Cette page vous a-t-elle été utile ?
Votre avis sur ce contenu est important. N'hésitez pas à nous faire part de vos commentaires.
Vous avez d'autres commentaires ?
1500 caractères restants
Exporter (0) Imprimer
Développer tout

Applications par partie de confiance

Publication: avril 2011

Mis à jour: mars 2015

S'applique à: Azure

Une application par partie de confiance (également appelée application prenant en charge les revendications ou application basée sur les revendications) est une application ou un service qui s'appuie sur des revendications pour l'authentification. Dans Microsoft Azure Active Directory Access Control (également appelé Access Control Service ou ACS), une application par partie de confiance est un site web, une application ou un service utilisant ACS pour implémenter une authentification fédérée.

Vous pouvez créer et configurer des applications par partie de confiance manuellement, à l'aide du portail de gestion ACS ou par programme, en utilisant le service de gestion ACS.

Dans le portail de gestion ACS, l'application par partie de confiance que vous ajoutez et configurez est une représentation logique de votre site web, application ou service, qui approuve un espace de noms Access Control spécifique. Vous pouvez ajouter et configurer de nombreuses applications par partie de confiance dans chaque espace de noms Access Control.

Le portail de gestion ACS permet de configurer les propriétés suivantes d'une application par partie de confiance :

La propriété Mode détermine si vous configurez les paramètres de votre application par partie de confiance manuellement, ou spécifiez un document de métadonnées WS-Federation qui définit les paramètres de l'application.

En général, un document de métadonnées WS-Federation contient une URL de domaine et de renvoi d'application. Il peut également inclure un certificat de chiffrement facultatif, qui permet de chiffrer les jetons que l'ACS émet pour l'application. Si un document WS-Federation est spécifié et si les métadonnées contiennent un certificat de chiffrement, la valeur par défaut du paramètre Stratégie de chiffrement de jeton est Exiger le chiffrement. Si la valeur par défaut du paramètre Stratégie de chiffrement de jeton est Exiger le chiffrement, tandis que le document de métadonnées WS-Federation ne contient pas de certificat de chiffrement, vous devez télécharger un certificat de chiffrement manuellement.

Si votre application par partie de confiance est intégrée à Windows Identity Foundation (WIF), WIF crée automatiquement un document de métadonnées WS-Federation pour l'application.

La propriété domaine définit l'URI dans lequel les jetons émis par ACS sont valides. L'URL de renvoi (également appelée le adresse de réponse) définit l'URL à laquelle les jetons émis par ACS sont envoyés. En cas de demande d'un jeton pour accéder à l'application par partie de confiance, ACS émet le jeton uniquement si le domaine spécifié dans la demande de jeton correspond au domaine de l'application par partie de confiance.

ImportantImportant
Dans ACS, les valeurs de domaine respectent la casse.

Le portail de gestion ACS vous permet de configurer une URL de domaine et une URL de renvoi dans chaque espace de noms Access Control. Dans le cas le plus simple, les URL de domaine et de renvoi sont identiques. Par exemple, si l'URI racine de votre application est https://contoso.com, l'URL de domaine et de renvoi de l'application par partie de confiance est https://contoso.com.

Pour configurer plusieurs URL de renvoi (adresses de réponse) pour une application par partie de confiance, utilisez l'entité RelyingPartyAddress dans le service de gestion ACS.

Quand un jeton est demandé à partir d'ACS ou publié dans ACS à partir d'un fournisseur d'identité, ACS compare la valeur de domaine spécifiée dans la demande de jeton aux valeurs de domaine pour les applications de partie de confiance. Si la demande de jeton utilise le protocole WS-Federation, ACS utilise la valeur de domaine spécifiée dans le paramètre wtrealm. Si le jeton utilise le protocole OAuth WRAP, ACS utilise la valeur de domaine spécifiée dans le paramètre applies_to. Si ACS trouve un domaine correspondant dans les paramètres de configuration d'une application par partie de confiance, il crée un jeton qui authentifie l'utilisateur auprès de l'application par partie de confiance, puis envoie le jeton à l'URL de renvoi.

