Découverte de domaine d’accueil pour une application

La découverte du domaine d’accueil (HRD) est le processus qui permet à Microsoft Entra ID d’identifier le fournisseur d’identité (IDP) avec lequel un utilisateur doit s’authentifier au moment de la connexion. Quand un utilisateur se connecte à un locataire Microsoft Entra pour accéder à une ressource ou à la page de connexion commune Microsoft Entra, il tape un nom d’utilisateur (UPN). Microsoft Entra ID l’utilise pour découvrir où l’utilisateur doit se connecter.

L'utilisateur est redirigé vers l'un des fournisseurs d'identité suivants pour être authentifié :

  • Le locataire de base de l’utilisateur (peut être le même locataire que la ressource à laquelle l’utilisateur tente d’accéder).

  • Compte Microsoft. L’utilisateur est un invité dans le locataire de ressources qui utilise un compte de consommateur pour l’authentification.

  • Un fournisseur d’identité local tel que les services de fédération Active Directory (AD FS).

  • Un autre fournisseur d’identité qui est fédéré avec le locataire Microsoft Entra.

Accélération automatique

Certaines organisations configurent les domaines dans leur locataire Microsoft Entra afin de les fédérer avec un autre fournisseur d’identité, par exemple AD FS pour l’authentification des utilisateurs.

Quand un utilisateur se connecte à une application, une page de connexion Microsoft Entra s’affiche d’abord. Après avoir saisi leur UPN, s'ils se trouvent dans un domaine fédéré, ils sont ensuite redirigés vers la page de connexion de l'IdP desservant ce domaine. Dans certaines circonstances, les administrateurs peuvent vouloir diriger les utilisateurs vers la page de connexion quand ils se connectent à des applications spécifiques.

Par conséquent, les utilisateurs peuvent ignorer la première page de Microsoft Entra ID. Ce processus est appelé « accélération automatique des connexions ». Microsoft déconseille la configuration de l’accélération automatique, car cela peut empêcher l’utilisation de méthodes d’authentification plus fortes telles que FIDO et entrave la collaboration. Consultez Activer la connexion par clé de sécurité sans mot de passe pour découvrir les avantages de ne pas configurer l’accélération automatique. Pour savoir comment empêcher l’accélération automatique des connexions, consultez Désactiver les connexions à accélération automatique.

Dans les cas où le locataire est fédéré avec un autre fournisseur d’identité pour la connexion, l’accélération automatique simplifie la connexion de l’utilisateur. Vous pouvez configurer l’accélération automatique pour des applications individuelles. Consultez Configurer l’accélération automatique pour savoir comment forcer l’accélération automatique à l’aide de la découverte du domaine d’accueil.

Notes

Si vous configurez une application pour l’accélération automatique, les utilisateurs ne peuvent pas utiliser les informations d’identification gérées (telles que FIDO) et les utilisateurs invités ne peuvent pas se connecter. Si vous dirigez un utilisateur directement vers un IdP fédéré pour l’authentification, celui-ci ne pourra pas revenir à la page de connexion Microsoft Entra. Les utilisateurs invités, qui doivent éventuellement être dirigés vers d’autres locataires ou un IdP externe tel qu’un compte Microsoft, ne peuvent pas se connecter à l’application parce qu’ils passent l’étape de la découverte du domaine d’accueil.

Il existe trois façons de contrôler l’accélération automatique vers un fournisseur d’identité :

Boîte de dialogue de confirmation de domaine

À partir d'avril 2023, les organisations qui utilisent l'accélération automatique ou les liens intelligents pourraient commencer à voir un nouvel écran ajouté à l'interface utilisateur de connexion. Cet écran, appelé boîte de dialogue de confirmation du domaine, fait partie de l’engagement général de Microsoft concernant le renforcement de la sécurité et nécessite de l’utilisateur la confirmation du domaine du locataire auquel il se connecte. Annulez le flux d'authentification et contactez votre administrateur informatique (le cas échéant) si vous voyez la boîte de dialogue de confirmation de domaine et ne reconnaissez pas le domaine locataire répertorié. Voici un exemple de ce à quoi pourrait ressembler la boîte de dialogue de confirmation de domaine :

Screenshot of the domain confirmation dialog listing the sign-in identifier '<kelly@contoso.com>' with a tenant domain of 'contoso.com'.

L'identifiant en haut de la boîte de dialogue, kelly@contoso.com, représente l'identifiant utilisé pour se connecter. Le domaine du client répertorié dans l’en-tête et le sous-titre de la boîte de dialogue affichent le domaine du client d’origine du compte.

