Comment la plateforme d’identités Microsoft utilise le protocole SAML

La plateforme d’identités Microsoft utilise notamment le protocole SAML 2.0 pour permettre aux applications de fournir une expérience d’authentification unique (SSO) aux utilisateurs. Les profils SAML Authentification unique et Déconnexion unique d’Azure Active Directory (Azure AD) expliquent comment les assertions, les protocoles et les liaisons SAML sont utilisées dans le service de fournisseur d’identité.

Le protocole SAML nécessite que le fournisseur d’identité (la plateforme d’identités Microsoft) et le fournisseur de services (l’application) échangent des informations les concernant.

Lorsqu’une application est enregistrée auprès d’Azure AD, le développeur d’applications enregistre les informations liées à la fédération auprès d’Azure AD. Ces informations englobent notamment l’URI de redirection et l’URI des métadonnées de l’application.

La plateforme d’identités Microsoft utilise l’URI de métadonnées du service cloud pour récupérer la clé de signature et l’URI de déconnexion. De cette façon, la plateforme d’identités Microsoft peut envoyer la réponse à la bonne URL. Dans le portail Azure;

  • Ouvrez l’application dans Azure Active Directory et sélectionnez inscriptions d'applications
  • Sous Gérer, sélectionnez Authentification. À partir de là, vous pouvez mettre à jour l’URL de déconnexion.

Azure AD expose les points de terminaison d’authentification unique et de déconnexion unique spécifiques du locataire et communs (indépendants du locataire). Ces URL représentent des emplacements adressables et ne sont pas seulement des identificateurs. Vous pouvez ensuite accéder au point de terminaison pour lire les métadonnées.

  • Le point de terminaison propre au locataire se trouve à l’adresse https://login.microsoftonline.com/<TenantDomainName>/FederationMetadata/2007-06/FederationMetadata.xml. L’espace réservé <TenantDomainName> représente un nom de domaine inscrit ou le GUID TenantID d’un locataire Azure AD. Par exemple, les métadonnées de fédération du client contoso.com sont sur : https://login.microsoftonline.com/contoso.com/FederationMetadata/2007-06/FederationMetadata.xml

  • Le point de terminaison indépendant du locataire se trouve à l’adresse https://login.microsoftonline.com/common/FederationMetadata/2007-06/FederationMetadata.xml. Dans cette adresse de point de terminaison, l’élément common remplace le nom de domaine ou l’ID du locataire.

Étapes suivantes

Pour plus d’informations sur les documents de métadonnées de fédération publiés par Azure AD, consultez la page Métadonnées de fédération.