Exporter (0) Imprimer
Développer tout

Certificats et clés

Publication: avril 2011

Mis à jour: février 2014

S'applique à: Azure

Dans Microsoft Azure Active Directory Access Control (également appelé Access Control Service ou ACS), vous pouvez utiliser des certificats X.509 pour signer, chiffrer et déchiffrer des jetons SAML, ainsi que des clés symétriques de 256 bits pour signer des jetons SWT. Vous pouvez ajouter et configurer des certificats et des clés de signature, de chiffrement et de déchiffrement de jetons au moyen du service de gestion ACS ou du portail de gestion ACS.

ACS signe tous les jetons de sécurité qu'il émet soit à l'aide d'un certificat X.509 (avec une clé privée), soit à l'aide d'une clé symétrique de 256 bits. Le choix du type d'informations d'identification de la signature (certificat ou clé) dépend du format que vous sélectionnez pour les jetons émis par ACS. Pour plus d'informations, voir « Signature des jetons » dans Applications par partie de confiance. Lorsque vous sélectionnez le type d'informations d'identification de la signature à créer, tenez compte des aspects suivants :

  • Les certificats X.509 sont utilisés lorsque vous créez une application qui emploie des jetons SAML émis par ACS. Les jetons SAML peuvent être émis au moyen de plusieurs protocoles, notamment WS-Federation et WS-Trust. SAML est le format de jeton par défaut utilisé par les applications basées sur Windows Identity Foundation (WIF).

  • Les clés de signature symétriques de 256 bits sont utilisées lorsque vous créez une application qui emploie des jetons SWT émis par ACS. Les jetons SWT peuvent être émis au moyen de plusieurs protocoles, notamment OAuth WRAP et WS-Federation, et sont systématiquement signés à l'aide d'une clé symétrique.

Dans ACS, vous pouvez configurer une clé symétrique ou un certificat de signature à utiliser soit pour la totalité de l'espace de noms de service, soir pour une application par partie de confiance spécifique. La différence est la suivante :

  • Espace de noms de service : lorsqu'un certificat ou une clé de signature sont configurés pour la totalité de l'espace de noms de service, ACS utilise ce certificat ou cette clé pour signer des jetons envoyés à toutes les applications par partie de confiance de cet espace de noms dont la clé ou le certificat explicites ne sont pas configurés. Ce certificat de signature (celui de l'espace de noms de service) est alors également utilisé pour signer les métadonnées WS-Federation ACS. Par défaut, un espace de noms ACS est déployé avec une clé symétrique ou un certificat par défaut pour la signature.

  • Application par partie de confiance : si vous configurez un certificat ou une clé de signature de façon à l'utiliser pour une application par partie de confiance spécifique, ACS utilise cette clé ou ce certificat de signature pour signer les jetons envoyés uniquement vers cette application.

noteRemarque
Pour des raisons de sécurité, il est recommandé de créer des clés symétriques pour chaque application par partie de confiance et de ne pas les partager entre plusieurs parties au sein d'un espace de noms de service.

Les certificats d'espace de noms de service sont généralement utilisés pour signer des jetons SAML émis pour toutes les parties de confiance d'un espace de noms donné. Le composant de clé publique des certificats de signature de l'espace de noms de service est publié dans les métadonnées WS-Federation ACS, ce qui permet aux applications par partie de confiance d'automatiser leur configuration. Les certificats affectés à une application par partie de confiance spécifique ne sont pas présents dans les métadonnées WS-Federation ACS et sont uniquement utilisés dans les cas où un certificat de signature d'une application par partie de confiance requiert un contrôle indépendant. À l'inverse, dans le cas des clés symétriques, les clés de signature spécifiques aux applications par partie de confiance sont recommandées.

Dans ACS, vous pouvez configurer un certificat ou une clé de signature comme principal(e). Si vous définissez un certificat ou une clé comme principal(e), ACS commence immédiatement à signer les jetons à l'aide de ce certificat ou de cette clé. En désignant un certificat ou une clé spécifique comme principal(e), vous rétrogradez les certificats ou clés de signature principaux existants au niveau secondaire pour l'application par partie de confiance sélectionnée (ou l'espace de noms de service choisi). Un certificat ou une clé secondaires ne sont pas utilisés pour la signature tant qu'ils ne sont pas promus à l'état principal par l'administrateur. Le composant de clé publique des certificats principaux et secondaires est publié dans les métadonnées WS-Federation ACS pour activer la substitution du certificat de programmation, mais seuls les certificats et les clés principaux servent à signer les jetons émis par ACS.

Lorsque vous ajoutez des clés de signature symétriques de 256 bits, vous devez aussi spécifier une date d'effet et une date d'expiration. La date d'effet indique la date à laquelle cette clé prend effet. La date d'expiration indique la date à laquelle cette clé expire et n'est plus utilisée pour signer des jetons.

Dans ACS, vous pouvez choisir de chiffrer un jeton SAML 1.1 ou SAML 2.0 émis et envoyé par ACS vers vos applications par partie de confiance.

ImportantImportant
ACS ne prend pas en charge le chiffrement des jetons SWT.

