Übersicht über Die Anmeldeinformationen für Verbundidentitäten in Microsoft Entra ID
Namespace: microsoft.graph
Üblicherweise verwenden Entwickler Zertifikate oder geheime Clientschlüssel für die Anmeldeinformationen ihrer Anwendung, um sich bei Diensten in Microsoft Entra ID zu authentifizieren und darauf zuzugreifen. Für den Zugriff auf die Dienste in ihrem Microsoft Entra Mandanten mussten Entwickler Anwendungsanmeldeinformationen außerhalb von Azure speichern und verwalten, was zu den folgenden Engpässen führte:
- Ein Wartungsaufwand für Zertifikate und Geheimnisse.
- Das Risiko, Geheimnisse preisgefährdend zu werden.
- Ablaufen von Zertifikaten und Dienstunterbrechungen aufgrund einer fehlgeschlagenen Authentifizierung.
Anmeldeinformationen für Verbundidentitäten sind ein neuer Typ von Anmeldeinformationen, der den Workloadidentitätsverbund für Softwareworkloads ermöglicht. Der Workloadidentitätsverbund ermöglicht Ihnen den Zugriff auf Microsoft Entra geschützten Ressourcen, ohne Geheimnisse verwalten zu müssen (für unterstützte Szenarien).
Wie funktionieren Anmeldeinformationen für Verbundidentitäten?
Sie erstellen eine Vertrauensstellung zwischen einem externen Identitätsanbieter (IdP) und einer App in Microsoft Entra ID, indem Sie Anmeldeinformationen für Verbundidentitäten konfigurieren. Die Anmeldeinformationen der Verbundidentität werden verwendet, um anzugeben, welchem Token des externen Identitätsanbieters ihre Anwendung vertrauen soll. Nachdem diese Vertrauensstellung erstellt wurde, kann Ihre Softwareworkload vertrauenswürdige Token vom externen Identitätsanbieter gegen Zugriffstoken aus dem Microsoft Identity Platform austauschen. Ihre Softwareworkload verwendet dann dieses Zugriffstoken, um auf die Microsoft Entra geschützten Ressourcen zuzugreifen, auf die der Workload Zugriff gewährt wurde. Dadurch entfällt der Wartungsaufwand für die manuelle Verwaltung von Anmeldeinformationen und das Risiko, dass Geheimnisse kompromittiert werden oder Zertifikate ablaufen. Weitere Informationen und unterstützte Szenarien finden Sie unter Workloadidentitätsverbund.
Einrichten von Anmeldeinformationen für Verbundidentitäten über Microsoft Graph
Die federatedIdentityCredential-Ressource stellt die Konfiguration von Anmeldeinformationen für Verbundidentitäten über Microsoft Graph dar. Die folgenden Eigenschaften sind die Bausteine von Anmeldeinformationen für Verbundidentitäten:
- audiences – Die Zielgruppe, die im externen Token angezeigt werden kann. Dieses Feld ist obligatorisch und sollte für
api://AzureADTokenExchangeMicrosoft Entra ID auf festgelegt werden. Es gibt an, was Microsoft Identity Platform im aud-Anspruch im eingehenden Token akzeptieren sollten. Dieser Wert stellt Microsoft Entra ID in Ihrem externen Identitätsanbieter dar und hat keinen festen Wert für alle Identitätsanbieter. Möglicherweise müssen Sie eine neue Anwendungsregistrierung in Ihrem Identitätsanbieter erstellen, um als Zielgruppe dieses Tokens zu dienen. - issuer – Die URL des externen Identitätsanbieters. Muss mit dem Ausstelleranspruch des ausgetauschten externen Tokens übereinstimmen.
- subject – Der Bezeichner der externen Softwareworkload innerhalb des externen Identitätsanbieters. Wie der Zielgruppenwert hat er kein festes Format, da jeder IdP sein eigenes verwendet– manchmal eine GUID, manchmal einen durch Doppelpunkt getrennten Bezeichner, manchmal beliebige Zeichenfolgen. Der Wert muss hier mit dem Unteranspruch innerhalb des Tokens übereinstimmen, das Microsoft Entra ID angezeigt wird.
Die Kombination aus Aussteller und Betreff muss in der App eindeutig sein. Wenn die externe Softwareworkload Microsoft Identity Platform anfordert, das externe Token gegen ein Zugriffstoken auszutauschen, werden die Aussteller- und Antragstellerwerte der Anmeldeinformationen der Verbundidentität anhand der issuer im externen Token bereitgestellten Ansprüche und subject überprüft. Wenn diese Überprüfung erfolgreich ist, gibt Microsoft Identity Platform ein Zugriffstoken für die externe Softwareworkload aus.
Überlegungen zum Entwurf
Pro Anwendungsobjekt oder benutzerseitig zugewiesener verwalteter Identität können maximal 20 Anmeldeinformationen für Verbundidentitäten hinzugefügt werden.
Verwandte Inhalte
- federatedIdentityCredential-Ressourcentyp
- Workloadidentitätsverbund
- Was sind verwaltete Identitäten für Azure-Ressourcen?
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für