Applications par partie de confiance

  • Article

Mise à jour : 19 juin 2015

S’applique à : Azure

Une application par partie de confiance (également appelée application prenant en charge les revendications ou application basée sur les revendications) est une application ou un service qui s'appuie sur des revendications pour l'authentification. Dans Microsoft Azure Active Directory Access Control (également appelé service Access Control ou ACS), une application de partie de confiance est un site web, une application ou un service qui utilise ACS pour implémenter l’authentification fédérée.

Vous pouvez créer et configurer manuellement des applications de partie de confiance à l’aide du portail de gestion ACS, ou par programme, à l’aide du service de gestion ACS.

Dans le portail de gestion ACS, l’application de partie de confiance que vous ajoutez et configurez est une représentation logique de votre site web, application ou service qui approuve un espace de noms Access Control spécifique. Vous pouvez ajouter et configurer de nombreuses applications de partie de confiance dans chaque espace de noms Access Control.

Configuration dans le portail de gestion du service de contrôle d'accès Azure (ACS)

Vous pouvez utiliser le portail de gestion ACS pour configurer les propriétés suivantes d’une application de partie de confiance :

  • Mode

  • URL de domaine et de renvoi

  • URL d'erreur (facultative)

  • Format de jeton

  • Stratégie de chiffrement de jeton

  • Durée de vie du jeton

  • Identity Providers

  • Groupes de règles

  • Signature de jeton

  • Chiffrement de jeton

Mode

La propriété Mode détermine si vous configurez les paramètres de votre application par partie de confiance manuellement, ou spécifiez un document de métadonnées WS-Federation qui définit les paramètres de l'application.

En général, un document de métadonnées WS-Federation contient une URL de domaine et de renvoi d'application. Il peut également inclure un certificat de chiffrement facultatif, qui permet de chiffrer les jetons que l'ACS émet pour l'application. Si un document WS-Federation est spécifié et que les métadonnées contiennent un certificat de chiffrement, le paramètre de stratégie de chiffrement de jeton est défini par défaut pour exiger le chiffrement. Si la valeur par défaut du paramètre Stratégie de chiffrement de jeton est Exiger le chiffrement, tandis que le document de métadonnées WS-Federation ne contient pas de certificat de chiffrement, vous devez télécharger un certificat de chiffrement manuellement.

Si votre application par partie de confiance est intégrée à Windows Identity Foundation (WIF), WIF crée automatiquement un document de métadonnées WS-Federation pour l'application.

URL de domaine et de renvoi

La propriété Realm définit l’URI dans lequel les jetons émis par ACS sont valides. L’URL de retour (également appelée adresse ReplyTo) définit l’URL à laquelle les jetons émis par ACS sont envoyés. Lorsqu’un jeton est demandé pour accéder à l’application de partie de confiance, ACS émet le jeton uniquement lorsque le domaine de la demande de jeton correspond au domaine de l’application de partie de confiance.

Important

Dans ACS, les valeurs de domaine respectent la casse.

Dans le portail de gestion ACS, vous pouvez configurer un seul domaine et une URL de retour dans chaque espace de noms Access Control. Dans le cas le plus simple, les URL de domaine et de renvoi sont identiques. Par exemple, si l’URI racine de votre application est https://contoso.com, l’URL de domaine et de retour de l’application de partie de confiance est https://contoso.com.

Pour configurer plusieurs URL de retour (adresse ReplyTo) pour une application de partie de confiance, utilisez l’entité RelyingPartyAddress dans le service de gestion ACS.

Lorsqu’un jeton est demandé auprès d’ACS ou qu’un jeton est publié auprès d’un fournisseur d’identité, ACS compare la valeur du domaine dans la demande de jeton aux valeurs de domaine pour les applications de partie de confiance. Si la requête de jeton utilise WS-Federation protocole, ACS utilise la valeur du domaine dans le paramètre wtrealm . Si le jeton utilise le protocole OAuth WRAP, ACS utilise la valeur du domaine dans le paramètre applies_to . Si ACS trouve un domaine correspondant dans les paramètres de configuration d’une application de partie de confiance, il crée un jeton qui authentifie l’utilisateur à l’application de partie de confiance et envoie le jeton à l’URL de retour.

