Configurer les paramètres du fournisseur Open ID Connect pour les portails

Cette rubrique s'applique aux portails Dynamics 365 et aux versions ultérieures.

Les fournisseurs d'identité externes OpenID Connect sont des services compatibles avec les spécifications Open ID Connect. L'intégration d'un fournisseur implique la localisation de l'URL de l'autorité (ou de l'émetteur) associée au fournisseur. Une URL de configuration peut être déterminée à partir de l'autorité qui fournit les métadonnées requises pendant le workflow d'authentification. Les paramètres du fournisseur sont basés sur les propriétés de la classe OpenIdConnectAuthenticationOptions.

Les exemples d'URL d'autorité sont :

Chaque fournisseur OpenID Connect implique également l'enregistrement d'une application (similaire à celle d'un fournisseur OAuth 2.0) et l'obtention d'un ID client. L'URL de l'autorité et l'ID client de l'application générée sont les paramètres requis pour activer l'authentification externe entre le portail et le fournisseur d'identité.

Note

Le point de terminaison Google OpenID Connect n'est pas actuellement pris en charge, car les bibliothèques sous-jacentes sont encore aux premières phases de publication avec des problèmes de compatibilité à résoudre. Le point de terminaison Paramètres du fournisseur OAuth2 pour les portails peut être utilisé à la place.

Paramètres OpenID pour Azure Active Directory

Pour démarrer, connectez-vous au Portail de gestion Azure et créez ou sélectionnez un répertoire existant. Lorsqu'un répertoire est disponible, suivez les instructions pour ajouter une application au répertoire.

  1. Dans le menu Applications du répertoire, cliquez sur le bouton Ajouter.
  2. Sélectionnez Ajouter une application que mon organisation développe.
  3. Spécifiez un nom personnalisé pour l'application et choisissez le type Application Web et/ou API Web.
  4. Pour l'URL de connexion et l'URI d'ID d'application, indiquez l'URL du portail pour les deux champs https://portal.contoso.com/
  5. À ce stade, une nouvelle application est créée. Accédez à la section Configurer du menu.

    Sous la section Authentification unique, mettez à jour la première entrée URL de réponse pour inclure un chemin d'accès dans l'URL : http://portal.contoso.com/signin-azure-ad. Cela correspond à la valeur du paramètre de site RedirectUri

  6. Sous la section propriétés, recherchez le champ ID client. Cela correspond à la valeur du paramètre de site ClientId.

  7. Dans le menu du pied de page, cliquez sur le bouton Afficher les points de terminaison et notez le champ Document des métadonnées de fédération

La partie gauche de l'URL est la valeur Autorité qui se présente dans l'un des formats suivants :

Pour obtenir l'URL de configuration du service, remplacez la fin du chemin d'accès FederationMetadata/2007-06/FederationMetadata.xml par le chemin d'accès .well-known/openid-configuration. Par exemple, https://login.microsoftonline.com/contoso.onmicrosoft.com/.well-known/openid-configuration

Cela correspond à la valeur du paramètre de site MetadataAddress.

Créer les paramètres de site avec OpenID

Appliquez les paramètres de site du portail qui référencent l'application ci-dessus.

Note

Une configuration Azure AD standard utilise uniquement les paramètres suivants (avec des exemples de valeur) :

Plusieurs fournisseurs d'identité peuvent être configurés en remplaçant une étiquette pour la balise [provider]. Chaque étiquette unique forme un groupe de paramètres associés à un fournisseur d'identité. Exemples : AzureAD, MyIdP