Le chiffrement des jetons est requis si une application par partie de confiance est un service Web qui utilise des jetons de preuve de possession avec le protocole WS-Trust. Si vous utilisez ACS afin d'allouer l'authentification pour une application par partie de confiance de ce type, vous devez chiffrer tous les jetons émis par ACS pour cette application. Dans tous les autres cas de figure, le chiffrement des jetons est facultatif.

ACS chiffre les jetons SAML 2.0 à l'aide d'un certificat X.509 contenant une clé publique (fichier .cer). Le jeton est reçu et déchiffré par une application par partie de confiance à l'aide d'une clé privée pour ce certificat X.509. Pour plus d'informations, voir « Chiffrement des jetons » dans Applications par partie de confiance.

ACS peut accepter des jetons chiffrés émis par les fournisseurs d'identité WS-Federation (par exemple, ). Un certificat X.509 hébergé dans ACS est utilisé pour ce scénario. Le fournisseur d'identité WS-Federation reçoit la clé publique de ce certificat X.509 lorsqu'il importe les métadonnée WS-Federation depuis ACS et utilise cette clé publique pour chiffrer le jeton de sécurité transféré vers ACS. ACS déchiffre ensuite ce jeton à l'aide de la clé privée de ce certificat X.509. Pour plus d'informations, voir Configuration d'ADFS 2.0 en tant que fournisseur d'identité.

Dans ACS, vous pouvez définir un certificat de déchiffrement de jeton en tant que certificat principal pour l'espace de noms de service ACS donné. Si un jeton entrant ne peut pas être déchiffré à l'aide du certificat principal, le déchiffrement est alors tenté au moyen de l'un des certificats de déchiffrement de jetons non principaux qui sont configurés. En désignant un certificat de déchiffrement de jetons en tant que certificat principal, vous rétrogradez les certificats de déchiffrement principaux existants au niveau secondaire.

Il existe plusieurs façons d'obtenir un certificat X.509 pour la signature, le chiffrement et le déchiffrement des jetons. La méthode que vous utilisez dépend de vos besoins et des outils disponibles dans votre organisation.

Autorité de certification locale : si votre organisation a déployé une autorité de certification telle que les services de certificats Active Directory (AD CS), vous pouvez demander un certificat X.509. Vous devrez peut-être contacter l'administrateur de l'autorité de certification pour obtenir des instructions ou des autorisations. Pour plus d'informations sur les services de certificats Active Directory, voir Services de certificats Active Directory (http://go.microsoft.com/fwlink/?LinkID=214102).

Autorité de certification commerciale : vous pouvez acheter un certificat X.509 auprès d'une autorité de certification commerciale.

Génération d'un certificat auto-signé : vous pouvez utiliser un logiciel afin de générer votre propre certificat auto-signé à utiliser avec ACS. Cette approche est recommandée à des fins de test uniquement, mais elle peut être utilisée si vous n'avez pas accès à une autorité de certification locale ou si vous ne souhaitez pas payer une autorité de certification commerciale. Si vous utilisez un système d'exploitation Windows, vous pouvez télécharger MakeCert.exe avec le Kit de développement logiciel Windows (http://go.microsoft.com/fwlink/?LinkID=214104) et l'utiliser pour générer un certificat.

Vous pouvez exécuter la commande suivante pour générer un certificat auto-signé dans votre magasin de certificats personnel.

MakeCert.exe -r -pe -n "CN=<service_namespace_name>.accesscontrol.windows.net" -sky exchange -ss my

où <service_namespace_name> correspond au nom de votre espace de noms de service ACS.

Vous pouvez alors exporter la clé privée depuis votre magasin personnel en tant que fichier .pfx, puis le charger dans ACS à l'aide du portail de gestion.

  1. En tant qu'administrateur, cliquez sur Démarrer, entrez ce qui suit dans la zone Rechercher, puis appuyez sur la touche Entrée :
    mmc

  2. Dans la console MMC, cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.

  3. Sélectionnez Certificats, puis cliquez sur Ajouter.

  4. Cliquez sur Mon compte d'utilisateur, puis sur Terminer.

  5. Pour fermer la boîte de dialogue Ajout d'un composant logiciel enfichable autonome, cliquez sur OK.

  6. Dans la console, double-cliquez sur Certificats - Utilisateur actuel.

  7. Dans la console, développez Personnel, puis Certificats.

  8. Cliquez avec le bouton droit de la souris sur le certificat créé précédemment. Cliquez sur Toutes les tâches, puis sur Exporter pour lancer l'Assistant Exportation de certificat.

  9. Dans la page de bienvenue de l'Assistant Exportation de certificat, cliquez sur Suivant.

  10. Sur la page Exportation de la clé privée, cliquez sur Oui, exporter la clé privée, puis cliquez sur Suivant.

  11. Sur la page Format de fichier d'exportation, vérifiez que l'option Échange d'informations personnelles - PKCS #12 (.PFX) est sélectionnée.

  12. Dans les champs Mot de passe, entrez un mot de passe (deux fois), puis cliquez sur Suivant.

  13. Dans le champ Nom de fichier, entrez le nom du fichier que vous voulez exporter, puis cliquez sur Suivant.

  14. Cliquez sur Terminer.

Voir aussi

Ajouts de la communauté

AJOUTER
Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft