Comment la plateforme d’identités Microsoft utilise le protocole SAML

La plateforme d’identités Microsoft utilise le protocole SAML 2.0 pour permettre aux applications de fournir une expérience d’authentification unique aux utilisateurs. Les profils SAML Authentification unique et Déconnexion unique d’Azure AD expliquent comment les assertions, les protocoles et les liaisons SAML sont utilisées dans le service de fournisseur d’identité.

Le protocole SAML nécessite que le fournisseur d’identité (la plateforme d’identités Microsoft) et le fournisseur de services (l’application) échangent des informations les concernant.

Lorsqu’une application est enregistrée auprès d’Azure AD, le développeur d’applications enregistre les informations liées à la fédération auprès d’Azure AD. Ces informations englobent notamment l’URI de redirection et l’URI des métadonnées de l’application.

La plateforme d’identités Microsoft utilise l’URI de métadonnées du service cloud pour récupérer la clé de signature et l’URI de déconnexion. Le client peut ouvrir l’application dans Azure AD -> Inscription de l’application puis, dans Paramètres -> Propriétés, il peut mettre à jour l’URL de déconnexion. De cette façon, la plateforme d’identités Microsoft peut envoyer la réponse à la bonne URL.

Azure Active Directory expose les points de terminaison d’authentification unique et de déconnexion unique communs (indépendants du client) et spécifiques au client. Ces URL représentent les emplacements adressables et ne jouent pas simplement le rôle d’identificateurs. Vous pouvez donc accéder au point de terminaison pour lire les métadonnées.

  • Le point de terminaison propre au locataire se trouve à l’adresse https://login.microsoftonline.com/<TenantDomainName>/FederationMetadata/2007-06/FederationMetadata.xml. L’espace réservé <TenantDomainName> représente un nom de domaine inscrit ou le GUID TenantID d’un locataire Azure AD. Par exemple, les métadonnées de fédération du client contoso.com sont sur : https://login.microsoftonline.com/contoso.com/FederationMetadata/2007-06/FederationMetadata.xml

  • Le point de terminaison indépendant du locataire se trouve à l’adresse https://login.microsoftonline.com/common/FederationMetadata/2007-06/FederationMetadata.xml. Dans cette adresse de point de terminaison, l’élément common remplace le nom de domaine ou l’ID du locataire.

Pour plus d’informations sur les documents de métadonnées de fédération publiés par Azure AD, consultez la page Métadonnées de fédération.