Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Mise à jour : 19 juin 2015
S’applique à : Azure
Une application de partie de confiance (également appelée application prenant en charge les revendications ou application basée sur les revendications) est une application ou un service qui s’appuie sur des revendications pour l’authentification. Dans le contrôle d’accès Microsoft Azure Active Directory (également appelé service de contrôle d’accès ou ACS), une application de partie de confiance est un site web, une application ou un service qui utilise ACS pour implémenter l’authentification fédérée.
Vous pouvez créer et configurer des applications de partie de confiance manuellement, à l’aide du portail de gestion ACS, ou par programmation, à l’aide du service de gestion ACS.
Dans le portail de gestion ACS, l’application de partie de confiance que vous ajoutez et configurez est une représentation logique de votre site Web, de votre application ou de votre service qui approuve un espace de noms de contrôle d’accès spécifique. Vous pouvez ajouter et configurer de nombreuses applications de partie de confiance dans chaque espace de noms de contrôle d’accès.
Configuration dans le portail de gestion ACS
Vous pouvez utiliser le portail de gestion ACS pour configurer les propriétés suivantes d’une application de partie de confiance :
mode de fonctionnement
Domaine et URL de retour
URL d’erreur (facultatif)
Format du jeton
Politique de chiffrement des jetons
Durée de vie du jeton
Fournisseurs d’identité
Groupes de règles
Signature de jeton
Chiffrement des jetons
mode de fonctionnement
La propriété Mode détermine si vous configurez manuellement les paramètres de votre application de partie de confiance ou si vous spécifiez un document de métadonnées WS-Federation qui définit les paramètres de l’application.
Un document de métadonnées WS-Federation contient généralement le domaine et l’URL de retour d’une application. Il peut également inclure un certificat de chiffrement facultatif qui est utilisé pour chiffrer les jetons émis par ACS pour l’application. Si un document WS-Federation est spécifié et que les métadonnées contiennent un certificat de chiffrement, le paramètre Stratégie de chiffrement de jeton est défini par défaut sur Exiger le chiffrement. Si la valeur du paramètre Stratégie de chiffrement du jeton est Exiger le chiffrement, mais que le document de métadonnées WS-Federation n’inclut pas de certificat de chiffrement, vous devez télécharger un certificat de chiffrement manuellement.
Si votre application de partie de confiance est intégrée à Windows Identity Foundation (WIF), WIF crée automatiquement un document de métadonnées WS-Federation pour votre application.
Domaine et URL de retour
La propriété Realm définit l’URI dans lequel les jetons émis par ACS sont valides. L’URL de retour (également appelée adresse ReplyTo) définit l’URL à laquelle les jetons émis par ACS sont envoyés. Lorsqu’un jeton est demandé pour l’accès à l’application de la partie de confiance, ACS émet le jeton uniquement lorsque le domaine de la demande de jeton correspond au domaine de l’application de la partie de confiance.
Important
Dans ACS, les valeurs de domaine sont sensibles à la casse.
Dans le portail de gestion ACS, vous ne pouvez configurer qu’un seul domaine et une seule URL de retour dans chaque espace de noms de contrôle d’accès. Dans le cas le plus simple, le domaine et l’URL de retour sont identiques. Par exemple, si l’URI racine de votre application est https://contoso.com, le domaine et l’URL de retour de l’application de la partie de confiance sont https://contoso.com.
Pour configurer plusieurs URL de retour (adresse ReplyTo) pour une application de partie de confiance, utilisez l’entité RelyingPartyAddress dans le service de gestion ACS.
Lorsqu’un jeton est demandé à ACS ou qu’un jeton est publié dans ACS à partir d’un fournisseur d’identité, ACS compare la valeur de domaine dans la demande de jeton aux valeurs de domaine des applications de partie de confiance. Si la demande de jeton utilise WS-Federation protocole, ACS utilise la valeur realm se trouve dans le paramètre wtrealm . Si le jeton utilise le protocole OAuth WRAP, ACS utilise la valeur realm dans le paramètre applies_to . Si ACS trouve un domaine correspondant dans les paramètres de configuration d’une application de partie de confiance, il crée un jeton qui authentifie l’utilisateur auprès de l’application de partie de confiance et envoie le jeton à l’URL de retour.
