Scénarios d’échange de jeton de plateforme d’identités Microsoft avec SAML et OIDC/OAuth
SAML et OpenID Connect (OIDC)/OAuth sont des protocoles répandus permettant d’implémenter l’authentification unique (SSO). Certaines applications implémentent uniquement SAML, d’autres uniquement OIDC/OAuth. Les deux protocoles utilisent des jetons pour communiquer des secrets. Pour plus d’informations sur SAML, consultez Protocole SAML d’authentification unique. Pour plus d’informations sur OIDC/OAuth, consultez Protocoles OAuth 2.0 et OpenID Connect sur la Plateforme d’identités Microsoft.
Cet article décrit un scénario courant consistant à appeler l’API Graph, qui utilise OIDC/OAuth, alors que l’application implémente SAML. Des conseils de base sont donnés à eux qui travaillent avec ce cas de figure.
Scénario : Appeler l’API Graph tout en disposant d’un jeton SAML
De nombreuses applications sont implémentées avec SAML. Toutefois, l’API Graph utilise les protocoles OIDC/OAuth. Il est possible, bien que non trivial, d’ajouter des fonctionnalités OIDC/OAuth à une application SAML. Une fois la fonctionnalité OAuth disponible dans une application, l’API Graph peut être utilisée.
La stratégie générale consiste à ajouter la pile OIDC/OAuth à l’application. Dès que celle-ci implémente les deux standards, vous pouvez vous servir d’un cookie de session. Vous n’échangez pas explicitement de jeton. Vous ouvrez une session utilisateur avec SAML, qui génère un cookie de session. Lorsque l’API Graph appelle un flux OAuth, vous utilisez ce cookie de session pour vous authentifier. Cette stratégie suppose que les contrôles d’accès conditionnel sont réussis et que l’utilisateur est autorisé.
Notes
La Bibliothèque d’authentification Microsoft (MSAL) est la bibliothèque recommandée pour ajouter le comportement OIDC/OAuth.