Adfs saml token
Authentification unique basée sur SAML : configuration et limitations
Dans cet article, vous allez apprendre à configurer une application pour l’authentification unique (SSO) basée sur SAML avec Microsoft Entra ID. If se concentre sur la configuration de l’authentification unique SAML pour les applications migrées des services de fédération Active Directory (ADFS) vers Microsoft Entra ID.
Les concepts abordés incluent le mappage des utilisateurs à des rôles d’application spécifiques basés sur des règles et les limitations à garder à l’esprit lors du mappage d’attributs. Il couvre également les certificats de signature SAML, le chiffrement des jetons SAML, la vérification de la signature des demandes SAML et les fournisseurs de revendications personnalisées.
Les applications qui utilisent SAML 2.0 pour l’authentification peuvent être configurées pour l’authentification unique (SSO) basée sur SAML. Avec l’authentification unique basée sur SAML, vous pouvez mapper des utilisateurs à des rôles d’application spécifiques en fonction des règles que vous définissez dans vos revendications SAML.
Pour configurer une application SaaS pour l’authentification unique basée sur SAML, consultez la section Démarrage rapide : Configurer l’authentification unique basée sur SAML.
De nombreuses applications SaaS disposent d’un didacticiel spécifique à l’application qui vous guide tout au long de la configuration de l’authentification unique basée sur SAML.
Certaines applications peuvent être migrées facilement. Les applications avec des exigences plus complexes, telles que des revendications personnalisées, peuvent nécessiter une configuration supplémentaire dans Microsoft Entra ID et/ou Microsoft Entra Connect Health. Pour plus d’informations sur les mappages de revendications pris en charge, consultez Comment : personnaliser les revendications émises dans les jetons pour une application spécifique dans un locataire (préversion).
Gardez à l’esprit les limitations suivantes lors du mappage d’attributs :
- Tous les attributs qui peuvent être émis dans AD FS n’apparaissent pas dans Microsoft Entra ID en tant qu’attributs à émettre sur des jetons SAML, même si ces attributs sont synchronisés. Lorsque vous modifiez l’attribut, la liste déroulante Valeur vous indique les différents attributs disponibles dans Microsoft Entra ID. Vérifiez la configuration des articles de synchronisation Microsoft Entra Connect pour vous assurer qu’un attribut obligatoire, par exemple, samAccountName , est synchronisé avec Microsoft Entra ID. Vous pouvez utiliser les attributs d’extension pour émettre une revendication qui ne fait pas partie du schéma utilisateur standard dans Microsoft Entra ID.
- Dans les scénarios les plus courants, seules la revendication NameID et d’autres revendications d’identificateur d’utilisateur commun sont requises pour une application. Pour déterminer si des demandes de remboursement supplémentaires sont nécessaires, examinez les demandes que vous émettez à partir d’AD FS.
- Toutes les revendications ne peuvent pas être émises, car certaines sont protégées par Microsoft Entra ID.
- La possibilité d’utiliser des jetons SAML chiffrés est désormais disponible en préversion. Consultez Comment : personnaliser les revendications émises dans le jeton SAML pour les applications d’entreprise.
applications SaaS (Software as a Service)
Si vos utilisateurs se connectent à des applications SaaS telles que Salesforce, ServiceNow ou Workday et sont intégrés à AD FS, vous utilisez l’authentification fédérée pour les applications SaaS.
La plupart des applications SaaS peuvent être configurées dans Microsoft Entra ID. Microsoft dispose de nombreuses connexions préconfigurées aux applications SaaS dans la galerie d’applications Microsoft Entra, ce qui facilite votre transition. Les applications SAML 2.0 peuvent être intégrées à Microsoft Entra ID via la galerie d’applications Microsoft Entra ou en tant qu’applications hors galerie.
Les applications qui utilisent OAuth 2.0 ou OpenID Connect peuvent être intégrées de la même manière à Microsoft Entra ID en tant qu’inscriptions d’applications. Les applications qui utilisent des protocoles hérités peuvent utiliser le proxy d’application Microsoft Entra pour s’authentifier avec Microsoft Entra ID.