Le processus est similaire lorsque la partie qui se fie à l’utilisation a plus d’une URL de retour. ACS récupère l’URL de redirection à partir du paramètre wreply . Si l’URL de redirection est l’une des URL de retour de l’application de partie de confiance, ACS envoie la réponse à cette URL.
Les valeurs de domaine sont sensibles à la casse. Le jeton n’est émis que si les valeurs de domaine sont identiques ou si la valeur de domaine de l’application de partie de confiance est un préfixe du domaine dans la demande de jeton. Par exemple, la valeur du domaine de l’application de http://www.fabrikam.com la partie de confiance correspond à la valeur du domaine de la demande de jeton de http://www.fabrikam.com/billing, mais elle ne correspond pas à celle du domaine de la demande de jeton v de https://fabrikam.com.
URL d’erreur (facultatif)
L’URL d’erreur spécifie une URL vers laquelle ACS redirige les utilisateurs si une erreur se produit pendant le processus de connexion. Il s’agit d’une propriété facultative de l’application de la partie de confiance.
La valeur de l’URL d’erreur peut être une page personnalisée hébergée par l’application de partie de confiance, telle que http://www.fabrikam.com/billing/error.aspx. Dans le cadre de la redirection, ACS fournit des détails sur l’erreur à l’application de la partie de confiance en tant que paramètre d’URL HTTP codé JSON. La page d’erreur personnalisée peut être conçue pour interpréter les informations d’erreur encodées en JSON, pour afficher le message d’erreur réel et/ou pour afficher un texte d’aide statique.
Pour plus d’informations sur l’utilisation de l’URL d’erreur, consultez Exemple de code : ASP.NET Simple MVC 2.
Format du jeton
La propriété Token format détermine le format des jetons émis par ACS pour l’application de la partie de confiance. ACS peut émettre des jetons SAML 2.0, SAML 1.1, SWT ou JWT. Pour plus d’informations sur les formats de jeton, consultez Formats de jeton pris en charge dans ACS.
ACS utilise des protocoles standard pour renvoyer les jetons à une application ou à un service Web. Lorsque plusieurs protocoles sont pris en charge pour un format de jeton, ACS utilise le même protocole que celui utilisé pour la demande de jeton. ACS prend en charge les combinaisons de format de jeton/protocole suivantes :
ACS peut renvoyer des jetons SAML 2.0 à l’aide des protocoles WS-Trust et WS-Federation.
ACS peut retourner des jetons SAML 1.1 à l’aide de WS-Federation et des protocoles WS-Trust associés.
ACS peut retourner des jetons SWT à l’aide des protocoles WS-Federation, WS-Trust, OAuth-WRAP et OAuth 2.0.
ACS peut émettre et retourner des jetons JWT à l’aide des protocoles WS-Federation, WS-Trust et OAuth 2.0.
Pour plus d’informations sur les protocoles standard utilisés par ACS, consultez Protocoles pris en charge dans ACS.
Lorsque vous choisissez un format de jeton, tenez compte de la façon dont votre espace de noms de contrôle d’accès signe les jetons qu’il émet. Tous les jetons émis par ACS doivent être signés. Pour plus d’informations, consultez Signature de jeton.
Déterminez également si vous souhaitez que les jetons soient chiffrés. Pour plus d’informations, consultez Stratégie de chiffrement des jetons.
Politique de chiffrement des jetons
La stratégie de chiffrement des jetons détermine si les jetons émis par ACS pour l’application de la partie de confiance sont chiffrés. Pour exiger le chiffrement, sélectionnez la valeur Exiger le chiffrement .
Dans ACS, vous pouvez configurer une stratégie de chiffrement pour les jetons SAML 2.0 ou SAML 1.1 uniquement. ACS ne prend pas en charge le chiffrement des jetons SWT ou JWT.
ACS chiffre les jetons SAML 2.0 et SAML 1.1 à l’aide d’un certificat X.509 contenant une clé publique (fichier .cer). Ces jetons chiffrés sont ensuite déchiffrés à l’aide d’une clé privée possédée par l’application de la partie utilisatrice. Pour plus d’informations sur l’obtention et l’utilisation des certificats de chiffrement, consultez Certificats et clés.
La configuration d’une stratégie de chiffrement sur vos jetons émis par ACS est facultative. Toutefois, une stratégie de chiffrement doit être configurée lorsque votre application de partie de confiance est un service Web qui utilise des jetons de preuve de possession sur le protocole WS-Trust. Ce scénario particulier ne fonctionne pas correctement sans jetons chiffrés.
