Choisir un type de connexion pour Entra ID
Vous pouvez connecter votre instance Auth0 à Microsoft Entra ID de trois façons. Examinez les options pour déterminer la meilleure approche pour votre situation.
Auth0 recommande de commencer par la connexion native Microsoft Entra ID. Si vous avez besoin d’une personnalisation plus poussée, consultez la configuration de la connexion SAML. De même, si votre organisation a des restrictions supplémentaires sur les flux de code OAuth, consultez la configuration Entreprise OIDC.
Le tableau ci-dessous illustre les principales différences entre ces types de connexion. Consultez ces capacités pour déterminer le type de connexion le mieux adapté à votre organisation.
| Type de connexion | « Native » Entra ID | OIDC | SAML Entreprise |
|---|---|---|---|
| Protocole | Flux de code d’autorisation OAuth | flux implicite OAuth OU Flux de code d’autorisation OAuth | SAML |
| Peut recevoir des demandes facultatives d’Entra ID? | Non | Oui | Oui |
| Prise en charge de la déconnexion unique fédérée (“Déconnexion unique” or SLO) | Oui | Non | Oui |
| Recevoir des groupes ID | Oui, noms conviviaux | Oui, ID d’objet | Oui, ID d’objet |
| Recevoir un profil étendu | Oui | Non | Non |
Microsoft Entra ID
Le premier type de connexion est la connexion Microsoft Entra ID dans Auth0 Dashboard > Authentification > Entreprise.
Ce type de connexion utilise le flux de code d’autorisation OAuth. La connexion Microsoft Entra ID accepte les demandes d’un id_token et interroge directement l’API Microsoft Graph. Si elle est configurée, la requête recherche des groupes et des informations de profil supplémentaires. Microsoft Entra ID ignore toute demande personnalisée incluse dans le id_token.
Caractéristiques et considérations relatives à la connexion
Ce type de connexion étant le flux de travail natif, il est explicitement compatible avec les fonctionnalités Entra ID étendues. La connexion Entra ID associe les attributs de profil directement à vos profils utilisateurs Auth0 à partir de l’API Microsoft Graph.
L’option de profil étendu offre trois attributs qui ne sont pas disponibles dans les autres types de connexion. Vous devez activer l’autorisation d’interroger l’API Microsoft Graph pour utiliser les fonctions de profil étendu. Le tableau ci-dessous compare les attributs graphiques Entra ID entre les types de connexion :
| Attributs graphiques | Attribut du profil Auth0 | Type de données | Déclaration facultative équivalente pour OIDC ou SAML |
|---|---|---|---|
| businessPhones | phone | array | - |
| givenName | given_name | string | given_name |
| jobTitle | job_title | string | - |
| mobilePhone | mobile | string | - |
| preferredLanguage | preferred_language | string | xms_pl |
| surname | family_name | string | family_name |
| userPrincipalName | upn | string | upn |
Configuration du groupe
Si vous activez l’autorisation d’interroger l’API Microsoft Graph, Auth0 récupère automatiquement les groupes de l’utilisateur et les affecte à l’attribut groups dans le profil Auth0. Auth0 mappe ces « noms conviviaux » de groupe et n’a pas besoin de configurer une demande personnalisée, car ces groupes sont mappés directement à partir de l’API Microsoft Graph.
SAML
Le type de connexion SAML utilise le protocole SAML et prend en charge le mappage d’attributs et toutes les fonctionnalités SAML standard.
Caractéristiques et considérations relatives à la connexion
Le type de connexion SAML est le plus souple des types de connexion disponibles car il prend en charge les demandes facultatives et les déconnexions fédérées. Si vous avez besoin de ces deux fonctionnalités, SAML est le seul type de connexion qui les prend en charge simultanément.
Configuration du groupe
Pour qu’Auth0 accepte les informations de groupe avec le type de connexion SAML, vous devez configurer votre Entra ID avec des attributs facultatifs dans la réponse SAML. Auth0 associe ensuite les groupes à l’attribut group_ids dans le profil Auth0 de l’utilisateur.
Les types de connexion SAML et OIDC utilisent des identifiants d’objets plutôt que des noms conviviaux pour les groupes. Si vous avez importé des groupes à partir d’AD sur site, il est possible d’obtenir des noms conviviaux dans une réponse SAML. Pour en savoir plus sur les demandes de groupe, consultez la documentation Microsoft
Entreprise OIDC
Le type Entreprise Open ID Connect peut utiliser les workflows OAuth Implicit ou Authorization Code. Cette connexion met en correspondance les demandes personnalisées dans id_token avec le profil utilisateur Auth0. Pour en savoir plus sur les flux d’authentification, consulte la documentation sur les flux d’authentification et d’autorisation .
Caractéristiques et considérations relatives à la connexion
Si vous ne pouvez pas fournir de secrets clients dans votre flux de connexion en raison de réglementations ou de protocoles de confidentialité, le flux implicite offert par la connexion OIDC pourrait être une méthode préférée. Si vous avez besoin de demandes personnalisées mais que vous ne souhaitez pas configurer les fonctionnalités SAML supplémentaires, la connexion OIDC peut réduire la complexité.
Configuration du groupe
Pour qu’Auth0 accepte les informations de groupe avec le type de connexion OIDC, vous devez configurer votre Entra ID avec une demande facultative pour ajouter groups dans id_token de votre demande. Auth0 associe ensuite ces groupes à l’attribut group_ids dans le profil Auth0 de l’utilisateur.
Les types de connexion SAML et OIDC utilisent des identifiants d’objets plutôt que des noms conviviaux pour les groupes. Si vous avez importé des groupes à partir d’AD sur site, il est possible d’obtenir des noms conviviaux dans une réponse SAML. Pour en savoir plus sur les demandes de groupe, consultez la documentation Microsoft