Descrição geral das credenciais de identidade federada no Microsoft Entra ID

Namespace: microsoft.graph

Tradicionalmente, os programadores utilizam certificados ou segredos de cliente para as credenciais da respetiva aplicação para autenticar e aceder a serviços no Microsoft Entra ID. Para aceder aos serviços nos respetivos inquilinos Microsoft Entra, os programadores tiveram de armazenar e gerir credenciais de aplicações fora do Azure, introduzindo os seguintes estrangulamentos:

  • Uma carga de manutenção para certificados e segredos.
  • O risco de fuga de segredos.
  • Certificados a expirar e interrupções do serviço devido à falha da autenticação.

As credenciais de identidade federada são um novo tipo de credencial que permite a federação da identidade da carga de trabalho para cargas de trabalho de software. A federação de identidade da carga de trabalho permite-lhe aceder a Microsoft Entra recursos protegidos sem ter de gerir segredos (para cenários suportados).

Como funcionam as credenciais de identidade federada?

Pode criar uma relação de confiança entre um fornecedor de identidade externa (IdP) e uma aplicação no Microsoft Entra ID ao configurar uma credencial de identidade federada. A credencial de identidade federada é utilizada para indicar que token do IdP externo deve ser considerado fidedigno pela sua aplicação. Após a criação dessa relação de confiança, a carga de trabalho do software pode trocar tokens fidedignos do fornecedor de identidade externa para tokens de acesso do plataforma de identidade da Microsoft. Em seguida, a carga de trabalho de software utiliza esse token de acesso para aceder ao Microsoft Entra recursos protegidos aos quais foi concedido acesso à carga de trabalho. Isto elimina a carga de manutenção da gestão manual das credenciais e elimina o risco de fuga de segredos ou de os certificados expirarem. Para obter mais informações e cenários suportados, veja Federação da identidade da carga de trabalho.

Configurar credenciais de identidade federada através do Microsoft Graph

O recurso federatedIdentityCredential representa a configuração de uma credencial de identidade federada através do Microsoft Graph. Utilize a API Create federatedIdentityCredential para configurar o objeto. As seguintes propriedades são os blocos modulares das credenciais de identidade federada:

  • audiências – a audiência que pode aparecer no token externo. Este campo é obrigatório e deve ser definido api://AzureADTokenExchange como para Microsoft Entra ID. Diz o que plataforma de identidade da Microsoft deve aceitar na aud afirmação no token de entrada. Este valor representa Microsoft Entra ID no seu fornecedor de identidade externo e não tem um valor fixo entre fornecedores de identidade. Poderá ter de criar um novo registo de aplicação no seu IdP para servir de audiência deste token.
  • issuer – o URL do fornecedor de identidade externa. Tem de corresponder à afirmação do emissor do token externo que está a ser trocado.
  • subject - O identificador da carga de trabalho de software externo no fornecedor de identidade externa. Tal como o valor da audiência, não tem um formato fixo, uma vez que cada IdP utiliza o seu próprio , por vezes um GUID, por vezes um identificador delimitado por dois pontos, por vezes cadeias arbitrárias. O valor aqui tem de corresponder à sub afirmação no token apresentado ao Microsoft Entra ID.
  • name - uma cadeia exclusiva para identificar a credencial. Esta propriedade é uma chave alternativa e o valor pode ser utilizado para referenciar a credencial de identidade federada através das operações GET e UPSERT .

A combinação de emissor e assunto tem de ser exclusiva na aplicação. Quando a carga de trabalho de software externo pede plataforma de identidade da Microsoft para trocar o token externo por um token de acesso, os valores do emissor e do requerente da credencial de identidade federada são verificados em relação issuer às afirmações e subject fornecidas no token externo. Se essa validação marcar for aprovada, plataforma de identidade da Microsoft emite um token de acesso para a carga de trabalho de software externo.

Considerações de design

Pode ser adicionado um máximo de 20 credenciais de identidade federada por objeto de aplicação ou identidade gerida atribuída pelo utilizador.