Descrição geral das credenciais de identidade federada no Microsoft Entra ID
Namespace: microsoft.graph
Tradicionalmente, os programadores utilizam certificados ou segredos de cliente para as credenciais da respetiva aplicação para autenticar e aceder a serviços no Microsoft Entra ID. Para aceder aos serviços no inquilino do Microsoft Entra, os programadores tiveram de armazenar e gerir credenciais de aplicações fora do Azure, introduzindo os seguintes estrangulamentos:
- Uma carga de manutenção para certificados e segredos.
- O risco de fuga de segredos.
- Certificados a expirar e interrupções do serviço devido à falha da autenticação.
As credenciais de identidade federada são um novo tipo de credencial que permite a federação da identidade da carga de trabalho para cargas de trabalho de software. A federação de identidade da carga de trabalho permite-lhe aceder aos recursos protegidos do Microsoft Entra sem ter de gerir segredos (para cenários suportados).
Como funcionam as credenciais de identidade federada?
Pode criar uma relação de confiança entre um fornecedor de identidade externo (IdP) e uma aplicação no Microsoft Entra ID ao configurar uma credencial de identidade federada. A credencial de identidade federada é utilizada para indicar que token do IdP externo deve ser considerado fidedigno pela sua aplicação. Após a criação dessa relação de confiança, a carga de trabalho de software pode trocar tokens fidedignos do fornecedor de identidade externo para tokens de acesso a partir da plataforma de identidades da Microsoft. Em seguida, a carga de trabalho do software utiliza esse token de acesso para aceder aos recursos protegidos do Microsoft Entra aos quais foi concedido acesso à carga de trabalho. Isto elimina a carga de manutenção da gestão manual das credenciais e elimina o risco de fuga de segredos ou de os certificados expirarem. Para obter mais informações e cenários suportados, veja Federação da identidade da carga de trabalho.
Configurar credenciais de identidade federada através do Microsoft Graph
O recurso federatedIdentityCredential representa a configuração de uma credencial de identidade federada através do Microsoft Graph. As seguintes propriedades são os blocos modulares das credenciais de identidade federada:
-
audiências – a audiência que pode aparecer no token externo. Este campo é obrigatório e deve ser definido como
api://AzureADTokenExchangepara o ID do Microsoft Entra. Diz o que a plataforma de identidades daaudMicrosoft deve aceitar na afirmação no token de entrada. Este valor representa o ID do Microsoft Entra no seu fornecedor de identidade externo e não tem um valor fixo entre fornecedores de identidade. Poderá ter de criar um novo registo de aplicação no seu IdP para servir de audiência deste token. - issuer – o URL do fornecedor de identidade externa. Tem de corresponder à afirmação do emissor do token externo que está a ser trocado.
-
subject — o identificador da carga de trabalho de software externo no fornecedor de identidade externo. Tal como o valor da audiência, não tem um formato fixo, uma vez que cada IdP utiliza o seu próprio , por vezes um GUID, por vezes um identificador delimitado por dois pontos, por vezes cadeias arbitrárias. O valor aqui tem de corresponder à
subafirmação no token apresentado ao ID do Microsoft Entra.
A combinação de emissor e assunto tem de ser exclusiva na aplicação. Quando a carga de trabalho de software externo pede à plataforma de identidades da Microsoft para trocar o token externo por um token de acesso, os valores do emissor e do requerente da credencial de identidade federada são verificados em relação issuer às afirmações e subject fornecidas no token externo. Se essa verificação de validação for aprovada, a plataforma de identidades da Microsoft emitirá um token de acesso para a carga de trabalho de software externo.
Considerações de design
Pode ser adicionado um máximo de 20 credenciais de identidade federada por objeto de aplicação ou identidade gerida atribuída pelo utilizador.