Nom du paramètre de site Description
Authentication/Registration/ExternalLoginEnabled Active ou désactive la connexion et l'inscription du compte externe. Valeur par défaut : true
Authentication/OpenIdConnect/[provider]/Authority Obligatoire. Autorité à utiliser lorsque vous effectuez des appels OpenIdConnect. Exemple : https://login.windows.net/contoso.onmicrosoft.com/. MSDN.
Authentication/OpenIdConnect/[provider]/MetadataAddress Point de terminaison de découverte pour obtenir les métadonnées. Se termine généralement par le chemin d'accès : /.well-known/openid-configuration. Exemple : https://login.windows.net/contoso.onmicrosoft.com/.well-known/openid-configuration. MSDN.
Authentication/OpenIdConnect/[provider]/AuthenticationType Type de logiciel intermédiaire d'authentification OWIN. Spécifiez la valeur de l'émetteur dans les métadonnées de configuration du service. Exemple : https://sts.windows.net/contoso.onmicrosoft.com/. MSDN.
Authentication/OpenIdConnect/[provider]/ClientId Obligatoire. Valeur d'ID client de l'application du fournisseur. Elle peut également être appelée « ID d'application » ou « Clé consommateur ». MSDN.
Authentication/OpenIdConnect/[provider]/ClientSecret Valeur de secret client de l'application du fournisseur. Elle peut également être appelée « Secret d'application » ou « Secret consommateur ». MSDN.
Authentication/OpenIdConnect/[provider]/RedirectUri Recommandé. Point de terminaison passif de WS-Federation AD FS. Exemple : https://portal.contoso.com/signin-saml2. MSDN.
Authentication/OpenIdConnect/[provider]/Caption Recommandé. Texte que l'utilisateur peut afficher dans l'interface utilisateur de connexion. Valeur par défaut : [provider]. MSDN.
Authentication/OpenIdConnect/[provider]/Resource 'resource'. MSDN.
Authentication/OpenIdConnect/[provider]/ResponseType « response_type ». MSDN.
Authentication/OpenIdConnect/[provider]/Scope Liste séparée par des espaces des autorisations à demander. Valeur par défaut : openid. MSDN.
Authentication/OpenIdConnect/[provider]/CallbackPath Chemin d'accès contraint facultatif sur lequel traiter le rappel d'authentification. S'il n'est pas fourni et que RedirectUri est disponible, cette valeur est générée à partir de RedirectUri. MSDN.
Authentication/OpenIdConnect/[provider]/BackchannelTimeout Valeur du délai d'expiration pour les communications des canaux arrière. Exemple : 00:05:00 (5 minutes). MSDN.
Authentication/OpenIdConnect/[provider]/RefreshOnIssuerKeyNotFound Détermine si une actualisation des métadonnées doit être tentée après une exception SecurityTokenSignatureKeyNotFoundException. MSDN.
Authentication/OpenIdConnect/[provider]/UseTokenLifetime Indique que le cycle de vie de la session d'authentification (par exemple, les cookies) doit correspondre à celui du jeton d'authentification. MSDN.
Authentication/OpenIdConnect/[provider]/AuthenticationMode Mode du logiciel intermédiaire d'authentification OWIN. MSDN.
Authentication/OpenIdConnect/[provider]/SignInAsAuthenticationType AuthenticationType utilisé lors de la création de System.Security.Claims.ClaimsIdentity. MSDN.
Authentication/OpenIdConnect/[provider]/PostLogoutRedirectUri « post_logout_redirect_uri ». MSDN.
Authentication/OpenIdConnect/[provider]/ValidAudiences Liste séparée par des virgules d'URL d'audience. MSDN.
Authentication/OpenIdConnect/[provider]/ValidIssuers Liste séparée par des virgules d'URL d'émetteur. MSDN.
Authentication/OpenIdConnect/[provider]/ClockSkew Horloge à appliquer lors de la validation des heures.
Authentication/OpenIdConnect/[provider]/NameClaimType Type de revendication utilisé par ClaimsIdentity pour enregistrer la revendication de nom.
Authentication/OpenIdConnect/[provider]/RoleClaimType Type de revendication utilisé par ClaimsIdentity pour enregistrer la revendication de rôle.
Authentication/OpenIdConnect/[provider]/RequireExpirationTime Valeur indiquant si les jetons doivent avoir une valeur « expiration ».
Authentication/OpenIdConnect/[provider]/RequireSignedTokens Une valeur indiquant si un System.IdentityModel.Tokens.SecurityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" peut être valide s'il n'est pas signé.
Authentication/OpenIdConnect/[provider]/SaveSigninToken Valeur booléenne permettant de contrôler si le jeton d'origine est enregistré lors de la création d'une session.
Authentication/OpenIdConnect/[provider]/ValidateActor Valeur indiquant si System.IdentityModel.Tokens.JwtSecurityToken.Actor doit être validé.
Authentication/OpenIdConnect/[provider]/ValidateAudience Valeur booléenne permettant de contrôler si l'audience est validée pendant la validation du jeton.
Authentication/OpenIdConnect/[provider]/ValidateIssuer Valeur booléenne permettant de contrôler si l'émetteur est validé pendant la validation du jeton.
Authentication/OpenIdConnect/[provider]/ValidateLifetime Valeur booléenne permettant de contrôler si le cycle de vie est validé pendant la validation du jeton.
Authentication/OpenIdConnect/[provider]/ValidateIssuerSigningKey Valeur booléenne qui contrôle si la validation de System.IdentityModel.Tokens.SecurityKey qui a signé securityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" est appelée.

Voir aussi

Configurer l'authentification sur le portail Dynamics 365
Définir l'identité d'authentification pour un portail
Paramètres du fournisseur OAuth2 pour les portails
Paramètres du fournisseur WS-Federation pour les portails
Paramètres du fournisseur SAML 2.0 pour les portails
Authentification de l'application Facebook (onglet de page) pour les portails