Comment la plateforme d’identités Microsoft utilise le protocole SAML

  • Article

La plateforme d’identités Microsoft utilise notamment le protocole SAML 2.0 pour permettre aux applications de fournir une expérience d’authentification unique (SSO) aux utilisateurs. Les profils SAML d’authentification unique et de déconnexion unique de Microsoft Entra ID expliquent comment les assertions, les protocoles et les liaisons SAML sont utilisées dans le service de fournisseur d’identité.

Le protocole SAML nécessite que le fournisseur d’identité (la plateforme d’identités Microsoft) et le fournisseur de services (l’application) échangent des informations les concernant.

Lorsqu’une application est inscrite auprès de Microsoft Entra ID, le développeur d’applications enregistre les informations liées à la fédération auprès de Microsoft Entra ID. Ces informations englobent notamment l’URI de redirection et l’URI des métadonnées de l’application.

La plateforme d’identités Microsoft utilise l’URI de métadonnées du service cloud pour récupérer la clé de signature et l’URI de déconnexion. De cette façon, la plateforme d’identités Microsoft peut envoyer la réponse à la bonne URL. Dans le centre d'administration Microsoft Entra ;

  • Ouvrez l’application dans Microsoft Entra ID et sélectionnez Inscriptions d'applications
  • Sous Gérer, sélectionnez Authentification. À partir de là, vous pouvez mettre à jour l’URL de déconnexion.

Microsoft Entra ID expose les points de terminaison d’authentification unique et de déconnexion unique spécifiques au tenant et communs (indépendants du tenant). Ces URL représentent des emplacements adressables et ne sont pas seulement des identificateurs. Vous pouvez ensuite accéder au point de terminaison pour lire les métadonnées.

  • Le point de terminaison propre au locataire se trouve à l’adresse https://login.microsoftonline.com/<TenantDomainName>/FederationMetadata/2007-06/FederationMetadata.xml. L’espace réservé <TenantDomainName> représente un nom de domaine inscrit ou le GUID TenantID d’un tenant Microsoft Entra. Par exemple, les métadonnées de fédération du client contoso.com sont sur : https://login.microsoftonline.com/contoso.com/FederationMetadata/2007-06/FederationMetadata.xml

  • Le point de terminaison indépendant du locataire se trouve à l’adresse https://login.microsoftonline.com/common/FederationMetadata/2007-06/FederationMetadata.xml. Dans cette adresse de point de terminaison, l’élément common remplace le nom de domaine ou l’ID du locataire.

Étapes suivantes

Pour plus d’informations sur les documents de métadonnées de fédération publiés par Microsoft Entra ID, consultez Métadonnées de fédération.