Bien que la boîte de dialogue de confirmation de domaine n'ait pas besoin d'être affichée pour chaque instance d'accélération automatique ou de liens intelligents, la boîte de dialogue de confirmation de domaine signifie une accélération automatique et les liens intelligents ne peuvent plus se dérouler de manière transparente lorsqu'ils sont affichés. Si votre organisation supprime les cookies en raison des politiques du navigateur ou pour d'autres raisons, vous pourriez rencontrer la boîte de dialogue de confirmation de domaine plus fréquemment. Enfin, étant donné que Microsoft Entra ID gère le flux de connexion par accélération automatique de bout en bout, l'introduction de la boîte de dialogue de confirmation de domaine ne devrait entraîner aucune panne d'application.

En outre, vous pouvez supprimer la boîte de dialogue de confirmation de domaine en configurant une stratégie de Restrictions de locataire v2 (TRv2). Une stratégie TRv2 obtient la même posture de sécurité que la boîte de dialogue de confirmation de domaine et, par conséquent, lorsqu’un en-tête de stratégie TRv2 est présent dans la requête, la boîte de dialogue de confirmation du domaine est supprimée.

Indications de domaine

Les indications de domaine sont des directives qui sont incluses dans la demande d’authentification émise par une application. Elles peuvent servir à accélérer l’utilisateur vers la page de connexion de son fournisseur d’identité fédéré. Les applications multi-locataires peuvent également les utiliser pour accélérer l'utilisateur directement vers la page de connexion Microsoft Entra de leur client.

Par exemple, l’application « largeapp.com » peut permettre à ses clients d’accéder à l’application depuis une URL « contoso.largeapp.com » personnalisée. L’application peut également inclure une indication de domaine pour contoso.com dans la demande d’authentification.

La syntaxe des indicateurs de domaine varie selon le protocole utilisé. Elle est généralement configurée dans l’application de l’une des manières suivantes :

  • Pour les applications qui utilisent WS-Federation : paramètre de chaîne de requête whr. Par exemple whr=contoso.com.

  • Pour les applications qui utilisent le protocole SAML : demande d’authentification SAML contenant un indicateur de domaine ou une chaîne de requête whr=contoso.com.

  • Pour les applications qui utilisent OpenID Connect : paramètre de chaîne de requête domain_hint. Par exemple domain_hint=contoso.com.

Par défaut, Microsoft Entra ID tente de rediriger la connexion vers l’IDP configuré pour un domaine si les deux conditions suivantes sont réunies :

  • Une indication de domaine est incluse dans la demande d’authentification de l’application et
  • Le locataire est fédéré avec ce domaine.

Si l'indication de domaine ne fait pas référence à un domaine fédéré vérifié, elle est ignorée.

Remarque

Si une indication de domaine est incluse dans une requête d’authentification et doit être respectée, sa présence remplace toute accélération automatique définie pour l’application dans la stratégie de découverte du domaine d’accueil.

Stratégie de découverte du domaine d’accueil pour l’accélération automatique

Certaines applications n’offrent pas la possibilité de configurer la demande d’authentification qu’elles émettent. Dans ce cas, il est impossible d'utiliser des indications de domaine pour contrôler l'accélération automatique. l'accélération automatique peut être configurée via la politique Home Realm Discovery pour obtenir le même comportement.

Stratégie de découverte du domaine d’accueil pour empêcher l’accélération automatique

Certaines applications Microsoft et SaaS incluent automatiquement des indications de domaine (par exemple, https://outlook.com/contoso.com génère une demande de connexion avec l’ajout de &domain_hint=contoso.com), ce qui peut perturber le déploiement d’informations d’identification gérées telles que FIDO. Vous pouvez utiliser la stratégie de découverte du domaine d’accueil pour ignorer les indicateurs de domaine de certaines applications ou pour certains domaines, pendant le déploiement des informations d’identification managées.

Activer l’authentification ROPC directe des utilisateurs fédérés pour les applications héritées

Pour les applications, la meilleure pratique consiste à utiliser les bibliothèques Microsoft Entra et la connexion interactive afin d’authentifier les utilisateurs. Les bibliothèques gèrent les flux d’utilisateurs fédérés. Parfois, les applications héritées, en particulier les applications qui utilisent les autorisations ROPC (Resource Owner Password Credentials), soumettent le nom d’utilisateur et le mot de passe directement à Microsoft Entra ID et ne sont pas écrites pour comprendre la fédération. Elles n’effectuent pas de découverte du domaine d’accueil et n’interagissent pas avec le point de terminaison fédéré approprié pour authentifier un utilisateur. Si vous le souhaitez, vous pouvez utiliser la stratégie de découverte du domaine d’accueil pour permettre à des applications héritées spécifiques qui envoient des informations d’identification de nom d’utilisateur/mot de passe avec l’octroi ROPC à s’authentifier directement auprès de Microsoft Entra ID. La synchronisation du code de hachage de mot de passe doit être activée.