Le processus est similaire quand la partie de confiance dispose de plusieurs URL de renvoi. ACS Obtient l'URL de redirection à partir du paramètre wreply. Si l'URL de redirection est une des URL de renvoi pour l'application par partie de confiance, ACS envoie la réponse à cette URL.

Les valeurs de domaine respectent la casse. Le jeton est émis uniquement si les valeurs de domaine sont identiques, ou si la valeur de domaine pour l'application par partie de confiance est un préfixe du domaine spécifié dans la demande de jeton. Par exemple, la valeur d'application par partie de confiance http://www.fabrikam.com correspond à une valeur de domaine de demande de jeton http://www.fabrikam.com/billing, mais ne correspond à aucun domaine de demande de jeton http://fabrikam.com.

L'URL d'erreur est une URL vers laquelle ACS redirige les utilisateurs si une erreur se produit pendant le processus de connexion. Il s'agit d'une propriété facultative de l'application par partie de confiance.

La valeur de l'URL d'erreur peut être une page personnalisée hébergée par l'application par partie de confiance, par exemple, http://www.fabrikam.com/billing/error.aspx. Dans le cadre de la redirection, ACS fournit à l'application par partie de confiance des détails sur l'erreur, tels qu'un paramètre d'URL HTTP encodé JSON. La page d'erreur personnalisée peut être conçue pour interpréter les informations d'erreur encodées JSON afin d'afficher le message d'erreur réel ou un texte d'aide statique.

Pour plus d'informations sur l'utilisation de l'URL d'erreur, consultez Exemple de code : ASP.NET Simple MVC 2.

la propriété Format de jeton détermine le format des jetons émis par ACS pour l'application par partie de confiance. ACS peut émettre des jetons SAML 2.0, SAML 1.1, SWT ou JWT. Pour plus d'informations sur les formats de jeton, consultez Formats de jeton pris en charge dans ACS.

ACS utilise des protocoles standard pour renvoyer les jetons à un service ou à une application web. Quand un format de jeton prend en charge plusieurs protocoles, ACS utilise le même protocole que celui utilisé pour la demande de jeton. ACS prend en charge les combinaisons de format de jeton/protocole suivantes :

  • ACS peut renvoyer des jetons SAML 2.0 à l'aide des protocoles WS-Trust et WS-Federation.

  • ACS peut renvoyer des jetons SAML 1.1 à l'aide du protocole WS-Federation et du protocole WS-Trust associé.

  • ACS peut renvoyer des jetons SWT à l'aide des protocoles WS-Federation, WS-Trust, OAuth-WRAP et OAuth 2.0.

  • ACS peut émettre et renvoyer des jetons JWT à l'aide des protocoles WS-Federation, WS-Trust et OAuth 2.0.

Pour plus d'informations sur les protocoles standard utilisés par ACS, consultez Protocoles pris en charge dans ACS.

Lors du choix d'un format de jeton, songez à la manière dont votre espace de noms Access Control signe les jetons qu'il émet. Tous les jetons émis par ACS doivent être signés. Pour plus d'informations, consultez Signature de jeton.

Vous devez également déterminer si vous souhaitez ou non chiffrer les jetons. Pour plus d'informations, consultez Stratégie de chiffrement de jeton.

Le stratégie de chiffrement de jeton détermine si les jetons émis par ACS pour l'application par partie de confiance sont chiffrés. Pour demander un chiffrement, sélectionnez Exiger le chiffrement.

ACS vous permet de configurer une stratégie de chiffrement uniquement pour des jetons SAML 2.0 ou SAML 1.1. ACS ne prend pas en charge le chiffrement des jetons SWT ou JWT.

ACS chiffres les jetons SAML 2.0 et SAML 1.1 à l'aide d'un certificat X.509 contenant une clé publique (fichier .cer). Ces jetons chiffré sont ensuite déchiffrés à l'aide d'une clé privée détenue par l'application par partie de confiance. Pour plus d'informations sur l'obtention et l'utilisation de certificats de chiffrement, consultez Certificats et clés.

La configuration d'une stratégie de chiffrement sur vos jetons émis par ACS est facultative. Toutefois, une stratégie de chiffrement doit être configurée si votre application par partie de confiance est un service web qui utilise des jetons avec preuve de possession sur le protocole WS-Trust. Ce scénario particulier ne fonctionne pas correctement sans jetons chiffrés.