Certificats de signature SAML pour l’authentification unique
Les certificats de signature constituent une partie importante de tout déploiement SSO. Microsoft Entra ID crée les certificats de signature pour établir l’authentification unique fédérée basée sur SAML pour vos applications SaaS. Une fois que vous avez ajouté qu’il s’agisse d’applications de galerie ou non-galerie, vous pouvez configurer l’application ajoutée à l’aide de l’option d’authentification unique fédérée. Consultez Gérer les certificats pour l’authentification unique fédérée dans Microsoft Entra ID.
Chiffrement des jetons SAML
ADFS et Microsoft Entra ID fournissent tous deux un chiffrement par jeton, c’est-à-dire la possibilité de chiffrer les assertions de sécurité SAML qui vont aux applications. Les assertions sont chiffrées à l’aide d’une clé publique et déchiffrées par l’application réceptrice à l’aide de la clé privée correspondante. Lorsque vous configurez le chiffrement par jeton, vous chargez des fichiers de certificat X.509 pour fournir les clés publiques.
Pour plus d’informations sur le chiffrement de jeton SAML Microsoft Entra et sur sa configuration, consultez Comment : configurer le chiffrement de jeton SAML Microsoft Entra.
Remarque Le
chiffrement par jeton est une fonctionnalité de Microsoft Entra ID P1 ou P2. Pour en savoir plus sur les éditions, les fonctionnalités et la tarification de Microsoft Entra, consultez Microsoft Prix Entra.
signature de la demande SAML
Cette fonctionnalité valide la signature des demandes d’authentification signées. Un administrateur d’application active et désactive l’application des demandes signées et télécharge les clés publiques qui doivent être utilisées pour effectuer la validation. Pour plus d’informations, consultez Comment appliquer des demandes d’authentification SAML signées.
Pour migrer des données à partir de systèmes hérités tels qu’ADFS ou de magasins de données tels que LDAP, vos applications dépendent de certaines données contenues dans les jetons. Vous pouvez utiliser des fournisseurs de revendications personnalisées pour ajouter des revendications dans le jeton. Pour plus d’informations, consultez Vue d’ensemble du fournisseur de revendications personnalisées.
Applications et configurations qui peuvent être déplacées aujourd’hui
Les applications que vous pouvez déplacer facilement aujourd’hui incluent les applications SAML 2.0 qui utilisent l’ensemble standard d’éléments de configuration et de revendications. Ces articles standard sont les suivants :
- Nom de l’utilisateur principal
- Adresse e-mail
- Prénom Nom de
- famille
- Autre attribut en tant que SAML NameID , y compris l’attribut de messagerie Microsoft Entra ID, le préfixe de messagerie, l’ID d’employé, les attributs d’extension 1 à 15 ou l’attribut SamAccountName local. Pour plus d’informations, consultez Modification de la revendication NameIdentifier.
- Réclamations personnalisées.
Les éléments suivants nécessitent davantage d’étapes de configuration pour migrer vers Microsoft Entra ID :
Applications et configurations non prises en charge dans Microsoft Entra aujourd’hui
Les applications qui nécessitent certaines fonctionnalités ne peuvent pas être migrées aujourd’hui.
Les applications qui nécessitent les fonctionnalités de protocole suivantes ne peuvent pas être migrées aujourd’hui :
- Prise en charge de l’artefact SAML du modèle WS-Trust ActAs
- La
migration nécessite d’évaluer la configuration de l’application localement, puis de mapper cette configuration à Microsoft Entra ID. AD FS et Microsoft Entra ID fonctionnent de la même manière, de sorte que les concepts de configuration des URL d’approbation, d’ouverture et de déconnexion, ainsi que des identificateurs, s’appliquent dans les deux cas. Documentez les paramètres de configuration AD FS de vos applications afin de pouvoir les configurer facilement dans Microsoft Entra ID.