Durée de vie du jeton
La propriété Token lifetime spécifie l’intervalle de temps (en secondes) pendant lequel le jeton de sécurité qu’ACS envoie à l’application de partie de confiance est valide. La valeur par défaut est 600 (10 minutes). Dans ACS, la valeur à vie du jeton doit être comprise entre zéro (0) et 86400 (24 heures) inclus.
Fournisseurs d’identité
La propriété Fournisseurs d’identité spécifie les fournisseurs d’identité qui peuvent envoyer des revendications à l’application de partie utilisatrice. Ces fournisseurs d’identité apparaissent sur la page de connexion ACS de votre application Web ou service. Tous les fournisseurs d’identité configurés dans la section Fournisseurs d’identité du portail ACS apparaissent dans la liste des fournisseurs d’identité. Pour ajouter un fournisseur d’identité à la liste, cliquez sur Fournisseurs d’identité.
Chaque application de partie de confiance peut être associée à zéro ou plusieurs fournisseurs d’identité. Les applications de partie de confiance dans un espace de noms de contrôle d’accès peuvent être associées au même fournisseur d’identité ou à des fournisseurs d’identité différents. Si vous ne sélectionnez aucun fournisseur d’identité pour une application de partie de confiance, vous devez configurer une authentification directe avec ACS pour l’application de partie de confiance. Par exemple, vous pouvez utiliser des identités de service pour configurer une authentification directe. Pour plus d’informations, consultez Identités de service.
Groupes de règles
La propriété Groupes de règles détermine les règles que l’application de partie de confiance utilise lors du traitement des revendications.
Chaque application de partie de confiance ACS doit être associée à au moins un groupe de règles. Si une demande de jeton correspond à une application de partie de confiance qui n’a pas de groupe de règles, ACS n’émet pas de jeton pour l’application Web ou le service.
Tous les groupes de règles configurés dans la section Groupes de règles du portail ACS apparaissent dans la liste des groupes de règles. Pour ajouter un groupe de règles à la liste, cliquez sur Groupes de règles.
Lorsque vous ajoutez une nouvelle application de partie de confiance dans le portail de gestion ACS, l’option Créer un groupe de règles est sélectionnée par défaut. Il est fortement recommandé de créer un groupe de règles pour votre nouvelle application de partie de confiance. Toutefois, vous pouvez associer votre application de partie de confiance à un groupe de règles existant. Pour ce faire, désactivez l’option Créer un nouveau groupe de règles et sélectionnez le groupe de règles souhaité.
Vous pouvez associer une application de partie de confiance à plusieurs groupes de règles (et associer un groupe de règles à plusieurs applications de partie de confiance). Si une application de partie de confiance est associée à plusieurs groupes de règles, ACS évalue de manière récursive les règles de tous les groupes de règles comme s’il s’agissait de règles d’un seul groupe de règles.
Pour plus d’informations sur les règles et les groupes de règles, consultez Groupes de règles et règles.
Signature de jeton
La propriété Paramètres de signature de jeton spécifie la façon dont les jetons de sécurité émis par ACS sont signés. Tous les jetons émis par ACS doivent être signés.
Les options de signature de jeton disponibles dépendent du format de jeton de l’application de partie de confiance. (Pour plus d’informations sur les formats de jeton, consultez Format de jeton.)
Jetons SAML : utilisez un certificat X.509 pour signer les jetons.
Jetons SWT : utilisez une clé symétrique pour signer les jetons.
Jetons JWT : utilisez un certificat X.509 ou une clé symétrique pour signer les jetons.
X.509 Options de certificat. Les options suivantes sont disponibles pour les jetons signés avec un certificat X.509.
Utiliser le certificat d’espace de noms de service (standard) : si vous sélectionnez cette option, ACS utilise le certificat de l’espace de noms de contrôle d’accès pour signer les jetons SAML 1.1 et SAML 2.0 pour l’application de partie de confiance. Utilisez cette option si vous envisagez d’automatiser la configuration de votre application ou service web à l’aide de métadonnées WS-Federation, car la clé publique de l’espace de noms est publiée dans les métadonnées WS-Federation de votre espace de noms de contrôle d’accès. L’URL du document WS-Federation métadonnées s’affiche sur la page Intégration d’applications du portail de gestion ACS.
