Fournisseurs d’identité

S'APPLIQUE À : SDK v4

Un fournisseur d’identité authentifie des identités client ou utilisateur et délivre des jetons de sécurité consommables. Il fournit l’authentification utilisateur en tant que service.

Les applications clientes telles que les applications web délèguent l’authentification à un fournisseur d’identité approuvé. Ces applications clientes sont dites fédérées, c’est-à-dire qu’elles utilisent une identité fédérée. Pour plus d'informations, consultez Modèle d'identité fédérée.

L’utilisation d’un fournisseur d’identité approuvé offre les avantages suivants :

• Elle donne accès aux fonctionnalités d’authentification unique (SSO) et permet ainsi à une application d’accéder à plusieurs ressources sécurisées.
• Facilite les connexions entre les utilisateurs et les ressources de cloud computing, ce qui réduit la nécessité pour les utilisateurs de s'authentifier à nouveau.

Authentification unique

L'authentification unique est un processus d'authentification qui permet à un utilisateur de se connecter à un système une seule fois avec un ensemble unique d'identifiants pour accéder à plusieurs applications ou services.

Un utilisateur se connecte avec un ID et un mot de passe uniques pour accéder à différents systèmes logiciels associés. Pour plus d’informations, consultez Authentification unique.

De nombreux fournisseurs d'identité prennent en charge une opération de déconnexion qui révoque le jeton utilisateur et met fin à l'accès aux applications et services associés.

Important

L’authentification unique améliore le confort d’utilisation en réduisant le nombre de fois où un utilisateur doit entrer ses informations d’identification. Elle renforce également la sécurité en réduisant la surface d’attaque potentielle.

Fournisseur d'identité Microsoft Entra ID

Microsoft Entra ID est le service d'identité de Microsoft Azure qui fournit des capacités de gestion des identités et de contrôle d'accès. Il permet de connecter des utilisateurs de manière sécurisée à l’aide de protocoles standard comme OAuth2.0.

Vous pouvez choisir entre deux implémentations de fournisseur d'identité Active Directory présentant différents paramètres comme indiqué ci-dessous.

Remarque

Utilisez ces paramètres quand vous configurez les Paramètres de connexion OAuth dans l'application d'inscription de bot Azure. Pour plus d'informations, consultez Ajouter l'authentification à un bot.

Microsoft Entra ID

La plateforme d'identités Microsoft (v2.0) (également appelé point de terminaison Microsoft Entra ID) permet à un bot d'obtenir des jetons pour appeler des API Microsoft, telles que Microsoft Graph ou d'autres API. La plateforme d'identités est une évolution de la plateforme Azure AD (v1.0). Pour plus d'informations, consultez Vue d'ensemble de la plateforme d'identités Microsoft (v2.0).

Utilisez les paramètres Active Directory v2 ci-dessous pour permettre à un bot d'accéder aux données d'Office 365 via l'API Microsoft Graph.

Propriété	Description ou valeur
Nom	Un nom pour cette connexion du fournisseur d'identité.
Fournisseur de services	Le fournisseur d'identité à utiliser. Sélectionnez Microsoft Entra ID.
ID client	L'ID (client) d'application pour votre application de fournisseur d'identité Azure.
Clè secrète client	Le secret de votre application de fournisseur d'identité Azure.
Tenant ID	L'identifiant de votre annuaire (locataire) ou common. Pour plus d'informations, consultez la note sur les identifiants de locataire.
Étendues	Une liste séparée par l'espace des autorisations d'API que vous avez accordées à l'application de fournisseur d'identité Microsoft Entra ID, comme openid, profile, Mail.Read, Mail.Send, User.Read, et User.ReadBasic.All.
URL d’échange de jeton	Dans le cas d'un bot de compétences avec SSO, utilisez l'URL d'échange de jetons associée à la connexion OAuth ; dans le cas contraire, laissez ce champ vide. Pour plus d'informations sur l'URL d'échange de jetons de SSO, consultez Créer un paramètre de connexion OAuth.

