Freigeben über


Übersicht über Die Anmeldeinformationen für Verbundidentitäten in Microsoft Entra ID

Namespace: microsoft.graph

Üblicherweise verwenden Entwickler Zertifikate oder geheime Clientschlüssel für die Anmeldeinformationen ihrer Anwendung, um sich bei Diensten in Microsoft Entra ID zu authentifizieren und darauf zuzugreifen. Für den Zugriff auf die Dienste in ihrem Microsoft Entra Mandanten mussten Entwickler Anwendungsanmeldeinformationen außerhalb von Azure speichern und verwalten, was zu den folgenden Engpässen führte:

  • Ein Wartungsaufwand für Zertifikate und Geheimnisse.
  • Das Risiko, Geheimnisse preisgefährdend zu werden.
  • Ablaufen von Zertifikaten und Dienstunterbrechungen aufgrund einer fehlgeschlagenen Authentifizierung.

Anmeldeinformationen für Verbundidentitäten sind ein neuer Typ von Anmeldeinformationen, der den Workloadidentitätsverbund für Softwareworkloads ermöglicht. Der Workloadidentitätsverbund ermöglicht Ihnen den Zugriff auf Microsoft Entra geschützten Ressourcen, ohne Geheimnisse verwalten zu müssen (für unterstützte Szenarien).

Wie funktionieren Anmeldeinformationen für Verbundidentitäten?

Sie erstellen eine Vertrauensstellung zwischen einem externen Identitätsanbieter (IdP) und einer App in Microsoft Entra ID, indem Sie Anmeldeinformationen für Verbundidentitäten konfigurieren. Die Anmeldeinformationen der Verbundidentität werden verwendet, um anzugeben, welchem Token des externen Identitätsanbieters ihre Anwendung vertrauen soll. Nachdem diese Vertrauensstellung erstellt wurde, kann Ihre Softwareworkload vertrauenswürdige Token vom externen Identitätsanbieter gegen Zugriffstoken aus dem Microsoft Identity Platform austauschen. Ihre Softwareworkload verwendet dann dieses Zugriffstoken, um auf die Microsoft Entra geschützten Ressourcen zuzugreifen, auf die der Workload Zugriff gewährt wurde. Dadurch entfällt der Wartungsaufwand für die manuelle Verwaltung von Anmeldeinformationen und das Risiko, dass Geheimnisse kompromittiert werden oder Zertifikate ablaufen. Weitere Informationen und unterstützte Szenarien finden Sie unter Workloadidentitätsverbund.

Einrichten von Anmeldeinformationen für Verbundidentitäten über Microsoft Graph

Die federatedIdentityCredential-Ressource stellt die Konfiguration von Anmeldeinformationen für Verbundidentitäten über Microsoft Graph dar. Verwenden Sie die CREATE federatedIdentityCredential-API , um das Objekt zu konfigurieren. Die folgenden Eigenschaften sind die Bausteine von Anmeldeinformationen für Verbundidentitäten:

  • audiences : Die Zielgruppe, die im externen Token angezeigt werden kann. Dieses Feld ist obligatorisch und sollte für api://AzureADTokenExchange Microsoft Entra ID auf festgelegt werden. Es wird angegeben, was Microsoft Identity Platform im aud -Anspruch im eingehenden Token akzeptieren sollen. Dieser Wert stellt Microsoft Entra ID in Ihrem externen Identitätsanbieter dar und hat keinen festen Wert für alle Identitätsanbieter. Möglicherweise müssen Sie eine neue Anwendungsregistrierung in Ihrem Identitätsanbieter erstellen, um als Zielgruppe dieses Tokens zu dienen.
  • issuer : Die URL des externen Identitätsanbieters. Muss mit dem Ausstelleranspruch des ausgetauschten externen Tokens übereinstimmen.
  • subject : Der Bezeichner der externen Softwareworkload innerhalb des externen Identitätsanbieters. Wie der Zielgruppenwert hat er kein festes Format, da jeder IdP sein eigenes verwendet– manchmal eine GUID, manchmal einen durch Doppelpunkt getrennten Bezeichner, manchmal beliebige Zeichenfolgen. Der Wert muss hier mit dem sub Anspruch innerhalb des Tokens übereinstimmen, das Microsoft Entra ID angezeigt wird.
  • name : Eine eindeutige Zeichenfolge zum Identifizieren der Anmeldeinformationen. Diese Eigenschaft ist ein alternativer Schlüssel, und der Wert kann verwendet werden, um über die GET - und UPSERT-Vorgänge auf die Anmeldeinformationen der Verbundidentität zu verweisen.

Die Kombination aus Aussteller und Betreff muss in der App eindeutig sein. Wenn die externe Softwareworkload Microsoft Identity Platform anfordert, das externe Token gegen ein Zugriffstoken auszutauschen, werden die Aussteller- und Antragstellerwerte der Anmeldeinformationen der Verbundidentität anhand der issuer im externen Token bereitgestellten Ansprüche und subject überprüft. Wenn diese Überprüfung erfolgreich ist, gibt Microsoft Identity Platform ein Zugriffstoken für die externe Softwareworkload aus.

Überlegungen zum Entwurf

Pro Anwendungsobjekt oder benutzerseitig zugewiesener verwalteter Identität können maximal 20 Anmeldeinformationen für Verbundidentitäten hinzugefügt werden.