La propriété Durée de vie de jeton spécifie l'intervalle de temps (en secondes) pendant lequel le jeton de sécurité émis par ACS pour l'application par partie de confiance est valide. La valeur par défaut est 600 (10 minutes). Dans ACS, la valeur de durée de vie de jeton peut aller de zéro (0) à 86400 (24 heures) inclus.

La propriété Fournisseurs d'identité spécifie les fournisseurs d'identité qui peuvent envoyer des revendications à l'application par partie de confiance. Ces fournisseurs d'identité figurent dans la page de connexion ACS pour votre application ou service web. Tous les fournisseurs d'identité configurés dans la section Fournisseurs d'identité du portail ACS figurent dans la liste des fournisseurs d'identité. Pour ajouter un fournisseur d'identité à la liste, cliquez sur Fournisseurs d'identité.

Chaque application par partie de confiance peut être associée à un nombre quelconque de fournisseurs d'identité, voire à aucun. Les applications par partie de confiance dans un espace de noms Access Control peuvent être associées à un même fournisseur d'identité ou à différents fournisseurs d'identité. Si vous ne sélectionnez pas de fournisseur d'identité pour une application par partie de confiance, vous devez configurer pour celle-ci une authentification directe auprès d'ACS. Pour configurer une authentification directe, vous pouvez par exemple utiliser des identités de service. Pour plus d'informations, consultez Identités de service.

La propriété Groupes de règles détermine les règles que l'application par partie de confiance utilise lors du traitement des revendications.

Chaque application par partie de confiance ACS doit être associée à au moins un groupe. Si une demande de jeton correspond à une application par partie de confiance dépourvue de groupe de règles, ACS n'émet pas de jeton pour l'application ou le service web.

Tous les groupes de règles configurés dans la section Groupes de règles du portail ACS figurent dans la liste des groupes de règles. Pour ajouter un groupe de règles à la liste, cliquez sur Groupes de règles.

Lorsque vous ajoutez une nouvelle application par partie de confiance dans le portail de gestion ACS, l'option Créer un groupe de règles est activée par défaut. Nous vous recommandons vivement de créer un groupe de règles pour votre nouvelle application par partie de confiance. Toutefois, vous pouvez associer votre application par partie de confiance à un groupe de règles existant. Pour ce faire, désactivez l'option Créer un groupe de règles, puis sélectionnez le groupe de règles souhaité.

Vous pouvez associer une application par partie de confiance à plusieurs groupes de règles (et associer un groupe de règles à plusieurs applications par partie de confiance). Si une application par partie de confiance est associée à plusieurs groupes de règles, ACS évalue de manière récursive les règles de tous les groupes comme s'il s'agissait des règles d'un seul groupe.

Pour plus d'informations sur les règles et les groupes de règles, consultez Règles et groupes de règles.

La propriété Paramètres de signature de jeton spécifie la manière dont les jetons de sécurité émis par ACS sont signés. Tous les jetons émis par ACS doivent être signés.

Les options de signature de jeton disponibles dépendent du Format de jeton de l'application par partie de confiance (pour plus d'informations sur les formats de jeton, consultez Format de jeton).

  • Jetons SAML : signature à l'aide d'un certificat X.509.

  • Jetons SWT : signature à l'aide d'une clé symétrique.

  • Jetons JWT : signature à l'aide d'un certificat X.509 ou d'une clé symétrique.

Options de certificat X.509. Les options suivantes sont disponibles pour les jetons signés avec un certificat X.509.

  • Utiliser un certificat d'espace de noms de service (standard) : si vous activez cette option, ACS utilise le certificat afin que l'espace de noms Access Control signe des jetons SAML 1.1 et SAML 2.0 pour l'application par partie de confiance. Utilisez cette option si vous prévoyez d'automatiser la configuration de votre application ou service web à l'aide de métadonnées WS-Federation, car la clé publique d'espace de noms est publiée dans les métadonnées WS-Federation pour votre espace de noms Access Control. L'URL du document de métadonnées WS-Federation figure sur la page Intégration des applications du portail de gestion ACS.

