Vue d’ensemble des informations d’identification d’identité fédérée dans l’ID Microsoft Entra

Espace de noms: microsoft.graph

Traditionnellement, les développeurs utilisent des certificats ou des secrets client pour les informations d’identification de leur application afin de s’authentifier auprès des services dans l’ID Microsoft Entra et d’y accéder. Pour accéder aux services dans leur locataire Microsoft Entra, les développeurs ont dû stocker et gérer les informations d’identification d’application en dehors d’Azure, en introduisant les goulots d’étranglement suivants :

• Charge de maintenance pour les certificats et les secrets.
• Le risque de fuite de secrets.
• Certificats arrivant à expiration et interruptions de service en raison de l’échec de l’authentification.

Les informations d’identification d’identité fédérées sont un nouveau type d’informations d’identification qui permet la fédération d’identité de charge de travail pour les charges de travail logicielles. La fédération des identités de charge de travail vous permet d’accéder aux ressources protégées microsoft Entra sans avoir à gérer les secrets (pour les scénarios pris en charge).

Comment fonctionnent les informations d’identification d’identité fédérée ?

Vous créez une relation d’approbation entre un fournisseur d’identité externe (IdP) et une application dans l’ID Microsoft Entra en configurant des informations d’identification d’identité fédérée. Les informations d’identification de l’identité fédérée sont utilisées pour indiquer quel jeton du fournisseur d’identité externe doit être approuvé par votre application. Une fois cette relation d’approbation créée, votre charge de travail logicielle peut échanger des jetons approuvés du fournisseur d’identité externe contre des jetons d’accès à partir de la plateforme d’identités Microsoft. Votre charge de travail logicielle utilise ensuite ce jeton d’accès pour accéder aux ressources protégées microsoft Entra auxquelles la charge de travail a reçu l’accès. Cela élimine la charge de maintenance liée à la gestion manuelle des informations d’identification et élimine le risque de fuite de secrets ou d’expiration des certificats. Pour plus d’informations et les scénarios pris en charge, consultez Fédération des identités de charge de travail.

Configurer les informations d’identification d’identité fédérée via Microsoft Graph

La ressource federatedIdentityCredential représente la configuration d’informations d’identification d’identité fédérée via Microsoft Graph. Les propriétés suivantes sont les blocs de construction des informations d’identification d’identité fédérée :

• audiences : audience qui peut apparaître dans le jeton externe. Ce champ est obligatoire et doit être défini sur api://AzureADTokenExchange pour l’ID Microsoft Entra. Il indique ce que la plateforme d’identités Microsoft doit accepter dans la aud revendication dans le jeton entrant. Cette valeur représente l’ID Microsoft Entra dans votre fournisseur d’identité externe et n’a aucune valeur fixe entre les fournisseurs d’identité. Vous devrez peut-être créer une inscription d’application dans votre fournisseur d’identité pour servir d’audience de ce jeton.
• issuer : URL du fournisseur d’identité externe. Doit correspondre à la revendication de l’émetteur du jeton externe en cours d’échange.
• subject : identificateur de la charge de travail logicielle externe au sein du fournisseur d’identité externe. Comme la valeur d’audience, elle n’a pas de format fixe, car chaque fournisseur d’identité utilise son propre , parfois un GUID, parfois un identificateur délimité par deux-points, parfois des chaînes arbitraires. La valeur ici doit correspondre à la sub revendication dans le jeton présenté à l’ID Microsoft Entra.

La combinaison de l’émetteur et de l’objet doit être unique sur l’application. Lorsque la charge de travail logicielle externe demande à la plateforme d’identités Microsoft d’échanger le jeton externe contre un jeton d’accès, les valeurs de l’émetteur et de l’objet des informations d’identification de l’identité fédérée sont vérifiées par rapport aux issuer revendications et subject fournies dans le jeton externe. Si ce contrôle de validation réussit, la plateforme d’identités Microsoft émet un jeton d’accès à la charge de travail logicielle externe.

Considérations relatives à la conception

Un maximum de 20 informations d’identification d’identité fédérée peuvent être ajoutées par objet d’application ou identité managée affectée par l’utilisateur.

Contenu associé

• Type de ressource federatedIdentityCredential
• Fédération des identités de charge de travail
• Que sont les identités managées pour les ressources Azure ?