa na barra de pesquisa localizada no painel esquerdo ou na opção de navegação alfabética no painel direito.
  3. Clique em IdP details no canto superior direito da tela.

  4. Na janela pop-up que aparecer, copie o ID da Entidade, URL de Login e o URL de Logout e baixe o certificado SSO clicando em Download Certificate.

    5. Screenshot

Passos para configuração do Microsoft 365/Entra ID (Provedor de Serviço)

  1. Abra PowerShell com privilégios de administrador.
  2. Run the following command to install the Microsoft Graph PowerShell, if it is not already installed:

    Install-Module Microsoft.Graph -Scope CurrentUser

  3. Connect to Microsoft Graph PowerShell using the command below. Sign in with a Microsoft Entra ID account that has Global Admin privileges:

    Connect-MgGraph -Scopes "Directory.AccessAsUser.All"

  4. Retrieve a list of domains by running:

    Get-MgDomain

  5. Specify the domain for which you want to enable SSO:

    $dom = "selfservice.com"

  6. Define the Login URL, Entity ID, and Logout URL from step 4 of the Pré-requisitos for $url, $uri and $logouturl commands.

    $url = "<login URL value>"

    $uri = "<entity ID value>"

    $logouturl = "<logout URL value>"

    Valores de exemplo:

    $url = "https://selfservice.com:9251/iamapps/ssologin/office365/1352163ea82348a5152487b2eb05c5adeb4aaf73"

    $uri = "https://selfservice.com:9251/iamapps/ssologin/office365/1352163ea82348a5152487b2eb05c5adeb4aaf73"

    $logouturl = "https://selfservice.com:9251/iamapps/ssologout/office365/1352163ea82348a5152487b2eb05c5adeb4aaf73"

  7. Now copy the SSO certificate file content and assign it to the $cert variable as shown below:

    $cert = "MIICqjCCAhOgAwIBAgIJAN..........dTOjFfqqA="

    8. Arquivo de certificado SSO
  8. Run the following command to enable SSO in Microsoft Entra ID:

    New-MgDomainFederationConfiguration -DomainId $dom -IssuerUri $uri -PassiveSignInUri $url -SignOutUri $logouturl -SigningCertificate $cert -PreferredAuthenticationProtocol saml -federatedIdpMfaBehavior rejectMfaByFederatedIdp

  9. To test the configuration, use the following command.

    Get-MgDomainFederationConfiguration -DomainId $dom | Format-List

    10. Get-MgDomainFederationConfiguration
    Nota:

    Se você já habilitou o SSO Microsoft 365/Entra ID usando outro IdP ou deseja atualizar as configurações de SSO do ADSelfService Plus, primeiro deve desabilitar o SSO no Microsoft 365/Entra ID e depois seguir os passos deste guia. Para desabilitar o SSO no Microsoft 365/Entra ID, use o comando abaixo:

    $dom = "selfservice.com"

    $federations = Get-MgDomainFederationConfiguration -DomainId $dom

    Remove-MgDomainFederationConfiguration -DomainId $dom -InternalDomainFederationId $federations.Id

    Remove-MgDomainFederationConfiguration

    Observe que a alteração acima pode levar algum tempo para ser implementada no Microsoft 365/Entra ID.

Passos para configuração do ADSelfService Plus (Provedor de Identidade)

  1. Agora, mude para a página de configuração Microsoft 365/Entra ID do ADSelfService Plus
  2. Insira o Application Name e a Description.
  3. No campo Domain Name, insira o nome de domínio que você usou em passo 4 das etapas de configuração do Microsoft 365/Entra ID.
  4. In the Assign Policies field, select the policies for which Azure AD SAML SSO needs to be enabled.
    Nota: O ADSelfService Plus permite criar políticas baseadas em OU e grupos para seus domínios AD. Para criar uma política, vá para Configuration → Self-Service → Policy Configuration → Add New Policy.
  5. Selecione a aba SAML e marque a caixa de seleção Enable Single Sign-On.
  6. Escolha o formato Name ID que deve ser enviado na resposta SAML. O formato Name ID especificará o tipo de valor enviado na resposta SAML para verificação da identidade do usuário.

    7. Nota: Use Unspecified como opção padrão se você não tiver certeza sobre o formato do valor do atributo de login usado pela aplicação

  7. Clique em Add Application

Nota: O ADSelfService Plus suporta fluxos SAML SSO iniciados por SP e IdP para Microsoft 365/Entra ID.

Ir para o topo

Obrigado!

Sua solicitação foi enviada para a equipe de suporte técnico do ADSelfService Plus. Nossa equipe técnica irá assisti-lo o mais breve possível.

 

Precisa de assistência técnica?

  • Digite seu e-mail
  • Fale com especialistas
  •  
     
  •  
  • Ao clicar em 'Fale com especialistas', você concorda com o processamento de dados pessoais de acordo com a Privacy Policy.

Não encontrou o que procura?

  •  

    Visite nossa comunidade

    Publique suas perguntas no fórum.

     
  •  

    Solicite recursos adicionais

    Envie-nos suas necessidades.

     
  •  

    Precisa de assistência para implementação?

    Experimente o OnboardPro

     

Copyright © 2026, ZOHO Corp. Todos os direitos reservados.