Important

Activez uniquement l’authentification directe si vous avez activé la synchronisation de hachage de mot de passe et que vous pouvez authentifier cette application sans aucune stratégie implémentée par votre fournisseur d’identité locale. Si vous désactivez la synchronisation de hachage de mot de passe ou la synchronisation d’annuaires avec AD Connect pour une raison quelconque, vous devez supprimer cette stratégie pour empêcher la possibilité d’authentification directe à l’aide d’un hachage de mot de passe obsolète.

Définir une stratégie de découverte du domaine d’accueil

Il existe trois étapes pour définir une stratégie HRD sur une application pour l'accélération automatique de connexion fédérée ou les applications basées sur le cloud directes :

  1. Créez une stratégie de découverte du domaine d’accueil.

  2. Localisez le principal de service auquel attacher la stratégie.

  3. Attachez la stratégie au principal de service.

Les stratégies prennent effet pour une application spécifique uniquement lorsqu’elles sont attachées à un principal de service.

Une seule stratégie de découverte du domaine d’accueil peut être active sur un principal de service à tout moment.

Vous pouvez utiliser les cmdlet PowerShell Microsoft Graph pour créer et gérer la stratégie HRD.

L’objet json est un exemple de définition de stratégie de découverte du domaine d’accueil :

{  
  "HomeRealmDiscoveryPolicy":
  {  
    "AccelerateToFederatedDomain":true,
    "PreferredDomain":"federated.example.edu",
    "AllowCloudPasswordValidation":false
  }
}

Le type de stratégie est « HomeRealmDiscoveryPolicy ».

AccelerateToFederatedDomain est facultatif. Si AccelerateToFederatedDomain a la valeur false, la stratégie n’a aucun effet sur l’accélération automatique. Si AccelerateToFederatedDomain est vrai et qu’il n’y a qu’un seul domaine vérifié et fédéré dans le locataire, les utilisateurs sont alors dirigés directement vers l’IdP fédéré pour se connecter. S’il a la valeur true et qu’il existe plusieurs domaines vérifiés dans le locataire, PreferredDomain doit être spécifié.

PreferredDomain est facultatif. PreferredDomain doit indiquer un domaine vers lequel vous souhaitez accélérer. Il peut être omis si le locataire n’a qu’un seul domaine fédéré. S’il est omis et qu’il existe plusieurs domaines fédérés vérifiés, la stratégie n’a aucun effet.

Si PreferredDomain est spécifié, il doit correspondre à un domaine fédéré vérifié pour le locataire. Tous les utilisateurs de l’application doivent être en mesure de se connecter à ce domaine : les utilisateurs qui ne peuvent pas se connecter au domaine fédéré sont bloqués et ne peuvent pas terminer la connexion.

AllowCloudPasswordValidation est facultatif. Si AllowCloudPasswordValidation est true, l’application est autorisée à authentifier un utilisateur fédéré à l’aide des informations d’identification de nom d’utilisateur/mot de passe directement auprès du point de terminaison de jeton Microsoft Entra ID. Cela fonctionne uniquement si la synchronisation de hachage de mot de passe est activée.

En outre, il existe deux options de découverte du domaine d’accueil au niveau du locataire, non indiquées ci-dessus :

Priorité et évaluation des stratégies de découverte du domaine d’accueil

Les stratégies de découverte du domaine d’accueil peuvent être créées, puis affectées à des organisations et principaux de service spécifiques. Il est ainsi possible que plusieurs stratégies s’appliquent à une application spécifique. Par conséquent, Microsoft Entra ID doit décider laquelle d’entre elles est prioritaire. Un ensemble de règles détermine la stratégie de découverte du domaine d’accueil (parmi les nombreuses stratégies appliquées) qui prend effet :

  • Si une indication de domaine est présente dans la demande d’authentification, la stratégie de découverte du domaine d’accueil pour le locataire (stratégie définie par défaut pour le locataire) est contrôlée pour déterminer si les indications de domaine doivent être ignorées. Si les indications de domaine sont autorisées, le comportement spécifié par l’indication de domaine est utilisé.

  • Sinon, si une stratégie est explicitement affectée au principal de service, elle est appliquée.

  • S’il n’existe aucune indication de domaine et qu’aucune stratégie n’est explicitement affectée au principal de service, une stratégie qui est explicitement affectée à l’organisation parente du principal de service est appliquée.

  • S’il n’existe aucune indication de domaine et qu’aucune stratégie n’a été affectée au principal de service ou à l’organisation, le comportement de découverte du domaine d’accueil par défaut est utilisé.

Étapes suivantes