Exigences d’application pour le système d’authentification de sauvegarde
Le système d’authentification de sauvegarde Microsoft Entra fournit une résilience aux applications qui utilisent des protocoles et des flux pris en charge. Pour plus d’informations sur le système d’authentification de sauvegarde, consultez Système d’authentification de sauvegarde de Microsoft Entra ID.
Exigences d’application pour la protection
Les applications doivent communiquer avec un nom d’hôte pris en charge pour l’environnement Azure donné et doivent utiliser les protocoles actuellement pris en charge par le système d’authentification de sauvegarde. L’utilisation de bibliothèques d’authentification, telles que la bibliothèque d’authentification Microsoft (MSAL, Microsoft Authentication Library), garantit que vous utilisez les protocoles d’authentification pris en charge par le système d’authentification de sauvegarde.
Noms d’hôte pris en charge par le système d’authentification de sauvegarde
| Environnement Azure | Nom d’hôte pris en charge |
|---|---|
| Azure Commercial | login.microsoftonline.com |
| Azure Government | login.microsoftonline.us |
Protocoles d’authentification pris en charge par le système d’authentification de sauvegarde
OAuth 2.0 et OpenID Connect (OIDC)
Conseils courants
Toutes les applications qui utilisent les protocoles Open Authorization (OAuth) 2.0 ou OIDC doivent respecter les pratiques suivantes pour garantir la résilience :
- Votre application utilise MSAL ou respecte strictement les spécifications OpenID Connect et OAuth2. Microsoft recommande d’utiliser des bibliothèques MSAL adaptées à votre plateforme et à votre cas d’usage. L’utilisation de ces bibliothèques garantit que l’utilisation des API et des modèles d’appel peut être prise en charge par le système d’authentification de sauvegarde.
- Votre application utilise un ensemble fixe d’étendues au lieu du consentement dynamique lors de l’acquisition de jetons d’accès.
- Votre application n’utilise pas l’octroi d’informations d’identification du mot de passe du propriétaire de la ressource. Ce type d’octroi ne sera pas pris en charge par le système d’authentification de sauvegarde pour tout type de client. Microsoft recommande vivement de passer à d’autres flux d’octroi pour améliorer la sécurité et la résilience.
- Votre application ne s’appuie pas sur le point de terminaison UserInfo. Le passage à l’utilisation d’un jeton d’ID réduit plutôt la latence en éliminant jusqu’à deux requêtes réseau. Cela permet aussi d’utiliser la prise en charge existante de la résilience des jetons d’ID dans le système d’authentification de sauvegarde.
Applications natives
Les applications natives sont des applications clientes publiques qui s’exécutent directement sur des appareils de bureau ou mobiles et non dans un navigateur web. Elles sont inscrites en tant que clients publics dans leur inscription d’application sur le centre d’administration Microsoft Entra ou le Portail Azure.
Les applications natives sont protégées par le système d’authentification de sauvegarde lorsque toutes les conditions suivantes sont remplies :
- Votre application rend persistant le cache de jetons pendant au moins trois jours. Les applications doivent utiliser l’emplacement du cache de jetons de l’appareil ou l’API de sérialisation du cache de jetons pour conserver le cache de jetons même lorsque l’utilisateur ferme l’application.
- Votre application utilise l’API AcquireTokenSilent de MSAL pour récupérer des jetons à l’aide des jetons d’actualisation mis en cache. Il est possible que l’utilisation de l’API AcquireTokenInteractive ne permette pas d’acquérir un jeton à partir du système d’authentification de sauvegarde si une interaction avec l’utilisateur est nécessaire.
Le système d’authentification de sauvegarde ne prend pas actuellement en charge l’octroi d’autorisation d’appareil.
Application web monopage
La prise en charge des applications web monopages (SPA, Single-page web applications) est limitée dans le système d’authentification de sauvegarde. Les SPA qui utilisent le flux d’octroi implicite et demandent uniquement les jetons d’ID OpenID Connect sont protégées. Seules les applications qui utilisent MSAL.js 1.x ou implémentent directement le flux d’octroi implicite peuvent utiliser cette protection, car MSAL.js 2.x ne prend pas en charge le flux implicite.
Le système d’authentification de sauvegarde ne prend pas actuellement en charge le flux de code d’autorisation avec clé de preuve pour l’échange de code.
Applications et services web
Le système d’authentification de sauvegarde ne prend pas actuellement en charge les applications web et les services configurés en tant que clients confidentiels. La protection du flux d’octroi de code d’autorisation et l’acquisition de jetons successive à l’aide de jetons d’actualisation et de clés secrètes client, ou d’informations d’identification de certificat, ne sont pas actuellement prises en charge. Le flux on-behalf-of OAuth 2.0 n’est pas actuellement pris en charge.
Authentification unique (SSO, single sign-on) SAML 2.0
Le système d’authentification de sauvegarde prend partiellement en charge le protocole d’authentification unique (SSO) SAML (Security Assertion Markup Language) 2.0. Les flux qui utilisent le flux initié par le fournisseur d’identité (IdP, Identity Provider) SAML 2.0 sont protégés par le système d’authentification de sauvegarde. Les applications qui utilisent le flux initié par le fournisseur de service (SP, Service Provider) ne sont pas actuellement protégées par le système d’authentification de sauvegarde.
Protocoles d’authentification d’identité de charge de travail pris en charge par le système d’authentification de sauvegarde
OAuth 2.0
Identité gérée
Les applications qui utilisent des identités managées pour acquérir des jetons d’accès Microsoft Entra sont protégées. Microsoft recommande l’utilisation d’identités managées affectées par l’utilisateur dans la plupart des scénarios. Cette protection s’applique aux identités managées affectées par l’utilisateur et au système.
Principal du service
Le système d’authentification de sauvegarde ne prend pas actuellement en charge l’authentification d’identité de charge de travail basée sur le principal de service à l’aide du flux d’octroi des informations d’identification du client. Microsoft recommande d’utiliser la version de MSAL adaptée à votre plateforme pour que votre application soit protégée par le système d’authentification de sauvegarde lorsque la protection devient disponible.