Comment émettre des revendications SSO personnalisées dans Entra ID avec des attributs d'extension de répertoire
Dans le cadre de la gestion des identités et de l'accès, il est essentiel pour les entreprises d'émettre des données utilisateur spécifiques lors de la connexion. Microsoft a récemment présenté une méthode innovante pour intégrer des attributs d'extension de répertoire dans Entra ID, permettant ainsi de personnaliser les revendications SSO. Cet article vous guidera à travers les étapes nécessaires pour configurer ces attributs, facilitant l'inclusion d'identifiants uniques, tels que des informations de parrainage, dans les tokens SSO. Préparez-vous à plonger dans ce processus pour optimiser l'expérience utilisateur tout en garantissant une sécurité accrue.
Étape 1 : Enregistrement des attributs d'extension de répertoire
- Utilisez Graph Explorer pour enregistrer deux attributs personnalisés, comme sponsorid1 et sponsorid2, au sein de l'application cible.
- Envoyez une requête POST à l'URL suivante : POST https://graph.microsoft.com/v1.0/applications/{AppObjectId}/extensionProperties.
- Le corps de la requête devrait ressembler à : {"name": "sponsorid1", "dataType": "String", "targetObjects": ["User"]}. Répétez ce processus pour sponsorid2.
- Après l'enregistrement, le système vous fournira les noms complets des attributs dans ce format : extension__sponsorid1, extension__sponsorid2. Prenez note de ces noms pour une utilisation future.
Notre sélection Amazon
Étape 2 : Attribution des attributs d'extension aux utilisateurs
- Retournez sur Graph Explorer pour PATCH les objets utilisateur et attribuer des valeurs à ces attributs d'extension.
- L'URL de la requête doit être : PATCH https://graph.microsoft.com/v1.0/users/{UserObjectId}.
- Le corps de la requête doit indiquer : {"extension__sponsorid1": "ABC123"}. Répétez pour chaque utilisateur en assignant l'attribut correspondant (sponsorid1 ou sponsorid2).
Étape 3 : Création des revendications dans l'application d'entreprise
- Naviguez dans Entra ID vers Applications d'entreprise > [Nom de l'application] > Single Sign-On > Attributs et revendications.
- Cliquez sur Ajouter une nouvelle revendication.
- Fournissez un nom (par exemple, sponsorClaim1).
- Sous Conditions de revendication, sélectionnez Membre et choisissez le groupe qui doit recevoir la revendication.
- Dans l'attribut source, utilisez le nom de l'attribut d'extension de répertoire (par exemple, extension__sponsorid1). Répétez pour le second groupe et attribut.
Étape 4 : Gestion des erreurs de mapping des revendications
- Si l'erreur "L'application requiert une clé de signature personnalisée pour personnaliser les revendications" apparaît, vous pouvez contourner temporairement cela.
- Pour ce faire, mettez à jour le manifeste de l'enregistrement de l'application en ajoutant : "acceptMappedClaims": true.
- Cela permettra la personnalisation des revendications sans les clés de signature personnalisées.
Étape 5 : Tester la configuration
- Appeler l'application en utilisant l'URL : https://login.microsoftonline.com/(Tenant ID)/oauth2/v2.0/authorize?client_id=(Client ID) &response_type=id_token&redirect_uri=https://jwt.ms&scope=openid&state=12345&nonce=12345.
- Connectez-vous avec des utilisateurs appartenant aux groupes définis.
- Vous devriez voir les revendications personnalisées attendues (sponsorid1 ou sponsorid2) émises dans le token SAML ou OIDC à l'adresse https://jwt.ms.
- Les utilisateurs ne faisant pas partie des groupes ne recevront aucune revendication de parrainage.
Passinné en jeuxvidéo, high tech, config PC, je vous concote les meilleurs articles Nous nous aidons de l'IA pour certain article, si vous souhaitez nous participer et nous aider hésitez pas à nous contacter
Offre Amazon promotions en partenariat
Newsletter VIP gratuit pour les 10 000 premiers
Inscris-toi à notre newsletter VIP et reste informé des dernières nouveautés ( jeux, promotions, infos exclu ! )