Le processus est similaire lorsque la partie de confiance a plusieurs URL de retour. ACS obtient l’URL de redirection à partir du paramètre wreply . Si l'URL de redirection est une des URL de renvoi pour l'application par partie de confiance, ACS envoie la réponse à cette URL.

Les valeurs de domaine respectent la casse. Le jeton est émis uniquement si les valeurs de domaine sont identiques, ou si la valeur de domaine pour l'application par partie de confiance est un préfixe du domaine spécifié dans la demande de jeton. Par exemple, la valeur du domaine d’application de partie de confiance correspond http://www.fabrikam.com à une valeur de domaine de requête de jeton , http://www.fabrikam.com/billingmais elle ne correspond pas à un domaine de requête de jeton v de https://fabrikam.com.

URL d'erreur (facultative)

L’URL d’erreur spécifie une URL vers laquelle ACS redirige les utilisateurs si une erreur se produit pendant le processus de connexion. Il s'agit d'une propriété facultative de l'application par partie de confiance.

La valeur d’URL d’erreur peut être une page personnalisée hébergée par l’application de partie de confiance, telle que http://www.fabrikam.com/billing/error.aspx. Dans le cadre de la redirection, ACS fournit des détails sur l’erreur à l’application de partie de confiance en tant que paramètre d’URL HTTP encodé JSON. La page d'erreur personnalisée peut être conçue pour interpréter les informations d'erreur encodées JSON afin d'afficher le message d'erreur réel ou un texte d'aide statique.

Pour plus d’informations sur l’utilisation de l’URL d’erreur, consultez l’exemple de code : ASP.NET Simple MVC 2.

Format de jeton

La propriété de format de jeton détermine le format des jetons qui posent des problèmes ACS pour l’application de partie de confiance. ACS peut émettre des jetons SAML 2.0, SAML 1.1, SWT ou JWT. Pour plus d’informations sur les formats de jeton, consultez Formats de jeton pris en charge dans ACS.

ACS utilise des protocoles standard pour renvoyer les jetons à une application web ou un service. Lorsque plusieurs protocoles sont pris en charge pour un format de jeton, ACS utilise le même protocole utilisé pour la demande de jeton. ACS prend en charge les combinaisons de format/protocole de jeton suivantes :

  • ACS peut retourner des jetons SAML 2.0 à l’aide de protocoles WS-Trust et WS-Federation.

  • ACS peut retourner des jetons SAML 1.1 à l’aide de WS-Federation et de protocoles WS-Trust associés.

  • ACS peut retourner des jetons SWT à l’aide de protocoles WS-Federation, WS-Trust, OAuth-WRAP et OAuth 2.0.

  • ACS peut émettre et renvoyer des jetons JWT à l’aide de protocoles WS-Federation, WS-Trust et OAuth 2.0.

Pour plus d’informations sur les protocoles standard utilisés par acS, consultez Protocoles pris en charge dans ACS.

Lors du choix d’un format de jeton, tenez compte de la façon dont votre espace de noms Access Control signe les jetons qu’il émet. Tous les jetons émis par ACS doivent être signés. Pour plus d’informations, consultez Signature de jeton.

Vous devez également déterminer si vous souhaitez ou non chiffrer les jetons. Pour plus d’informations, consultez La stratégie de chiffrement des jetons.

Stratégie de chiffrement de jeton

La stratégie de chiffrement des jetons détermine si les jetons qui rencontrent des problèmes ACS pour l’application de partie de confiance sont chiffrés. Pour demander un chiffrement, sélectionnez Exiger le chiffrement.

Dans ACS, vous pouvez configurer une stratégie de chiffrement pour les jetons SAML 2.0 ou SAML 1.1 uniquement. ACS ne prend pas en charge le chiffrement des jetons SWT ou JWT.

ACS chiffre les jetons SAML 2.0 et SAML 1.1 à l’aide d’un certificat X.509 contenant une clé publique (fichier.cer). Ces jetons chiffré sont ensuite déchiffrés à l'aide d'une clé privée détenue par l'application par partie de confiance. Pour plus d’informations sur l’obtention et l’utilisation de certificats de chiffrement, consultez Certificats et clés.

La configuration d’une stratégie de chiffrement sur vos jetons émis par ACS est facultative. Toutefois, une stratégie de chiffrement doit être configurée si votre application par partie de confiance est un service web qui utilise des jetons avec preuve de possession sur le protocole WS-Trust. Ce scénario particulier ne fonctionne pas correctement sans jetons chiffrés.

