Comment émettre des revendications SSO personnalisées dans Entra ID avec des attributs d'extension de répertoire
Dans le cadre de la gestion des identités et de l'accès, il est essentiel pour les entreprises d'émettre des données utilisateur spécifiques lors de la connexion. Microsoft a récemment présenté une méthode innovante pour intégrer des attributs d'extension de répertoire dans Entra ID, permettant ainsi de personnaliser les revendications SSO. Cet article vous guidera à travers les étapes nécessaires pour configurer ces attributs, facilitant l'inclusion d'identifiants uniques, tels que des informations de parrainage, dans les tokens SSO. Préparez-vous à plonger dans ce processus pour optimiser l'expérience utilisateur tout en garantissant une sécurité accrue.
Étape 1 : Enregistrement des attributs d'extension de répertoire
- Utilisez Graph Explorer pour enregistrer deux attributs personnalisés, comme sponsorid1 et sponsorid2, au sein de l'application cible.
- Envoyez une requête POST à l'URL suivante : POST https://graph.microsoft.com/v1.0/applications/{AppObjectId}/extensionProperties.
- Le corps de la requête devrait ressembler à : {"name": "sponsorid1", "dataType": "String", "targetObjects": ["User"]}. Répétez ce processus pour sponsorid2.
- Après l'enregistrement, le système vous fournira les noms complets des attributs dans ce format : extension__sponsorid1, extension__sponsorid2. Prenez note de ces noms pour une utilisation future.
Notre sélection Amazon
AMD Ryzen 7 9700X Processeur (8 Coeurs/16 Threads), 65W DTP, Socket AM5, Cache 40Mo, jusqu'à 5.5 GHz Fréquence Boost, Pas de Ventilateur
269,98
EUR
AMD Ryzen 9 5950X Processeur (16 Coeurs/32 Threads, 105W DTP, Socket AM4, 72 Mo de Cache, jusqu'à 4,9Ghz Fréquence Boost, sans Ventilateur)
249,00
EUR
Intel® Core™ i7-14700F, processeur pour PC de Bureau, 20 cœurs (8 P-Cores + 12 E-Cores) jusqu'à 5,4 GHz
316,26
EUR
Intel® Core™ Ultra 7 265KF processeur pour PC de Bureau 20 cœurs (8 P-Cores + 12 E-Cores) jusqu'à 5,5 GHz
270,00
EUR
Intel® Core™ Ultra 5 245KF processeur pour PC de Bureau 14 cœurs (6 P-Cores + 8 E-Cores) jusqu'à 5,2 GHz
259,08
EUR
Processeur AMD Ryzen™ 9 9950X3D avec Technologie 3D V-Cache™, 16 cœurs/32 Threads, 144 Mo de Cache, TDP 170 W, Socket AM5, fréquence Max jusqu'à 5,7 GHz, DDR5 et PCIe 5.0
680,57
EUR
AMD Ryzen 9 9950X Processeur (Radeon Graphique Intégré, 16 Coeurs/32 Threads, 170 W TDP, Socket AM5, Cache 80MB,jusqu'à 5.7 GHz Fréquence Boost, Pas de Ventilateur)
535,00
EUR
Intel® Core™ i7-13700K, processeur pour PC de Bureau, 16 cœurs (8 P-Cores + 8 E-Cores) 30 Mo de Cache, jusqu'à 5,4 GHz
444,28
EUR
Étape 2 : Attribution des attributs d'extension aux utilisateurs
- Retournez sur Graph Explorer pour PATCH les objets utilisateur et attribuer des valeurs à ces attributs d'extension.
- L'URL de la requête doit être : PATCH https://graph.microsoft.com/v1.0/users/{UserObjectId}.
- Le corps de la requête doit indiquer : {"extension__sponsorid1": "ABC123"}. Répétez pour chaque utilisateur en assignant l'attribut correspondant (sponsorid1 ou sponsorid2).
Étape 3 : Création des revendications dans l'application d'entreprise
- Naviguez dans Entra ID vers Applications d'entreprise > [Nom de l'application] > Single Sign-On > Attributs et revendications.
- Cliquez sur Ajouter une nouvelle revendication.
- Fournissez un nom (par exemple, sponsorClaim1).
- Sous Conditions de revendication, sélectionnez Membre et choisissez le groupe qui doit recevoir la revendication.
- Dans l'attribut source, utilisez le nom de l'attribut d'extension de répertoire (par exemple, extension__sponsorid1). Répétez pour le second groupe et attribut.
Étape 4 : Gestion des erreurs de mapping des revendications
- Si l'erreur "L'application requiert une clé de signature personnalisée pour personnaliser les revendications" apparaît, vous pouvez contourner temporairement cela.
- Pour ce faire, mettez à jour le manifeste de l'enregistrement de l'application en ajoutant : "acceptMappedClaims": true.
- Cela permettra la personnalisation des revendications sans les clés de signature personnalisées.
Étape 5 : Tester la configuration
- Appeler l'application en utilisant l'URL : https://login.microsoftonline.com/(Tenant ID)/oauth2/v2.0/authorize?client_id=(Client ID) &response_type=id_token&redirect_uri=https://jwt.ms&scope=openid&state=12345&nonce=12345.
- Connectez-vous avec des utilisateurs appartenant aux groupes définis.
- Vous devriez voir les revendications personnalisées attendues (sponsorid1 ou sponsorid2) émises dans le token SAML ou OIDC à l'adresse https://jwt.ms.
- Les utilisateurs ne faisant pas partie des groupes ne recevront aucune revendication de parrainage.
Passinné en jeuxvidéo, high tech, config PC, je vous concote les meilleurs articles
Offre Amazon promotions en partenariat
Newsletter VIP gratuit pour les 10 000 premiers
Inscris-toi à notre newsletter VIP et reste informé des dernières nouveautés ( jeux, promotions, infos exclu ! )
JeuxEnd.com participe au Programme Partenaires d'Amazon EU, un programme d'affiliation conçu pour permettre à des sites de percevoir une rémunération grâce à la création de liens vers Amazon.fr.