Passer au contenu principal
Web Services Federation (WS-Federation ou ) fait partie du cadre plus large de WS-Security et étend les fonctionnalités de WS-Trust. Les fonctionnalités de WS-Federation peuvent être utilisées directement par les applications SOAP et les services Web. WS-Fed est un protocole qui permet de négocier l’émission d’un jeton. Vous pouvez utiliser ce protocole pour vos applications (comme une application basée sur Windows Identity Foundation) et pour les (comme Active Directory Federation Services ou Azure AppFabric Access Control Service).

Pour les applications

Lorsque vous enregistrez une application dans Auth0, un point de terminaison WS-Fed de la forme suivante lui est automatiquement attribué : https://{yourDomain}/wsfed/{yourClientId} Vous trouverez toutes les options offertes pour configurer WS-Fed dans la section paramètres avancés de votre application. Vous devrez configurer la , ce qui peut être fait à l’aide du point de terminaison de métadonnées suivant : https://{yourDomain}/wsfed/FederationMetadata/2007-06/FederationMetadata.xml Vous pouvez également utiliser l’objet samlConfiguration, accessible dans Rules, pour configurer les revendications envoyées dans le jeton, ainsi que d’autres paramètres WS-Fed et -P de bas niveau. Lorsque vous redirigez vos utilisateurs vers votre point de terminaison WS-Fed, vous pouvez utiliser les paramètres (facultatifs) suivants :
ParamètreDescription
wa=wsignin1.0Indique si Auth0 doit émettre un jeton pour la partie de confiance (par défaut)
wa=wsignout1.0Indique si Auth0 doit supprimer la session de l’utilisateur / le déconnecter
wreply={callback_URL}Emplacement où la réponse doit être envoyée
wctx={state}L’état de votre application
whr={connection_name}Connexion à utiliser (permet aux utilisateurs d’ignorer la page de connexion Auth0)
wfresh=0Indique si l’utilisateur doit s’authentifier de nouveau, même si une session existe déjà (0 exige une nouvelle authentification)
Voici un exemple de ce à quoi votre URL avec les paramètres facultatifs pourrait ressembler : https://{yourDomain}/wsfed/{yourClientId}?whr=google-oauth2

Fournisseurs d’identité

Si vous utilisez Auth0 avec un fournisseur d’identité qui utilise le protocole WS-Federation (comme Active Directory Federation Services, Azure AppFabric Access Control Service et IdentityServer), la façon la plus simple de configurer votre intégration consiste à créer et à utiliser le type de connexion ADFS dans le tableau de bord. Il existe deux façons de procéder :
  • Importer le fichier de métadonnées de fédération
  • Activer le point de terminaison des métadonnées de fédération pour détecter les modifications

Importer le fichier de métadonnées de fédération

Lors de la configuration d’une connexion basée sur ADFS, vous pouvez importer les paramètres requis en fournissant à Auth0 le point de terminaison Federation Metadata ou en important ou en téléversant votre fichier de métadonnées de fédération.
Écran de connexion ADFS : Protocoles WS-Fed Import Federation Metadata File
Les instructions dont vous avez besoin pour terminer la configuration de l’intégration s’afficheront.

Activer le point de terminaison Federation Metadata

Le fichier de métadonnées de fédération contient des renseignements sur les certificats du fournisseur d’identité. Si vous fournissez le point de terminaison Federation Metadata (généralement sous la forme d’une URL se terminant par /FederationMetadata/2007-06/FederationMetadata.xml), Auth0 peut vérifier chaque jour s’il y a des changements dans la configuration, par exemple l’ajout d’un nouveau certificat de signature en prévision d’une rotation. Pour cette raison, il est préférable d’activer le point de terminaison Federation Metadata plutôt que de fournir un fichier de métadonnées distinct. Si vous fournissez un fichier de métadonnées distinct, nous vous aviserons par courriel lorsque les certificats approcheront de leur date d’expiration. Si Federation Metadata contient à la fois le certificat principal et le certificat secondaire, vous pouvez utiliser les deux dans Auth0. Pour effectuer une rotation des certificats à l’aide du point de terminaison Federation Metadata :
  1. Générez un nouveau certificat et ajoutez-le comme certificat secondaire dans votre environnement ADFS. Cela doit être fait au moins deux jours avant l’expiration de votre certificat principal actif.
  2. Laissez Auth0 récupérer votre nouveau certificat à partir du point de terminaison Federation Metadata. Auth0 vérifie vos points de terminaison une fois par jour; assurez-vous donc de prévoir suffisamment de temps pour qu’Auth0 termine cette étape. Vous pouvez aussi effectuer cette étape manuellement en vous connectant à l’Auth0 Dashboard, en accédant à la connexion ADFS appropriée, puis en cliquant sur Save. Cette action permet à Auth0 de télécharger immédiatement les certificats.
  3. Définissez le certificat maintenant secondaire comme certificat principal avant l’expiration du certificat principal existant dans votre environnement ADFS.

En savoir plus