Mapper les paramètres de configuration de l’application
Le tableau suivant décrit certains des mappages les plus courants des paramètres entre une approbation de partie de confiance AD FS et l’application d’entreprise Microsoft Entra :
- AD FS : recherchez le paramètre dans l’approbation de partie de confiance AD FS pour l’application. Cliquez avec le bouton droit sur la partie de confiance et sélectionnez Propriétés.
- Microsoft Entra ID : le paramètre est configuré dans Microsoft Centre d’administration Entra dans les propriétés SSO de chaque application.
| Paramètre de configuration | AD FS | Configuration dans Microsoft Entra ID | Jeton SAML |
|---|---|---|---|
| URL de connexion à l’application URL permettant à l’utilisateur de se connecter à l’application dans un flux SAML initié par un fournisseur de services (SP). | N/A | Open Configuration SAML de base à partir de l’authentification basée sur SAML | N/A |
| URL de réponse de l’application URL de l’application du point de vue du fournisseur d’identité (IdP). L’IdP envoie l’utilisateur et le jeton ici une fois que l’utilisateur s’est connecté à l’IdP. Également connu sous le nom de point de terminaison consommateur d’assertion SAML . | Sélectionnez l’onglet Points de terminaison | Ouvrez la configuration SAML de base à partir de l’élément Destination d’authentification basée sur SAML | dans le jeton SAML. Exemple de valeur : |
| URL de déconnexion de l’application URL à laquelle les demandes de nettoyage de déconnexion sont envoyées lorsqu’un utilisateur se déconnecte d’une application. L’IdP envoie également la demande de déconnexion de l’utilisateur de toutes les autres applications. | Sélectionnez l’onglet Points de terminaison | Ouvrir la configuration SAML de base à partir de l’authentification basée sur SAML N | /A |
| Identificateur d’application Identificateur d’application du point de vue du fournisseur d’identité. La valeur de l’URL de connexion est souvent utilisée pour l’identificateur (mais pas toujours). Parfois, l’application l’appelle l’ID d’entité. | Sélectionnez l’onglet Identificateurs Ouvrir la | configuration SAML de base à partir d’une configuration SAML mappe à | l’élément Audience dans le jeton SAML. |
| Métadonnées de fédération d’applications Emplacement des métadonnées de fédération de l’application. L’IdP l’utilise pour mettre à jour automatiquement des paramètres de configuration spécifiques, tels que des points de terminaison ou des certificats de chiffrement. | Sélectionnez l’onglet Surveillance | N/A. Microsoft Entra ID ne prend pas en charge l’utilisation directe des métadonnées de fédération d’applications. Vous pouvez importer manuellement les métadonnées de la fédération. | N/A |
| Identificateur d’utilisateur/ID de nom Attribut utilisé pour indiquer de manière unique l’identité de l’utilisateur à partir de Microsoft Entra ID ou AD FS à votre application. Il s’agit généralement de l’UPN ou de l’adresse e-mail de l’utilisateur. | Règles de réclamation. Dans la plupart des cas, la demande règle émet une revendication avec un type qui se termine par NameIdentifier . | Vous pouvez trouver l’identificateur sous l’en-tête Attributs et revendications de l’utilisateur . Par défaut, l’UPN est appliqué | Maps à l’élément NameID dans le jeton SAML. |
| Autres revendications Des exemples d’autres informations de revendication qui sont généralement envoyées par l’IdP à l’application incluent le prénom, le nom, l’adresse e-mail et l’appartenance à un groupe. | Dans AD FS, vous pouvez trouver cette règle en tant qu’autres règles de revendication sur la partie qui se fie à la demande. | Vous pouvez trouver l’identificateur sous l’en-tête Attributs et revendications de l’utilisateur . Sélectionnez Afficher et modifiez tous les autres attributs utilisateur. | N/A |
Fournisseur d’identité cartographique (IdP) configurez
vos applications pour qu’elles pointent vers Microsoft Entra ID plutôt que vers AD FS pour l’authentification unique. Ici, nous nous concentrons sur les applications SaaS qui utilisent le protocole SAML. Cependant, ce concept s’étend également aux applications métier personnalisées.