Durée de vie du jeton

La propriété de durée de vie du jeton spécifie l’intervalle de temps (en secondes) pendant lequel le jeton de sécurité qui émet des problèmes acS à l’application de partie de confiance est valide. La valeur par défaut est 600 (10 minutes). Dans ACS, la valeur de durée de vie du jeton doit être comprise entre zéro (0) et 86400 (24 heures) inclus.

Identity Providers

La propriété Fournisseurs d'identité spécifie les fournisseurs d'identité qui peuvent envoyer des revendications à l'application par partie de confiance. Ces fournisseurs d’identité apparaissent sur la page de connexion ACS pour votre application ou service web. Tous les fournisseurs d’identité configurés dans la section Fournisseurs d’identité du portail ACS apparaissent dans la liste des fournisseurs d’identité. Pour ajouter un fournisseur d'identité à la liste, cliquez sur Fournisseurs d'identité.

Chaque application par partie de confiance peut être associée à un nombre quelconque de fournisseurs d'identité, voire à aucun. Les applications de partie de confiance dans un espace de noms Access Control peuvent être associées au même fournisseur d’identité ou à différents fournisseurs d’identité. Si vous ne sélectionnez aucun fournisseur d’identité pour une application de partie de confiance, vous devez configurer une authentification directe avec ACS pour l’application de partie de confiance. Pour configurer une authentification directe, vous pouvez par exemple utiliser des identités de service. Pour plus d’informations, consultez Identités de service.

Groupes de règles

La propriété Groupes de règles détermine les règles que l'application par partie de confiance utilise lors du traitement des revendications.

Chaque application de partie de confiance ACS doit être associée à au moins un groupe de règles. Si une demande de jeton correspond à une application de partie de confiance qui n’a aucun groupe de règles, ACS n’émet pas de jeton à l’application web ou au service.

Tous les groupes de règles configurés dans la section Groupes de règles du portail ACS apparaissent dans la liste des groupes de règles. Pour ajouter un groupe de règles à la liste, cliquez sur Groupes de règles.

Lorsque vous ajoutez une nouvelle application de partie de confiance dans le portail de gestion ACS, l’option Créer un groupe de règles est sélectionnée par défaut. Nous vous recommandons vivement de créer un groupe de règles pour votre nouvelle application par partie de confiance. Toutefois, vous pouvez associer votre application par partie de confiance à un groupe de règles existant. Pour ce faire, désactivez l'option Créer un groupe de règles, puis sélectionnez le groupe de règles souhaité.

Vous pouvez associer une application par partie de confiance à plusieurs groupes de règles (et associer un groupe de règles à plusieurs applications par partie de confiance). Si une application de partie de confiance est associée à plusieurs groupes de règles, ACS évalue de manière récursive les règles de tous les groupes de règles comme si elles étaient des règles dans un seul groupe de règles.

Pour plus d’informations sur les règles et les groupes de règles, consultez Groupes de règles et règles.

Signature de jeton

La propriété des paramètres de signature de jeton spécifie la façon dont les jetons de sécurité que les problèmes ACS sont signés. Tous les jetons émis par ACS doivent être signés.

Les options de signature de jeton disponibles dépendent du Format de jeton de l'application par partie de confiance (Pour plus d’informations sur les formats de jeton, consultez Format de jeton.)

  • Jetons SAML : Utilisez un certificat X.509 pour signer des jetons.

  • Jetons SWT : Utilisez une clé symétrique pour signer des jetons.

  • Jetons JWT : utilisez un certificat X.509 ou une clé symétrique pour signer des jetons.

Options de certificat X.509. Les options suivantes sont disponibles pour les jetons signés avec un certificat X.509.

  • Utilisez le certificat d’espace de noms de service (standard) : si vous sélectionnez cette option, ACS utilise le certificat pour l’espace de noms Access Control pour signer les jetons SAML 1.1 et SAML 2.0 pour l’application de partie de confiance. Utilisez cette option si vous envisagez d’automatiser la configuration de votre application web ou de votre service à l’aide de métadonnées WS-Federation, car la clé publique d’espace de noms est publiée dans les métadonnées WS-Federation pour votre espace de noms Access Control. L’URL du document de métadonnées WS-Federation s’affiche dans la page Intégration de l’application du portail de gestion ACS.

