Partager via


Fournisseurs d’identité

S'APPLIQUE À : SDK v4

Un fournisseur d’identité authentifie des identités client ou utilisateur et délivre des jetons de sécurité consommables. Il fournit l’authentification utilisateur en tant que service.

Les applications clientes telles que les applications web délèguent l’authentification à un fournisseur d’identité approuvé. Ces applications clientes sont dites fédérées, c’est-à-dire qu’elles utilisent une identité fédérée. Pour plus d'informations, consultez Modèle d'identité fédérée.

L’utilisation d’un fournisseur d’identité approuvé offre les avantages suivants :

  • Elle donne accès aux fonctionnalités d’authentification unique (SSO) et permet ainsi à une application d’accéder à plusieurs ressources sécurisées.
  • Facilite les connexions entre les utilisateurs et les ressources de cloud computing, ce qui réduit la nécessité pour les utilisateurs de s'authentifier à nouveau.

Authentification unique

L'authentification unique est un processus d'authentification qui permet à un utilisateur de se connecter à un système une seule fois avec un ensemble unique d'identifiants pour accéder à plusieurs applications ou services.

Un utilisateur se connecte avec un ID et un mot de passe uniques pour accéder à différents systèmes logiciels associés. Pour plus d’informations, consultez Authentification unique.

De nombreux fournisseurs d'identité prennent en charge une opération de déconnexion qui révoque le jeton utilisateur et met fin à l'accès aux applications et services associés.

Important

L’authentification unique améliore le confort d’utilisation en réduisant le nombre de fois où un utilisateur doit entrer ses informations d’identification. Elle renforce également la sécurité en réduisant la surface d’attaque potentielle.

Fournisseur d'identité Microsoft Entra ID

Microsoft Entra ID est le service d'identité de Microsoft Azure qui fournit des capacités de gestion des identités et de contrôle d'accès. Il permet de connecter des utilisateurs de manière sécurisée à l’aide de protocoles standard comme OAuth2.0.

Vous pouvez choisir entre deux implémentations de fournisseur d'identité Active Directory présentant différents paramètres comme indiqué ci-dessous.

Remarque

Utilisez ces paramètres quand vous configurez les Paramètres de connexion OAuth dans l'application d'inscription de bot Azure. Pour plus d'informations, consultez Ajouter l'authentification à un bot.

La plateforme d'identités Microsoft (v2.0) (également appelé point de terminaison Microsoft Entra ID) permet à un bot d'obtenir des jetons pour appeler des API Microsoft, telles que Microsoft Graph ou d'autres API. La plateforme d'identités est une évolution de la plateforme Azure AD (v1.0). Pour plus d'informations, consultez Vue d'ensemble de la plateforme d'identités Microsoft (v2.0).

Utilisez les paramètres Active Directory v2 ci-dessous pour permettre à un bot d'accéder aux données d'Office 365 via l'API Microsoft Graph.

Propriété Description ou valeur
Nom Un nom pour cette connexion du fournisseur d'identité.
Fournisseur de services Le fournisseur d'identité à utiliser. Sélectionnez Microsoft Entra ID.
ID client L'ID (client) d'application pour votre application de fournisseur d'identité Azure.
Clè secrète client Le secret de votre application de fournisseur d'identité Azure.
Tenant ID L'identifiant de votre annuaire (locataire) ou common. Pour plus d'informations, consultez la note sur les identifiants de locataire.
Étendues Une liste séparée par l'espace des autorisations d'API que vous avez accordées à l'application de fournisseur d'identité Microsoft Entra ID, comme openid, profile, Mail.Read, Mail.Send, User.Read, et User.ReadBasic.All.
URL d’échange de jeton Dans le cas d'un bot de compétences avec SSO, utilisez l'URL d'échange de jetons associée à la connexion OAuth ; dans le cas contraire, laissez ce champ vide. Pour plus d'informations sur l'URL d'échange de jetons de SSO, consultez Créer un paramètre de connexion OAuth.

Remarque

Si vous avez sélectionné l'une des options suivantes, saisissez l'identifiant du locataire que vous avez enregistré pour l'application du fournisseur d'identité Microsoft Entra ID :

  • Comptes dans cet annuaire d’organisation uniquement (Microsoft uniquement - Locataire unique)
  • Comptes dans un annuaire d’organisation (annuaire Microsoft AAD - Multilocataire)

Si vous avez sélectionné Comptes dans un annuaire d'organisation (tout annuaire Microsoft Entra ID – multilocataire) et comptes Microsoft personnels (par exemple, Skype, Xbox, Outlook.com), saisissez common.

Dans le cas contraire, l'application du fournisseur d'identité Microsoft Entra ID utilisera le locataire pour vérifier l'identifiant sélectionné et exclura les comptes Microsoft personnels.

Pour plus d’informations, consultez l’article suivant :

Autres fournisseurs d’identité

Azure prend en charge plusieurs fournisseurs d’identité. Vous pouvez en obtenir la liste complète avec les informations associées en exécutant les commandes de console Azure suivantes :

az login
az bot authsetting list-providers

Vous pouvez également consulter la liste de ces fournisseurs dans le portail Azure quand vous définissez les paramètres de connexion OAuth pour une application d'inscription de bot.

Azure identity providers

Fournisseurs génériques OAuth

Azure prend en charge l'authentification OAuth2 générique, qui vous permet d'utiliser votre propre fournisseur d'identité.

Vous pouvez choisir entre deux implémentations de fournisseur d'identité générique présentant différents paramètres comme indiqué ci-dessous.

Remarque

Utilisez les paramètres décrits ici quand vous configurez les Paramètres de connexion OAuth dans l'application d'inscription de bot Azure.

Utilisez ce fournisseur pour configurer un fournisseur d'identité OAuth2 générique ayant des attentes similaires à celles d'un fournisseur Microsoft Entra ID, en particulier AD v2. Pour ce type de connexion, les chaînes de requête et les charges utiles du corps de la demande sont corrigées.

Propriété Description ou valeur
Nom Un nom pour cette connexion du fournisseur d'identité.
Fournisseur de services Le fournisseur d'identité à utiliser. Sélectionnez Oauth générique 2.
ID client Votre ID client obtenu auprès du fournisseur d'identité.
Clè secrète client Votre clé secrète client obtenue lors de l'inscription du fournisseur d'identité.
URL d’autorisation https://login.microsoftonline.com/common/oauth2/v2.0/authorize
URL du jeton https://login.microsoftonline.com/common/oauth2/v2.0/token
URL d’actualisation https://login.microsoftonline.com/common/oauth2/v2.0/token
URL d’échange de jeton Laissez ce champ vide.
Étendues Une liste séparée par des virgules des autorisations d'API que vous avez octroyées à l'application du fournisseur d'identité.

Étapes suivantes