Ajouter OpenID Connect en tant que fournisseur d’identité externe

S’applique à : Locataires de main-d’œuvre Locataires externes (en savoir plus)

En configurant la fédération avec un fournisseur d’identité OpenID Connect (OIDC) configuré personnalisé, vous pouvez autoriser les utilisateurs à s’inscrire et à se connecter à vos applications à l’aide de leurs comptes existants à partir du fournisseur externe fédéré. Cette fédération OIDC permet l’authentification auprès de différents fournisseurs qui adhèrent au protocole OpenID Connect.

Lorsque vous ajoutez un fournisseur d’identité OIDC aux options de connexion de votre flux d’utilisateurs, les utilisateurs peuvent s’inscrire et se connecter aux applications inscrites définies dans ce flux d’utilisateur. Ils peuvent le faire à l’aide de leurs identifiants à partir du fournisseur d’identité OIDC. (En savoir plus sur les méthodes d’authentification et les fournisseurs d’identité pour les clients.)

Conditions préalables

• Un locataire externe.
• Application enregistrée dans le locataire.
• Flux d’utilisateur d’inscription et de connexion.

Configurer votre fournisseur d’identité OpenID Connect

Pour pouvoir fédérer des utilisateurs à votre fournisseur d’identité, vous devez d’abord préparer votre fournisseur d’identité pour accepter les demandes de fédération de votre client Microsoft Entra ID. Pour ce faire, vous devez remplir vos URI de redirection et vous inscrire auprès de votre fournisseur d’identité pour être reconnu.

Avant de passer à l’étape suivante, renseignez vos URI de redirection comme suit :

https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2

https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2

Activer la connexion et l’inscription auprès de votre fournisseur d’identité

Pour activer la connexion et l’inscription pour les utilisateurs disposant d’un compte dans votre fournisseur d’identité, vous devez inscrire l’ID Microsoft Entra en tant qu’application dans votre fournisseur d’identité. Cette étape permet à votre fournisseur d’identité de reconnaître et de émettre des jetons à votre ID Microsoft Entra pour la fédération. Inscrivez l’application à l’aide de vos URI de redirection renseignés. Enregistrez les détails de la configuration de votre fournisseur d’identité pour configurer la fédération dans votre tenant Microsoft Entra External ID.

Paramètres de fédération

Pour configurer la fédération openID connect avec votre fournisseur d’identité dans Microsoft Entra External ID, vous devez disposer des paramètres suivants :

• Point de terminaison connu
• URI de l’émetteur
• ID du client
• Méthode d’authentification du client
• Secret client
• Étendue
• Type de réponse
• Mappage des revendications
  • Sub
  • Nom
  • Prénom
  • Nom de la famille
  • E-mail (obligatoire)
  • Email_vérifié
  • Numéro de téléphone
  • Numéro_de_téléphone_vérifié
  • Adresse postale
  • Localité
  • Région
  • Code postal
  • Pays

Configurer un nouveau fournisseur d’identité OpenID Connect dans le Centre d’administration

Après avoir configuré votre fournisseur d’identité, à cette étape, vous allez configurer une nouvelle fédération OpenID Connect dans le Centre d’administration Microsoft Entra.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur du fournisseur d’identité externe au moins.

2. Accédez à Entra ID>Identités externes>Tous les fournisseurs d'identité.

3. Sélectionnez l’onglet Personnalisé , puis sélectionnez Ajouter une nouvelle>connexion Open ID Connect.

   

4. Entrez les détails suivants pour votre fournisseur d’identité :

   • Nom d’affichage : nom de votre fournisseur d’identité qui sera affiché à vos utilisateurs pendant les flux de connexion et d’inscription. Par exemple, connectez-vous avec le nom de l'IdP ou inscrivez-vous avec le nom de l'IdP.

   • Le point de terminaison connu (également appelé URI de métadonnées) est l’URI de découverte OIDC pour obtenir les informations de configuration de votre fournisseur d’identité. La réponse à récupérer à partir d’un emplacement connu est un document JSON, y compris ses emplacements de point de terminaison OAuth 2.0. Notez que le document de métadonnées doit contenir au minimum les propriétés suivantes : issuer, , authorization_endpoint, token_endpoint, token_endpoint_auth_methods_supported, subject_types_supportedresponse_types_supportedet jwks_uri. Pour plus d'informations, consultez les spécifications d’OpenID Connect Discovery.

