Поделиться через

Обзор учетных данных федеративных удостоверений в Microsoft Entra ID

  • Статья

Пространство имен: microsoft.graph

Традиционно разработчики используют сертификаты или секреты клиента для учетных данных своего приложения для проверки подлинности и доступа к службам в Microsoft Entra ID. Чтобы получить доступ к службам в клиенте Microsoft Entra, разработчикам пришлось хранить учетные данные приложений и управлять ими за пределами Azure, что приводит к следующим узким местам:

  • Нагрузка на обслуживание сертификатов и секретов.
  • Риск утечки секретов.
  • Срок действия сертификатов и перебои службы из-за сбоя проверки подлинности.

Учетные данные федеративного удостоверения — это новый тип учетных данных, который обеспечивает федерацию удостоверений рабочей нагрузки для рабочих нагрузок программного обеспечения. Федерация удостоверений рабочей нагрузки позволяет получить доступ к защищенным ресурсам Microsoft Entra без необходимости управлять секретами (для поддерживаемых сценариев).

Как работают учетные данные федеративных удостоверений?

Вы создаете отношение доверия между внешним поставщиком удостоверений (IdP) и приложением в Microsoft Entra ID путем настройки учетных данных федеративного удостоверения. Учетные данные федеративного удостоверения используются для указания того, какой маркер из внешнего поставщика удостоверений должен быть доверенным для приложения. После создания этого отношения доверия рабочая нагрузка программного обеспечения может обменивать доверенные маркеры от внешнего поставщика удостоверений на маркеры доступа из платформа удостоверений Майкрософт. Затем рабочая нагрузка программного обеспечения использует этот маркер доступа для доступа к защищенным ресурсам Microsoft Entra, к которым рабочая нагрузка была предоставлена доступ. Это устраняет нагрузку на обслуживание, связанное с управлением учетными данными вручную, и устраняет риск утечки секретов или истечения срока действия сертификатов. Дополнительные сведения и поддерживаемые сценарии см. в разделе Федерация удостоверений рабочей нагрузки.

Настройка учетных данных федеративных удостоверений с помощью Microsoft Graph

Ресурс federatedIdentityCredential представляет конфигурацию учетных данных федеративного удостоверения с помощью Microsoft Graph. Используйте API Create federatedIdentityCredential для настройки объекта. Следующие свойства являются стандартными блоками учетных данных федеративных удостоверений.

  • audiences — аудитория, которая может отображаться во внешнем маркере. Это поле является обязательным и должно иметь значение api://AzureADTokenExchange для Microsoft Entra ID. В нем говорится, что платформа удостоверений Майкрософт должны принимать в утверждении aud во входящем маркере. Это значение представляет Microsoft Entra ID во внешнем поставщике удостоверений и не имеет фиксированного значения для всех поставщиков удостоверений. Возможно, вам потребуется создать новую регистрацию приложения в поставщике удостоверений, чтобы служить аудиторией этого маркера.
  • издатель — URL-адрес внешнего поставщика удостоверений. Должен соответствовать утверждению издателя внешнего токена, который обменивается.
  • subject — идентификатор внешней рабочей нагрузки программного обеспечения в пределах внешнего поставщика удостоверений. Как и значение аудитории, оно не имеет фиксированного формата, так как каждый поставщик удостоверений использует свой собственный — иногда GUID, иногда идентификатор с разделителями двоеточием, иногда произвольные строки. Здесь значение должно соответствовать утверждению sub в маркере, представленном Microsoft Entra ID.
  • name — уникальная строка для идентификации учетных данных. Это свойство является альтернативным ключом, и значение можно использовать для ссылки на учетные данные федеративного удостоверения с помощью операций GET и UPSERT .

Сочетание издателя и субъекта должно быть уникальным в приложении. Когда рабочая нагрузка внешнего программного обеспечения запрашивает платформа удостоверений Майкрософт для обмена внешнего маркера на маркер доступа, значения издателя и субъекта учетных данных федеративного удостоверения проверяются с issuer утверждениями иsubject, указанными во внешнем маркере. Если проверка проверка пройдена, платформа удостоверений Майкрософт выдает маркер доступа к внешней рабочей нагрузке программного обеспечения.

Особенности дизайна

Для каждого объекта приложения или управляемого удостоверения, назначаемого пользователем, можно добавить не более 20 учетных данных федеративного удостоверения.

Связанные материалы