Partager via

Vue d’ensemble des informations d’identification d’identité fédérée dans Microsoft Entra ID

  • Article

Espace de noms: microsoft.graph

En règle générale, les développeurs utilisent des certificats ou des secrets client pour les informations d’identification de leur application afin de s’authentifier auprès des services et d’y accéder dans Microsoft Entra ID. Pour accéder aux services dans leur locataire Microsoft Entra, les développeurs ont dû stocker et gérer les informations d’identification d’application en dehors d’Azure, en introduisant les goulots d’étranglement suivants :

  • Charge de maintenance pour les certificats et les secrets.
  • Le risque de fuite de secrets.
  • Certificats arrivant à expiration et interruptions de service en raison de l’échec de l’authentification.

Les informations d’identification d’identité fédérées sont un nouveau type d’informations d’identification qui permet la fédération d’identité de charge de travail pour les charges de travail logicielles. La fédération des identités de charge de travail vous permet d’accéder à Microsoft Entra ressources protégées sans avoir à gérer les secrets (pour les scénarios pris en charge).

Comment fonctionnent les informations d’identification d’identité fédérée ?

Vous créez une relation d’approbation entre un fournisseur d’identité externe (IdP) et une application dans Microsoft Entra ID en configurant des informations d’identification d’identité fédérée. Les informations d’identification de l’identité fédérée sont utilisées pour indiquer quel jeton du fournisseur d’identité externe doit être approuvé par votre application. Une fois cette relation d’approbation créée, votre charge de travail logicielle peut échanger des jetons approuvés du fournisseur d’identité externe contre des jetons d’accès du Plateforme d'identités Microsoft. Votre charge de travail logicielle utilise ensuite ce jeton d’accès pour accéder aux ressources protégées Microsoft Entra auxquelles la charge de travail a reçu l’accès. Cela élimine la charge de maintenance liée à la gestion manuelle des informations d’identification et élimine le risque de fuite de secrets ou d’expiration des certificats. Pour plus d’informations et les scénarios pris en charge, consultez Fédération des identités de charge de travail.

Configurer les informations d’identification d’identité fédérée via Microsoft Graph

La ressource federatedIdentityCredential représente la configuration d’informations d’identification d’identité fédérée via Microsoft Graph. Utilisez l’API Create federatedIdentityCredential pour configurer l’objet . Les propriétés suivantes sont les blocs de construction des informations d’identification d’identité fédérée :

  • audiences : audience qui peut apparaître dans le jeton externe. Ce champ est obligatoire et doit être défini sur api://AzureADTokenExchange pour Microsoft Entra ID. Il indique ce que Plateforme d'identités Microsoft devez accepter dans la aud revendication dans le jeton entrant. Cette valeur représente Microsoft Entra ID dans votre fournisseur d’identité externe et n’a aucune valeur fixe entre les fournisseurs d’identité. Vous devrez peut-être créer une inscription d’application dans votre fournisseur d’identité pour servir d’audience à ce jeton.
  • issuer : URL du fournisseur d’identité externe. Doit correspondre à la revendication de l’émetteur du jeton externe en cours d’échange.
  • subject : identificateur de la charge de travail logicielle externe au sein du fournisseur d’identité externe. Comme la valeur d’audience, elle n’a pas de format fixe, car chaque fournisseur d’identité utilise son propre , parfois un GUID, parfois un identificateur délimité par deux-points, parfois des chaînes arbitraires. La valeur ici doit correspondre à la sub revendication dans le jeton présenté à Microsoft Entra ID.
  • name : chaîne unique permettant d’identifier les informations d’identification. Cette propriété est une autre clé et la valeur peut être utilisée pour référencer les informations d’identification de l’identité fédérée via les opérations GET et UPSERT .

La combinaison de l’émetteur et de l’objet doit être unique sur l’application. Lorsque la charge de travail logicielle externe demande Plateforme d'identités Microsoft d’échanger le jeton externe contre un jeton d’accès, les valeurs de l’émetteur et de l’objet des informations d’identification de l’identité fédérée sont vérifiées par rapport aux issuer revendications et subject fournies dans le jeton externe. Si cette case activée de validation réussit, Plateforme d'identités Microsoft émet un jeton d’accès à la charge de travail logicielle externe.

Considérations relatives à la conception

Un maximum de 20 informations d’identification d’identité fédérée peuvent être ajoutées par objet d’application ou identité managée affectée par l’utilisateur.

Contenu connexe