Remarque Les
valeurs de configuration de l’ID Microsoft Entra suivent le modèle selon lequel votre ID de locataire Azure remplace et l’ID d’application remplace {application-id}. Vous trouverez ces informations dans le centre d’administration Microsoft Entra sous ID Microsoft Entra > Propriétés :
- Sélectionnez ID de répertoire pour afficher votre ID de locataire.
- Sélectionnez ID d’application pour afficher votre ID d’application.
À un niveau général, mappez les éléments clés de configuration des applications SaaS suivants à Microsoft Entra ID.
| Valeur de configuration de | l’élément |
|---|---|
| Émetteur du fournisseur d’identité | |
| URL de connexion du fournisseur d’identité | |
| URL de déconnexion du fournisseur d’identité Emplacement | |
| métadonnées de la fédération |
Mapper les paramètres SSO pour les applications SaaS
Les applications SaaS doivent savoir où envoyer les demandes d’authentification et comment valider les jetons reçus. Le tableau suivant décrit les éléments permettant de configurer les paramètres d’authentification unique dans l’application, ainsi que leurs valeurs ou emplacements dans AD FS et Microsoft Entra ID.
| Configuration Configuration | AD FS | Configuration dans Microsoft Entra |
|---|---|---|
| ID URL de connexion du fournisseur d’identité URL de connexion du fournisseur d’identité du point de vue de l’application (où l’utilisateur est redirigé pour la connexion). | L’URL d’authentification AD FS est le nom du service de fédération AD FS suivi de . par exemple: | Remplacez-le par votre ID de locataire. Pour les applications qui utilisent le protocole SAML-P : Pour les applications qui utilisent le protocole WS-Federation : |
| URL de déconnexion de l’IdP URL de déconnexion de l’IdP du point de vue de l’application (où l’utilisateur est redirigé lorsqu’il choisit de se déconnecter de l’application). | L’URL de déconnexion est soit la même que l’URL de connexion, soit la même URL qu’elle est ajoutée. Par exemple : | remplacez par votre ID de locataire. Pour les applications qui utilisent le protocole SAML-P : Pour les applications qui utilisent le protocole WS-Federation : |
| Certificat de signature de jeton L’IdP utilise la clé privée du certificat pour signer les jetons émis. Il vérifie que le provient du même fournisseur d’identité que celui pour lequel l’application est configurée. | Recherchez le certificat de signature de jeton AD FS dans Gestion AD FS sous Certificats . | Vous le trouverez dans le Centre d’administration Microsoft Entra dans les propriétés d’authentification unique de l’application sous l’en-tête Certificat de signature SAML . Là, vous pouvez télécharger le certificat pour le télécharger dans l’application. Si l’application comporte plusieurs certificats, vous pouvez trouver tous les certificats dans le fichier XML de métadonnées de la fédération. |
| Identifiant/« émetteur » Identifiant de l’IdP du point de vue de l’application (parfois appelé « ID de l’émetteur »). Dans le jeton SAML, la valeur apparaît en tant qu’élément Issuer. | L’identificateur d’AD FS est généralement l’identificateur de service de fédération dans AD FS Gestion sous Service > Modifier les propriétés du service de fédération . Par exemple : | remplacez par votre ID de locataire. |
| Métadonnées de fédération IdP Emplacement des métadonnées de fédération de l’IdP accessibles au public. (Certaines applications utilisent les métadonnées de fédération au lieu de configurer individuellement les URL, l’identificateur et le certificat de signature de jeton par l’administrateur.) | Recherchez l’URL des métadonnées de la fédération AD FS dans Gestion AD FS sous Points >de terminaison > Métadonnées Type > : Métadonnées de fédération . Par exemple : | La valeur correspondante pour Microsoft Entra ID suit le modèle . Remplacez {TenantDomainName} par le nom de votre locataire au format . Pour plus d’informations, consultez Métadonnées de fédération. |