Utiliser un certificat dédié : si vous sélectionnez cette option, ACS utilise un certificat spécifique à l’application pour signer les jetons SAML 1.1 et SAML 2.0 pour l’application de partie de confiance. Le certificat n’est pas utilisé pour d’autres applications de partie de confiance. Après avoir sélectionné cette option, recherchez un certificat X.509 avec une clé privée (fichier .pfx), puis entrez le mot de passe du fichier .pfx.
Remarque
Jetons JWT. Lorsque vous configurez une application de partie de confiance pour qu’elle utilise le certificat X.509 pour l’espace de noms de contrôle d’accès afin de signer des jetons JWT pour une application de partie de confiance, les liens vers le certificat d’espace de noms de contrôle d’accès et la clé d’espace de gestion de contrôle d’accès apparaissent sur la page de l’application de partie de confiance dans le portail de gestion ACS. Toutefois, ACS utilise uniquement le certificat d’espace de noms pour signer les jetons de l’application de partie de confiance.
Espaces de noms gérés. Lorsque vous ajoutez une application de partie de confiance à un espace de noms managé, tel qu’un espace de noms Service Bus, n’entrez pas de certificats ou de clés spécifiques à l’application (dédiés). Au lieu de cela, sélectionnez les options qui indiquent à ACS d’utiliser les certificats et les clés configurés pour toutes les applications dans l’espace de noms managé. Pour plus d’informations, consultez Espaces de noms gérésPour plus d’informations sur les certificats et les clés partagés et dédiés, consultez Certificats et clés.
Options de clé symétrique
En tant que bonne pratique de sécurité, lorsque vous utilisez des clés symétriques, créez une clé dédiée pour chaque application de partie de confiance, au lieu d’utiliser la clé symétrique partagée pour l’espace de noms de contrôle d’accès. Si vous entrez ou générez une clé dédiée, ACS utilise une clé dédiée pour signer les jetons de l’application de partie de confiance, à condition que la clé dédiée soit valide. Toutefois, si la clé dédiée expire et n’est pas remplacée, ACS utilise la clé d’espace de noms partagée pour signer les jetons de l’application de la partie de confiance.
Si vous choisissez d’utiliser la clé symétrique partagée, copiez les valeurs de la clé d’espace de noms de service à partir de la page Certificats et clés et collez-les dans les champs de la section Signature de jeton de la page Applications de partie de confiance .
Les options suivantes sont disponibles pour les jetons signés avec des clés symétriques.
Clé de signature de jeton : entrez une clé symétrique de 256 bits ou cliquez sur Générer pour générer une clé symétrique de 256 bits.
Date d’effet : spécifie la date de début de la plage de dates pendant laquelle la clé symétrique est valide. À compter de cette date, ACS utilise la clé symétrique pour signer les jetons de l’application de partie de confiance. La valeur par défaut de l’ACS est la date du jour.
Date d’expiration : spécifie la date de fin de la plage de dates pendant laquelle la clé symétrique est valide. À partir de cette date, ACS n’utilise plus la clé symétrique pour signer les jetons de l’application de partie de confiance. Il n’existe aucune valeur par défaut. En tant que bonne pratique de sécurité, les clés symétriques doivent être remplacées tous les ans ou tous les deux ans, en fonction des exigences de l’application.
Chiffrement des jetons
L’option de certificat de chiffrement de jeton spécifie le certificat X.509 (fichier .cer) utilisé pour chiffrer les jetons de l’application de partie de confiance. Dans ACS, vous ne pouvez chiffrer que les jetons SAML 2.0 ou SAML 1.1. ACS ne prend pas en charge le chiffrement des jetons SWT ou JWT.
Vous spécifiez des certificats pour le chiffrement de jeton dans la section Certificats et clés du portail ACS. Lorsque vous cliquez sur le lien Cliquez ici dans la section Stratégie de chiffrement de jeton de la page d’application Partie de confiance, la page Ajouter un certificat de chiffrement de jeton de Certificats et clés s’ouvre. Cette page permet de spécifier un fichier de certificat.
Pour plus d’informations, consultez Stratégie de chiffrement des jetons. Pour plus d’informations sur l’obtention et l’ajout de certificats de chiffrement, consultez Certificats et clés.