Fournisseurs d'identité WS-Federation
Mise à jour : 19 juin 2015
S’applique à : Azure
WS-Federation fournisseurs d’identité sont des fournisseurs d’identité personnalisés qui prennent en charge le protocole WS-Federation et sont configurés dans Microsoft Azure Active Directory Access Control (également appelé service Access Control ou ACS) à l’aide de métadonnées WS-Federation. Un fournisseur d'identité WS-Federation peut également en charge d'autres protocoles de fédération, tels que WS-Trust. WS-Federation fournisseurs d’identité sont les plus fréquemment utilisés dans les scénarios de site web et d’application web, où le profil de demandeur passif WS-Federation est utilisé pour faciliter les redirections de jetons nécessaires vers et depuis ACS à l’aide d’un navigateur web.
Services ADFS (Active Directory Federation Services) 2.0 de Microsoft
Un exemple courant de fournisseur d'identité WS-Federation est . Vous pouvez l’utiliser pour intégrer vos comptes Active Directory d’entreprise à ACS. Avant de pouvoir ajouter et configurer en tant que fournisseur d’identité dans ACS, vous devez avoir installé et utiliser au moins une approbation de fournisseur de revendications, par exemple services de domaine Active Directory (AD DS). Pour plus d’informations, consultez Guide pratique pour configurer AD FS 2.0 en tant que fournisseur d’identité.
Configuration dans le portail de gestion du service de contrôle d'accès Azure (ACS)
Lorsque vous utilisez le portail de gestion ACS pour configurer un fournisseur d’identité WS-Federation, vous devez entrer les données suivantes.
Nom complet : spécifie le nom complet de votre fournisseur d'identité. Ce nom est utilisé uniquement dans le portail de gestion ACS.
Métadonnées WS-Federation : contient des informations de configuration (métadonnées de fédération) sur les services fédérés établis, telles que des jetons et autorisations, et les stratégies d'accès à ceux-ci. Lorsque vous ajoutez un fournisseur d’identité WS-Federation dans ACS, vous devez entrer l’URL du document de métadonnées de fédération ou charger une copie locale du document de métadonnées pour le fournisseur d’identité WS-Federation.
Avertissement
Importez des métadonnées WS-Federation uniquement à partir d'un fournisseur d'identité WS-Federation qui a votre confiance.
Pour des raisons de sécurité, il est fortement recommandé que le fournisseur d'identité WS-Federation publie son document de métadonnées de fédération sur une URL HTTPS. Il est également recommandé que le fournisseur d'identité WS-Federation utilise uniquement des points de terminaison d'émission de jeton HTTPS.
Texte du lien de connexion : spécifie le texte affiché pour le fournisseur d'identité sur la page de connexion de votre application web. Pour plus d’informations, consultez Pages de connexion et Découverte du domaine d’accueil.
URL de l'image (facultative) : associe une URL à un fichier image (par exemple un logo de votre choix) que vous pouvez afficher comme lien de connexion pour ce fournisseur d'identité. Ce logo apparaît automatiquement sur la page de connexion par défaut de votre application web prenant en charge ACS, ainsi que dans le flux JSON de votre application web que vous pouvez utiliser pour afficher une page de connexion personnalisée. Si vous ne spécifiez pas d'URL d'images, un texte de lien de connexion pour ce fournisseur d'identité est affiché dans la page de connexion de votre application web. Si vous spécifiez une URL d'image, nous vous recommandons vivement de la faire pointer vers une source approuvée, par exemple votre propre application ou site web, et d'utiliser le protocole HTTPS pour empêcher l'affichage d'avertissements de sécurité dans le navigateur. De plus, toute image supérieure à 240 pixels de large et 40 pixels de haut est redimensionnée automatiquement dans la page de découverte d'accueil de domaine ACS par défaut. Il est recommandé d’obtenir l’autorisation de votre partenaire pour afficher cette image.