   • URI de l’émetteur OpenID : entité de votre fournisseur d’identité qui émet des jetons d’accès pour votre application. Par exemple, si vous utilisez OpenID Connect pour fédérer avec votre instance Azure AD B2C, votre URI d’émetteur peut être extrait de votre URI de découverte avec la balise « issuer » et ressemblera à : https://login.b2clogin.com/{tenant}/v2.0/. L’URI de l’émetteur est une URL respectant la casse utilisant le schéma https qui contient le schéma, l’hôte et éventuellement les composants de numéro de port et de chemin d’accès, et aucun composant de requête ou de fragment.

   Remarque

   La configuration d’autres locataires Microsoft Entra en tant que fournisseur d’identité externe n’est actuellement pas prise en charge. Par conséquent, le microsoftonline.com domaine dans l’URI de l’émetteur n’est pas accepté.

   • L’ID client et la clé secrète client sont les identificateurs que votre fournisseur d’identité utilise pour identifier le service d’application inscrit. La clé secrète du client doit être fournie si l'authentification "client_secret" est sélectionnée. Si private_key_jwt est sélectionné, la clé privée doit être fournie dans les métadonnées du fournisseur OpenID (point de terminaison connu), récupérable via la propriété jwks_uri.
   • L’authentification du client est le type de méthode d’authentification client à utiliser pour s’authentifier auprès de votre fournisseur d’identité à l’aide du point de terminaison de jeton. client_secret_post, client_secret_jwt et les private_key_jwt méthodes d’authentification sont prises en charge.

   Remarque

   En raison de problèmes de sécurité possibles, client_secret_basic méthode d’authentification client n’est pas prise en charge.

   • L’étendue définit les informations et les autorisations que vous souhaitez collecter à partir de votre fournisseur d’identité, par exemple openid profile. Les requêtes OpenID Connect doivent inclure la valeur openid dans le champ d’étendue afin de recevoir le jeton d'identification de votre fournisseur d'identité. D’autres étendues peuvent être ajoutées séparées par des espaces. Reportez-vous à la documentation OpenID Connect pour voir quelles autres étendues peuvent être disponibles telles que profile, emailetc.
   • Le type de réponse décrit quel type d'informations est renvoyé lors de l'appel initial à votre authorization_endpoint fournisseur d'identité. Actuellement, seul le type de code réponse est pris en charge. id_token et token ne sont pas pris en charge pour le moment.

5. Vous pouvez sélectionner Suivant : Mappage de revendications pour configurer le mappage de revendications ou Vérifier + créer pour ajouter votre fournisseur d’identité.

Remarque

Microsoft vous recommande de ne pas utiliser le flux d’octroi implicite ou le flux ROPC. Par conséquent, la configuration du fournisseur d’identité externe OpenID connect ne prend pas en charge ces flux. La façon recommandée de prendre en charge les spAs est le flux de code d’autorisation OAuth 2.0 (avec PKCE) pris en charge par la configuration de fédération OIDC.

Ajouter un fournisseur d’identité OIDC à un flux d’utilisateur

À ce stade, le fournisseur d’identité OIDC a été configuré dans votre ID Microsoft Entra, mais il n’est pas encore disponible dans les pages de connexion. Pour ajouter le fournisseur d’identité OIDC à un flux d’utilisateur :

1. Dans votre locataire externe, accédez à Entra ID>, Identités externes>, Flux utilisateur.

2. Sélectionnez le flux utilisateur dans lequel vous souhaitez ajouter le fournisseur d’identité OIDC.

3. Sous Paramètres, sélectionnez Fournisseurs d’identité.

4. Sous Autres fournisseurs d’identité, sélectionnez fournisseur d’identité OIDC.

   

5. Cliquez sur Enregistrer.

Contenu connexe

• Ajouter un locataire Azure AD B2C en tant que fournisseur d’identité OIDC
• Mappage des revendications OIDC