Fournisseurs d'identité
Le document est archivé et les informations affichées ici peuvent être obsolètes

Fournisseurs d'identité

Publication: avril 2011

Mis à jour: juin 2015

S'applique à: Azure

ImportantImportant
Les espaces de noms ACS peuvent migrer leurs configurations de fournisseur d'identité Google d'OpenID 2.0 vers OpenID Connect. La migration doit être effectuée avant le 1er juin 2015. Pour obtenir des instructions détaillées, consultez la rubrique Migration d'espaces de noms ACS vers Google OpenID Connect.

Dans Microsoft Azure Active Directory Access Control (également appelé Access Control Service ou ACS), un fournisseur d'identité est un service qui authentifie des identités client et utilisateur et qui délivre des jetons de sécurité consommés par ACS. Quand un fournisseur d'identité est configuré, ACS approuve les jetons délivrés par ce fournisseur d'identité et utilise les revendications contenues dans ces jetons comme entrées pour le moteur de règles ACS. Le moteur de règles ACS transforme ou passe ces revendications et les inclut dans le jeton qu'il délivre aux applications de partie de confiance. Le propriétaire d'un espace de noms Access Control peut configurer un ou plusieurs fournisseurs d'identité dans son espace de noms.

Dans ACS, vous pouvez associer un fournisseur d'identité à plusieurs applications de partie de confiance. De même, vous pouvez associer une application de partie de confiance ACS à plusieurs fournisseurs d'identité. Pour plus d'informations sur les applications de partie de confiance, consultez Applications par partie de confiance.

Le portail de gestion ACS offre une prise en charge intégrée de la configuration des fournisseurs d'identité suivants :

Outre ces fournisseurs d'identité, ACS prend en charge la configuration des types de fournisseurs d'identité suivants par programmation par l'intermédiaire du service de gestion ACS :

Les fournisseurs d'identité WS-Trust passent des revendications d'identité à ACS à l'aide du protocole WS-Trust. On les utilise principalement dans les scénarios de services web. De nombreux fournisseurs d'identité WS-Trust prennent également en charge WS-Federation et peuvent être configurés dans ACS comme fournisseur d'identité WS-Federation pour créer la relation d'approbation nécessaire. Les (qui sont également un fournisseur d'identité WS-Federation) constituent un exemple de fournisseur d'identité WS-Trust. Ils vous permettent d'intégrer vos comptes de service Active Directory d'entreprise à ACS. Pour plus d'informations, consultez Configuration d'AD FS 2.0 en tant que fournisseur d'identité.

ACS prend en charge la fédération avec des fournisseurs d'identité OpenID pour les sites web et les applications web à l'aide du protocole d'authentification OpenID 2.0. L'implémentation OpenID d'ACS permet de configurer un point de terminaison d'authentification OpenID dans le cadre d'une entité de fournisseur d'identité dans ACS. Quand une page de connexion ACS est affichée pour une application de partie de confiance, ACS construit une demande d'authentification OpenID dans le cadre de l'URL de connexion pour le fournisseur d'identité. Une fois qu'un utilisateur sélectionne le fournisseur d'identité et se connecte à l'URL demandée, la réponse OpenID est retournée à ACS où elle est traitée par le moteur de règles ACS. ACS récupère les attributs utilisateur OpenID à l'aide de l'extension OpenID Attribute Exchange et mappe ces attributs à des revendications qui sont ensuite générées dans la réponse de jeton émise en direction de l'application de la partie de confiance.

Google et Yahoo! sont deux exemples de fournisseurs d'identité OpenID pris en charge par ACS qui peuvent être configurés dans le portail de gestion ACS. Pour plus d'informations, consultez Google et Yahoo!.

D'autres fournisseurs d'identité qui prennent en charge les points de terminaison d'authentification OpenID 2.0 peuvent être configurés par programmation à l'aide du service de gestion ACS. Pour plus d'informations, consultez Procédure : utiliser le service de gestion ACS pour configurer un fournisseur d'identité OpenID.

Le tableau suivant montre les types de revendications accessibles à ACS à partir des fournisseurs d'identité OpenID. Par défaut, les types de revendications dans ACS sont identifiés de manière unique à l'aide d'un URI pour la conformité avec la spécification de jetons SAML. Ces URI servent également à identifier les revendications dans d'autres formats de jetons.

 

Type de revendication URI Description

Identificateur de nom

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Valeur openid.claimed_id value retourné par le fournisseur d'identité.

Nom

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Attribut http://axschema.org/namePerson retourné par le fournisseur d'identité via l'extension OpenID Attribute Exchange. Si cet attribut est absent, la valeur de revendication est la concaténation de http://axschema.org/namePerson/first et http://axschema.org/namePerson/last.

Adresse de messagerie

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Attribut http://axschema.org/contact/email retourné par le fournisseur d'identité via l'extension OpenID Attribute Exchange.

Fournisseur d'identité

http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Revendication fournie par ACS qui indique à l'application de partie de confiance quel fournisseur d'identité OpenID est utilisé pour authentifier l'utilisateur.

Voir aussi

Afficher:
© 2016 Microsoft