Noms de domaine de messagerie (facultatif) : pour inviter les utilisateurs à se connecter à l'aide de leur adresse de messagerie, vous pouvez spécifier les suffixes de domaine de messagerie hébergés par ce fournisseur d'identité. Sinon, laissez ce champ vide pour afficher un lien de connexion directe. Utilisez des points-virgules pour séparer les suffixes de la liste. Pour plus d’informations, consultez Pages de connexion et Découverte du domaine d’accueil.
Applications par partie de confiance : spécifie toutes les applications par partie de confiance existantes que vous souhaitez associer à ce fournisseur d'identité. Pour plus d’informations, consultez Applications de partie de confiance.
Une fois qu'un fournisseur d'identité a été associé à une application de partie de confiance, vous devez générer ou ajouter manuellement des règles pour ce fournisseur d'identité dans le groupe de règles de l'application de partie de confiance pour achever la configuration. Pour plus d’informations sur la création de règles, consultez Groupes de règles et Règles.
Types de revendications pris en charge
Une fois qu'un utilisateur s'est authentifié auprès d'un fournisseur d'identité, il reçoit un jeton contenant des revendications d'identité. Les revendications sont des informations relatives à l'utilisateur, telles qu'une adresse de messagerie ou un ID unique. ACS peut transmettre ces revendications directement à l’application de partie de confiance ou prendre des décisions d’autorisation en fonction des valeurs qu’ils contiennent.
Par défaut, les types de revendications dans ACS sont identifiés de manière unique à l’aide d’un URI pour la conformité avec la spécification de jeton SAML. Ces URI sont également utilisés pour les revendications d'identité dans d'autres formats de jetons.
Pour WS-Federation fournisseurs d’identité, les types de revendications disponibles sont déterminés par les métadonnées WS-Federation pour le fournisseur d’identité importé dans ACS. Une fois l’importation terminée, les types de revendications disponibles pour le fournisseur d’identité sont visibles dans la page Modifier la règle de revendication du portail de gestion ACS. Ces types de revendications sont également visibles via l’entité ClaimType dans le service de gestion ACS.
Outre les types de revendications disponibles via les métadonnées WS-Federation, ACS émet toujours les revendications suivantes pour chaque fournisseur d’identité WS-Federation.
| Type de revendication | URI | Description |
|---|---|---|
Identificateur de nom |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
Identificateur unique pour le compte d'utilisateur, généré par le fournisseur d'identité. |
Fournisseur d’identité |
https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider |
Revendication fournie par ACS qui indique à l’application de partie de confiance que l’utilisateur s’est authentifié à l’aide du fournisseur d’identité sélectionné. La valeur de cette revendication est visible dans le portail de gestion ACS via le champ Domaine dans la page Modifier le fournisseur d’identité . |
Notes
WS-Federation fournisseurs d’identité peut également émettre des types de revendications à ACS qui ne sont pas répertoriés explicitement dans le document de métadonnées WS-Federation du fournisseur d’identité. Dans ce cas, l'URI de type de revendication attendu peut être entré manuellement dans une règle au lieu d'être sélectionné. Pour plus d’informations sur les règles, consultez Groupes de règles et Règles.
Gestion des certificats
Les certificats de signature de jeton X.509 pour un fournisseur d’identité WS-Federation sont répertoriés sur la page du fournisseur d’identité dans le portail de gestion ACS. Il est important de surveiller les certificats, en veillant à ce qu'ils soient appliqués et à ce qu'ils soient remplacés avant leur expiration.
Pour afficher les certificats d'un fournisseur d'identité WS-Federation :
Dans le portail de gestion ACS, cliquez sur Fournisseurs d’identité.
Cliquez sur le fournisseur d'identité WS-Federation.
Faites défiler la page jusqu'à la section Certificats de signature de jetons située en bas.
Pour plus d’informations sur la gestion des certificats pour les fournisseurs d’identité WS-Federation, consultez le certificat du fournisseur d’identité WS-Federation.
Voir aussi
Concepts
Fournisseurs d’identité
Recommandations en matière de gestion de certificats et de clés