Passer au contenu principal
Vous pouvez connecter votre instance Auth0 à Microsoft Entra ID de trois façons. Examinez les options pour déterminer la meilleure approche pour votre situation. Auth0 recommande de commencer par la connexion native Microsoft Entra ID. Si vous avez besoin d’une personnalisation plus poussée, consultez la configuration de la connexion . De même, si votre organisation a des restrictions supplémentaires sur les flux de code , consultez la configuration Entreprise OIDC. Le tableau ci-dessous illustre les principales différences entre ces types de connexion. Consultez ces capacités pour déterminer le type de connexion le mieux adapté à votre organisation.
Type de connexion« Native » Entra IDOIDCSAML Entreprise
ProtocoleFlux de code d’autorisation OAuthflux implicite OAuth OU Flux de code d’autorisation OAuthSAML
Peut recevoir des demandes facultatives d’Entra ID?NonOuiOui
Prise en charge de la déconnexion unique fédérée (“Déconnexion unique” or SLO)OuiNonOui
Recevoir des groupes IDOui, noms conviviauxOui, ID d’objetOui, ID d’objet
Recevoir un profil étenduOuiNonNon

Microsoft Entra ID

Le premier type de connexion est la connexion Microsoft Entra ID dans Auth0 Dashboard > Authentification > Entreprise. Ce type de connexion utilise le flux de code d’autorisation OAuth. La connexion Microsoft Entra ID accepte les demandes d’un id_token et interroge directement l’API Microsoft Graph. Si elle est configurée, la requête recherche des groupes et des informations de profil supplémentaires. Microsoft Entra ID ignore toute demande personnalisée incluse dans le id_token.

Caractéristiques et considérations relatives à la connexion

Ce type de connexion étant le flux de travail natif, il est explicitement compatible avec les fonctionnalités Entra ID étendues. La connexion Entra ID associe les attributs de profil directement à vos profils utilisateurs Auth0 à partir de l’API Microsoft Graph. L’option de profil étendu offre trois attributs qui ne sont pas disponibles dans les autres types de connexion. Vous devez activer l’autorisation d’interroger l’API Microsoft Graph pour utiliser les fonctions de profil étendu. Le tableau ci-dessous compare les attributs graphiques Entra ID entre les types de connexion :
Attributs graphiquesAttribut du profil Auth0Type de donnéesDéclaration facultative équivalente pour OIDC ou SAML
businessPhonesphonearray-
givenNamegiven_namestringgiven_name
jobTitlejob_titlestring-
mobilePhonemobilestring-
preferredLanguagepreferred_languagestringxms_pl
surnamefamily_namestringfamily_name
userPrincipalNameupnstringupn

Configuration du groupe

Si vous activez l’autorisation d’interroger l’API Microsoft Graph, Auth0 récupère automatiquement les groupes de l’utilisateur et les affecte à l’attribut groups dans le profil Auth0. Auth0 mappe ces « noms conviviaux » de groupe et n’a pas besoin de configurer une demande personnalisée, car ces groupes sont mappés directement à partir de l’API Microsoft Graph.

SAML

Le type de connexion SAML utilise le protocole SAML et prend en charge le mappage d’attributs et toutes les fonctionnalités SAML standard.

Caractéristiques et considérations relatives à la connexion

Le type de connexion SAML est le plus souple des types de connexion disponibles car il prend en charge les demandes facultatives et les déconnexions fédérées. Si vous avez besoin de ces deux fonctionnalités, SAML est le seul type de connexion qui les prend en charge simultanément.

Configuration du groupe

Pour qu’Auth0 accepte les informations de groupe avec le type de connexion SAML, vous devez configurer votre Entra ID avec des attributs facultatifs dans la réponse SAML. Auth0 associe ensuite les groupes à l’attribut group_ids dans le profil Auth0 de l’utilisateur.
Les types de connexion SAML et OIDC utilisent des identifiants d’objets plutôt que des noms conviviaux pour les groupes. Si vous avez importé des groupes à partir d’AD sur site, il est possible d’obtenir des noms conviviaux dans une réponse SAML. Pour en savoir plus sur les demandes de groupe, consultez la documentation Microsoft

Entreprise OIDC

Le type Entreprise Open ID Connect peut utiliser les workflows OAuth Implicit ou Authorization Code. Cette connexion met en correspondance les demandes personnalisées dans id_token avec le profil utilisateur Auth0. Pour en savoir plus sur les flux d’authentification, consulte la documentation sur les flux d’authentification et d’autorisation .

Caractéristiques et considérations relatives à la connexion

Si vous ne pouvez pas fournir de secrets clients dans votre flux de connexion en raison de réglementations ou de protocoles de confidentialité, le flux implicite offert par la connexion OIDC pourrait être une méthode préférée. Si vous avez besoin de demandes personnalisées mais que vous ne souhaitez pas configurer les fonctionnalités SAML supplémentaires, la connexion OIDC peut réduire la complexité.

Configuration du groupe

Pour qu’Auth0 accepte les informations de groupe avec le type de connexion OIDC, vous devez configurer votre Entra ID avec une demande facultative pour ajouter groups dans id_token de votre demande. Auth0 associe ensuite ces groupes à l’attribut group_ids dans le profil Auth0 de l’utilisateur.
Les types de connexion SAML et OIDC utilisent des identifiants d’objets plutôt que des noms conviviaux pour les groupes. Si vous avez importé des groupes à partir d’AD sur site, il est possible d’obtenir des noms conviviaux dans une réponse SAML. Pour en savoir plus sur les demandes de groupe, consultez la documentation Microsoft

En savoir plus