Azure AD v1

Azure AD v1

Utilisez les paramètres ci-dessous pour configurer la plateforme de développement Microsoft Entra ID (v1.0), également appelée point de terminaison Azure AD v1. Cette plateforme vous permet de créer des applications qui connectent en toute sécurité les utilisateurs avec un compte professionnel ou scolaire Microsoft. Pour plus d'informations, consultez Vue d'ensemble de Microsoft Entra ID pour les développeurs (v1.0).

Propriété	Description ou valeur
Nom	Un nom pour cette connexion du fournisseur d'identité.
Fournisseur de services	Le fournisseur d'identité à utiliser. Sélectionnez Microsoft Entra ID.
ID client	L'ID (client) d'application pour votre application de fournisseur d'identité Azure.
Clè secrète client	Le secret de votre application de fournisseur d'identité Azure.
Type d’autorisation	authorization_code
URL de connexion	https://login.microsoftonline.com
Tenant ID	L'identifiant de votre annuaire (locataire) ou common. Pour plus d'informations, consultez la note ci-dessous relative aux identifiants du locataire.
URL de la ressource	https://graph.microsoft.com/
Étendues	Laissez ce champ vide.
URL d’échange de jeton	Laissez ce champ vide.

Remarque

Si vous avez sélectionné l'une des options suivantes, saisissez l'identifiant du locataire que vous avez enregistré pour l'application du fournisseur d'identité Microsoft Entra ID :

• Comptes dans cet annuaire d’organisation uniquement (Microsoft uniquement - Locataire unique)
• Comptes dans un annuaire d’organisation (annuaire Microsoft AAD - Multilocataire)

Si vous avez sélectionné Comptes dans un annuaire d'organisation (tout annuaire Microsoft Entra ID – multilocataire) et comptes Microsoft personnels (par exemple, Skype, Xbox, Outlook.com), saisissez common.

Dans le cas contraire, l'application du fournisseur d'identité Microsoft Entra ID utilisera le locataire pour vérifier l'identifiant sélectionné et exclura les comptes Microsoft personnels.

Pour plus d’informations, consultez l’article suivant :

• Pourquoi mettre à jour à la plateforme d'identités Microsoft (v2.0) ?
• Plateforme d'identités Microsoft (Microsoft Entra ID pour développeurs).

Autres fournisseurs d’identité

Azure prend en charge plusieurs fournisseurs d’identité. Vous pouvez en obtenir la liste complète avec les informations associées en exécutant les commandes de console Azure suivantes :

az login
az bot authsetting list-providers

Vous pouvez également consulter la liste de ces fournisseurs dans le portail Azure quand vous définissez les paramètres de connexion OAuth pour une application d'inscription de bot.

Fournisseurs génériques OAuth

Azure prend en charge l'authentification OAuth2 générique, qui vous permet d'utiliser votre propre fournisseur d'identité.

Vous pouvez choisir entre deux implémentations de fournisseur d'identité générique présentant différents paramètres comme indiqué ci-dessous.

Remarque

Utilisez les paramètres décrits ici quand vous configurez les Paramètres de connexion OAuth dans l'application d'inscription de bot Azure.

Generic OAuth 2

Utilisez ce fournisseur pour configurer un fournisseur d'identité OAuth2 générique ayant des attentes similaires à celles d'un fournisseur Microsoft Entra ID, en particulier AD v2. Pour ce type de connexion, les chaînes de requête et les charges utiles du corps de la demande sont corrigées.