  • Utiliser un certificat dédié : si vous activez cette option, ACS utilise un certificat spécifique de l'application afin de signer des jetons SAML 1.1 et SAML 2.0 pour l'application par partie de confiance. Le certificat n'est pas utilisé pour d'autres applications par partie de confiance. Une fois cette option activée, recherchez un certificat X.509 avec une clé privée (fichier .pfx), puis entrez le mot de passe du fichier .pfx.

noteRemarque
Jetons JWT. Lorsque vous configurez une application par partie de confiance afin d'utiliser le certificat X.509 pour l'espace de noms de contrôle d'accès pour signer des jetons JWT pour une application par partie de confiance, des liens vers le certificat et la clé d'espace de noms de contrôle d'accès s'affichent sur la page relative à l'application par partie de confiance dans le portail de gestion ACS. Toutefois, ACS utilise uniquement le certificat d'espace de noms pour signer des jetons pour l'application par partie de confiance.

Espaces de noms gérés. Quand vous ajoutez une application par partie de confiance à un espace de noms géré, tel un espace de noms Service Bus, n'entrez pas de certificat ou de clé (dédiés) spécifiques de l'application. Sélectionnez plutôt les options qui indiquent à ACS d'utiliser les certificats et clés configurés pour toutes les applications figurant dans l'espace de noms géré. Pour plus d'informations, consultez Espaces de noms gérés.

Pour plus d'informations sur les clés et certificats partagés et dédiés, consultez Certificats et clés.

Options de clé symétrique

Lors de l'utilisation de clés symétriques, une pratique de sécurité recommandée consiste à créer une clé dédiée pour chaque application par partie de confiance, au lieu d'utiliser la clé symétrique partagée pour l'espace de noms Access Control. Si vous entrez ou générez une clé dédiée, ACS utilise celle-ci pour signer des jetons pour l'application par partie de confiance aussi longtemps que la clé est valide. En revanche, si la clé dédiée expire et n'est pas remplacée, pour signer des jetons pour l'application par partie de confiance, ACS utilise la clé d'espace de noms partagée.

Si vous décidez d'utiliser la clé symétrique partagée, copiez les valeurs de la clé Espace de noms de service à partir de la page Certificats et clés, puis collez-les dans les champs de la section Signature de jetons de la page Applications par partie de confiance.

Les options suivantes sont disponibles pour les jetons signés avec des clés symétriques.

  • Clé de signature de jeton : entrez une clé symétrique 256 bits, ou cliquez sur Générer pour créer une clé symétrique 256 bits.

  • Date d'effet : spécifie la date de début de la plage de validité de la clé symétrique. À compter de cette date, ACS utilise la clé symétrique pour signer des jetons pour l'application par partie de confiance. Le valeur par défaut ACS est la date du jour.

  • Date d'expiration : spécifie la date de fin de la plage de validité de la clé symétrique. À cette date, ACS cesse d'utiliser la clé symétrique pour signer des jetons pour l'application par partie de confiance. Il n'y a pas de valeur par défaut. Un pratique de sécurité recommandée consiste à remplacer les clés symétriques chaque année ou tous les deux ans, selon les besoins de l'application.

L'option de certificat de chiffrement de jeton spécifie le certificat X.509 (fichier .cer) utilisé pour chiffrer des jetons pour l'application par partie de confiance. Dans ACS, vous pouvez chiffrer uniquement des jetons SAML 2.0 ou SAML 1.1. ACS ne prend pas en charge le chiffrement de jetons SWT ou JWT.

Vous spécifiez des certificats pour le chiffrement de jeton dans la section Certificats et clés du portail ACS. Un clic sur le lien Cliquez ici dans la section Stratégie de chiffrement de jeton de la page de l'application par partie de confiance, a pour effet d'ouvrir la page Ajouter un certificat de chiffrement de jeton de la section Certificats et clés. Cette page permet de spécifier un fichier de certificat.

Pour plus d'informations, consultez Stratégie de chiffrement de jeton. Pour plus d'informations sur l'obtention et l'ajout de certificats de chiffrement, consultez Certificats et clés.

Voir aussi

Ajouts de la communauté

Afficher:
© 2015 Microsoft