Passer au contenu principal
Vous pouvez connecter votre instance Auth0 à Microsoft Azure Active Directory de trois façons. Examinez les options pour déterminer l’approche la mieux adaptée à votre situation. Auth0 recommande de commencer par la connexion Microsoft Azure AD native. Si vous avez besoin de plus de personnalisation, consultez la configuration de la connexion . De plus, si votre organisation impose des restrictions supplémentaires sur les flux de code , consultez la configuration Enterprise OIDC. Le tableau ci-dessous présente les principales différences entre ces types de connexion. Examinez ces capacités pour déterminer le type de connexion le mieux adapté à votre organisation.
Type de connexionAzure AD « native »Enterprise OIDCSAML
ProtocoleFlux de code d’autorisation OAuthFlux implicite OAuth OU flux de code d’autorisation OAuthSAML
Peut recevoir des revendications facultatives d’Azure AD ?NonOuiOui
Prise en charge de la déconnexion fédérée (« Single Logout » ou SLO)OuiNonOui
Réception des groupes ADOui, noms conviviauxOui, id d’objetOui, id d’objet
Réception du profil étenduOuiNonNon

Microsoft Azure AD

Le premier type de connexion est la connexion Microsoft Azure AD dans Auth0 Dashboard > Authentication > Enterprise. Ce type de connexion utilise le flux OAuth de code d’autorisation. La connexion Microsoft Azure AD accepte les revendications d’un id_token et interroge directement l’API Microsoft Graph. Si elle est configurée, la requête permet de rechercher des groupes et des renseignements de profil supplémentaires. Microsoft Azure AD ignore toutes les revendications personnalisées incluses dans l’id_token.

Fonctionnalités et considérations de la connexion

Comme ce type de connexion utilise le flux de travail natif, il est explicitement compatible avec les fonctionnalités AD étendues. La connexion Azure AD fait correspondre directement les attributs de profil de l’API Microsoft Graph à vos profils utilisateur Auth0. Le tableau ci-dessous compare les attributs Graph Azure AD selon les types de connexion :
Attribut GraphAttribut de profil Auth0Type de donnéesRevendication facultative équivalente pour OIDC ou SAML
businessPhonesphonetableauS/O
givenNamegiven_namechaînegiven_name
jobTitlejob_titlechaîneS/O
mobilePhonemobilechaîneS/O
preferredLanguagepreferred_languagechaînexms_pl
surnamefamily_namechaînefamily_name
userPrincipalNameupnchaîneupn
Vous devez activer l’autorisation permettant d’interroger l’API Microsoft Graph pour recevoir les attributs de profil étendus suivants :
  • businessPhones
  • jobTitle
  • mobilePhone

Configuration des groupes

Si vous activez l’autorisation d’interroger l’API Microsoft Graph, Auth0 récupère automatiquement les groupes de l’utilisateur et les associe à l’attribut groups du profil Auth0. Auth0 associe ces « noms conviviaux » de groupe et n’a pas besoin de configurer une revendication personnalisée, puisque ces groupes sont associés directement à partir de l’API Microsoft Graph.

SAML

Le type de connexion SAML utilise le protocole SAML et prend en charge le mappage d’attributs ainsi que toutes les fonctionnalités SAML standard.

Fonctionnalités des connexions et points à considérer

Le type de connexion SAML est le plus souple parmi les types de connexion offerts, car il prend en charge les revendications facultatives et les déconnexions fédérées. Si vous avez besoin de ces deux fonctionnalités, SAML est le seul type de connexion à les prendre en charge simultanément.

Configuration des groupes

Pour qu’Auth0 accepte les informations sur les groupes avec le type de connexion SAML, vous devez configurer Azure AD avec des attributs facultatifs dans la réponse SAML. Auth0 associe ensuite les groupes à l’attribut group_ids dans le profil Auth0 de l’utilisateur.
Les types de connexion SAML et OIDC utilisent des identificateurs d’objet plutôt que des noms conviviaux pour les groupes. Il est possible d’obtenir des noms conviviaux dans une réponse SAML si vous avez importé des groupes depuis un Active Directory local. Pour en savoir plus sur les revendications de groupe, consultez la documentation Microsoft.

Enterprise OIDC

Le type Enterprise OpenID Connect peut utiliser les flux OAuth Implicit ou Authorization Code. Cette connexion associe les revendications personnalisées du id_token au profil de l’utilisateur Auth0. Pour en savoir plus sur les flux d’authentification, consultez la documentation sur les flux d’authentification et d’autorisation.

Fonctionnalités et considérations de la connexion

Si vous ne pouvez pas fournir de dans votre flux d’authentification en raison d’exigences réglementaires ou de protocoles de confidentialité, le flux implicite offert par la connexion OIDC peut être une méthode à privilégier. Si vous avez besoin de revendications personnalisées, mais ne souhaitez pas configurer les fonctionnalités SAML supplémentaires, la connexion OIDC peut réduire la complexité.

Configuration des groupes

Pour qu’Auth0 accepte les informations de groupe avec le type de connexion OIDC, vous devez configurer Azure AD avec une revendication facultative afin d’ajouter groups au id_token de votre requête. Auth0 associe ensuite ces groupes à l’attribut group_ids du profil Auth0 de l’utilisateur.
Les types de connexion SAML et OIDC utilisent des identificateurs d’objet plutôt que des noms conviviaux pour les groupes. Vous pourrez peut-être obtenir des noms conviviaux dans une réponse SAML si vous avez importé des groupes depuis Active Directory local. Pour en savoir plus sur les revendications de groupe, consultez la documentation Microsoft.

En savoir plus