Propriété	Description ou valeur
Nom	Un nom pour cette connexion du fournisseur d'identité.
Fournisseur de services	Le fournisseur d'identité à utiliser. Sélectionnez Oauth générique 2.
ID client	Votre ID client obtenu auprès du fournisseur d'identité.
Clè secrète client	Votre clé secrète client obtenue lors de l'inscription du fournisseur d'identité.
URL d’autorisation	https://login.microsoftonline.com/common/oauth2/v2.0/authorize
URL du jeton	https://login.microsoftonline.com/common/oauth2/v2.0/token
URL d’actualisation	https://login.microsoftonline.com/common/oauth2/v2.0/token
URL d’échange de jeton	Laissez ce champ vide.
Étendues	Une liste séparée par des virgules des autorisations d'API que vous avez octroyées à l'application du fournisseur d'identité.

Fournisseur générique OAuth 2

Ce fournisseur nécessite plus de paramètres de configuration, utilisez donc cette version pour configurer n'importe quel fournisseur de service OAuth 2 générique lorsque vous avez besoin de plus de flexibilité. Avec cette configuration, vous spécifiez les modèles d'URL, les modèles de chaîne de requête et les modèles de corps pour l'autorisation, l'actualisation et la conversion des jetons.

Propriété	Description ou valeur
Nom	Un nom pour cette connexion du fournisseur d'identité.
Fournisseur de services	Le fournisseur d'identité à utiliser. Sélectionnez le fournisseur générique Oauth 2.
ID client	Votre ID client obtenu auprès du fournisseur d'identité.
Clè secrète client	Votre clé secrète client obtenue lors de l'inscription du fournisseur d'identité.
Délimiteur pour la liste d’étendues	Le caractère séparateur de la liste des étendues. Les espaces vides ( ) ne sont pas pris en charge dans ce champ, mais peuvent être utilisés si nécessaire par le fournisseur d'identité dans le champ Étendues. Dans ce cas, utilisez une virgule (,) pour ce champ et des espaces ( ) dans le champ Étendues.
Modèle d’URL d’autorisation	Un Modèle d'URL pour les autorisations, défini par votre fournisseur d'identité. Par exemple : https://login.microsoftonline.com/common/oauth2/v2.0/authorize.
Modèle de chaîne de requête de l'URL d'autorisation	Un modèle de requête pour les autorisations, fourni par votre fournisseur d'identité. Les clés du modèle de chaîne de requête varient en fonction du fournisseur d’identité. Par exemple : ?client_id={ClientId}&response_type=code&redirect_uri={RedirectUrl}&scope={Scopes}&state={State}.
Modèle d’URL du jeton	https://login.microsoftonline.com/common/oauth2/v2.0/token
Modèle de chaîne de requête de l’URL du jeton	Le séparateur de chaîne de requête pour l'URL du jeton. Généralement un point d'interrogation (?).
Modèle de corps de jeton	Un modèle pour le corps du jeton. Par exemple : code={Code}&grant_type=authorization_code&redirect_uri={RedirectUrl}&client_id={ClientId}&client_secret={ClientSecret}.
Modèle d’URL d’actualisation	https://login.microsoftonline.com/common/oauth2/v2.0/token
Modèle de chaîne de requête de l’URL d’actualisation	Un séparateur de chaîne de requête de l'URL d'actualisation pour l'URL du jeton. Généralement un point d'interrogation (?).
Modèle de corps pour l’actualisation	Un modèle pour le corps d'actualisation. Par exemple : refresh_token={RefreshToken}&redirect_uri={RedirectUrl}&grant_type=refresh_token&client_id={ClientId}&client_secret={ClientSecret}.
URL d’échange de jeton	Laissez ce champ vide.
Étendues	Liste des étendues que vous souhaitez que les utilisateurs authentifiés aient une fois connectés. Vérifiez que vous définissez uniquement les étendues nécessaires et suivez le principe de contrôle de droit d'accès minimal. Par exemple : User.Read. Si vous utilisez une étendue personnalisée, servez-vous de l'URI complet, y compris l'URI d'identifiant d'application exposé.

Étapes suivantes

Proxy des fournisseurs d'identité