  • Utilisez un certificat dédié : si vous sélectionnez cette option, ACS utilise un certificat spécifique à l’application pour signer des jetons SAML 1.1 et SAML 2.0 pour l’application de partie de confiance. Le certificat n'est pas utilisé pour d'autres applications par partie de confiance. Une fois cette option activée, recherchez un certificat X.509 avec une clé privée (fichier .pfx), puis entrez le mot de passe du fichier .pfx.

Notes

Jetons JWT. Lorsque vous configurez une application de partie de confiance pour utiliser le certificat X.509 pour l’espace de noms Access Control pour signer des jetons JWT pour une application de partie de confiance, des liens vers le certificat d’espace de noms Access Control et la clé d’espace de noms Access Control apparaissent sur la page de l’application de partie de confiance dans le portail de gestion ACS. Toutefois, ACS utilise uniquement le certificat d’espace de noms pour signer des jetons pour l’application de partie de confiance.

Espaces de noms gérés. Quand vous ajoutez une application par partie de confiance à un espace de noms géré, tel un espace de noms Service Bus, n'entrez pas de certificat ou de clé (dédiés) spécifiques de l'application. Sélectionnez plutôt les options qui indiquent à ACS d'utiliser les certificats et les clés configurés pour toutes les applications dans l'espace de noms géré. Pour plus d’informations, consultez Espaces de noms managés

Pour plus d’informations sur les certificats et clés partagés et dédiés, consultez Certificats et clés.

Options de clé symétrique

En tant que meilleure pratique de sécurité, lors de l’utilisation de clés symétriques, créez une clé dédiée pour chaque application de partie de confiance, au lieu d’utiliser la clé symétrique partagée pour l’espace de noms Access Control. Si vous entrez ou générez une clé dédiée, ACS utilise une clé dédiée pour signer des jetons pour l’application de partie de confiance tant que la clé dédiée est valide. Toutefois, si la clé dédiée expire et n’est pas remplacée, ACS utilise la clé d’espace de noms partagée pour signer des jetons pour l’application de partie de confiance.

Si vous décidez d'utiliser la clé symétrique partagée, copiez les valeurs de la clé Espace de noms de service à partir de la page Certificats et clés, puis collez-les dans les champs de la section Signature de jetons de la page Applications par partie de confiance.

Les options suivantes sont disponibles pour les jetons signés avec des clés symétriques.

  • Clé de signature de jeton : entrez une clé symétrique 256 bits, ou cliquez sur Générer pour créer une clé symétrique 256 bits.

  • Date d'effet : spécifie la date de début de la plage de validité de la clé symétrique. À compter de cette date, ACS utilise la clé symétrique pour signer des jetons pour l’application de partie de confiance. La valeur par défaut ACS est la date actuelle.

  • Date d'expiration : spécifie la date de fin de la plage de validité de la clé symétrique. À partir de cette date, ACS n’utilise pas la clé symétrique pour signer des jetons pour l’application de partie de confiance. Il n'y a pas de valeur par défaut. Un pratique de sécurité recommandée consiste à remplacer les clés symétriques chaque année ou tous les deux ans, selon les besoins de l'application.

Chiffrement de jeton

L'option de certificat de chiffrement de jeton spécifie le certificat X.509 (fichier .cer) utilisé pour chiffrer des jetons pour l'application par partie de confiance. Dans ACS, vous pouvez chiffrer uniquement les jetons SAML 2.0 ou SAML 1.1. ACS ne prend pas en charge le chiffrement des jetons SWT ou JWT.

Vous spécifiez des certificats pour le chiffrement des jetons dans la section Certificats et clés du portail ACS. Un clic sur le lien Cliquez ici dans la section Stratégie de chiffrement de jeton de la page de l'application par partie de confiance, a pour effet d'ouvrir la page Ajouter un certificat de chiffrement de jeton de la section Certificats et clés. Cette page permet de spécifier un fichier de certificat.

Pour plus d’informations, consultez La stratégie de chiffrement des jetons. Pour plus d’informations sur l’obtention et l’ajout de certificats de chiffrement, consultez Certificats et clés.

Voir aussi

Concepts

Composants ACS 2.0