Identity Providers
Mise à jour : 19 juin 2015
S’applique à : Azure
Important
Les espaces de noms ACS peuvent migrer leurs configurations de fournisseur d'identité Google d'OpenID 2.0 vers OpenID Connect. La migration doit être terminée avant le 1er juin 2015. Pour obtenir des instructions détaillées, consultez Migration d’espaces de noms ACS vers Google OpenID Connecter.
Dans Microsoft Azure Active Directory Access Control (également appelé service Access Control ou ACS), un fournisseur d’identité est un service qui authentifie les identités des utilisateurs ou des clients et émet des jetons de sécurité consommés par ACS. Lorsqu’un fournisseur d’identité est configuré, ACS approuve les jetons émis par ce fournisseur d’identité et utilise les revendications dans ces jetons comme entrées dans le moteur de règles ACS. Le moteur de règles ACS transforme ou transmet ces revendications et les inclut dans le jeton qu’il émet aux applications de partie de confiance. Le propriétaire d’un espace de noms Access Control peut configurer un ou plusieurs fournisseurs d’identité dans leur espace de noms.
Dans ACS, un fournisseur d’identité peut être associé à plusieurs applications de partie de confiance. De même, une application de partie de confiance ACS peut être associée à plusieurs fournisseurs d’identité. Pour plus d’informations sur les applications de partie de confiance, consultez Applications de partie de confiance.
Le portail de gestion ACS prend en charge la configuration intégrée des fournisseurs d’identité suivants :
Outre ces fournisseurs d’identité, ACS prend en charge la configuration des types de fournisseurs d’identité suivants par programmation via le service de gestion ACS :
Fournisseurs d'identité WS-Trust
Fournisseurs d'identité OpenID
Fournisseurs d'identité WS-Trust
WS-Trust fournisseurs d’identité passent des revendications d’identité à ACS à l’aide du protocole WS-Trust et sont les plus fréquemment utilisés dans les scénarios de service web. De nombreux fournisseurs d’identité WS-Trust prennent également en charge WS-Federation et peuvent être configurés dans ACS en tant que fournisseurs d’identité WS-Federation pour créer la relation d’approbation requise. Un exemple de fournisseur d’identité WS-Trust est (également un fournisseur d’identité WS-Federation), ce qui vous permet d’intégrer vos comptes de service Active Directory d’entreprise à ACS. Pour plus d’informations, consultez Guide pratique pour configurer AD FS 2.0 en tant que fournisseur d’identité.
Fournisseurs d'identité OpenID
ACS prend en charge la fédération avec des fournisseurs d’identité basés sur OpenID pour les sites web et les applications web, à l’aide du protocole d’authentification OpenID 2.0. L’implémentation d’ACS OpenID permet à un point de terminaison d’authentification OpenID d’être configuré dans le cadre d’une entité de fournisseur d’identité dans ACS. Lorsqu’une page de connexion ACS est affichée pour une application de partie de confiance, ACS construit une demande d’authentification OpenID dans le cadre de l’URL de connexion du fournisseur d’identité. Une fois qu’un utilisateur sélectionne le fournisseur d’identité et se connecte à l’URL demandée, la réponse OpenID est retournée au service ACS où il est traité par le moteur de règles ACS. ACS récupère les attributs utilisateur OpenID à l’aide de l’attribut OpenID Exchange Extension et mappe ces attributs aux revendications qui sont ensuite générées dans la réponse du jeton émise à l’application de partie de confiance.
Deux exemples de fournisseurs d’identité openID pris en charge par ACS sont Google et Yahoo!, qui peuvent être configurés dans le portail de gestion ACS. Pour plus d’informations, consultez Google et Yahoo!.
D’autres fournisseurs d’identité qui prennent en charge les points de terminaison d’authentification OpenID 2.0 peuvent être configurés par programme à l’aide du service de gestion ACS. Pour plus d’informations, consultez How to: Use ACS Management Service to Configure an OpenID Identity Provider.
Types de revendications pris en charge
Le tableau suivant présente les types de revendications disponibles pour ACS à partir de fournisseurs d’identité OpenID. Par défaut, les types de revendications dans ACS sont identifiés de manière unique à l’aide d’un URI pour la conformité avec la spécification du jeton SAML. Ces URI servent également à identifier les revendications dans d'autres formats de jetons.
Type de revendication | URI | Description |
---|---|---|
Identificateur de nom |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
Valeur openid.claimed_id value retourné par le fournisseur d'identité. |
Nom |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
Attribut http://axschema.org/namePerson retourné par le fournisseur d’identité via l’extension OpenID Attribute Exchange. Si cet attribut n’est pas présent, la valeur de revendication est la concaténation et http://axschema.org/namePerson/firsthttp://axschema.org/namePerson/last. |
Adresse de messagerie |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Attribut http://axschema.org/contact/email retourné par le fournisseur d’identité via l’extension OpenID Attribute Exchange. |
Fournisseur d’identité |
https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider |
Revendication fournie par ACS qui indique à l’application de partie de confiance le fournisseur d’identité OpenID utilisé pour authentifier l’utilisateur. |