Créer une inscription d’application à utiliser avec Azure Digital Twins
Cet article explique comment créer une inscription d’application Microsoft Entra ID qui peut accéder à Azure Digital Twins. Cet article inclut des étapes pour le portail Azure et Azure CLI.
Lors de l’utilisation d’Azure Digital Twins, il est courant d’interagir avec l’instance par le biais d’applications clientes. Ces applications doivent s’authentifier auprès d’Azure Digital Twins, et certains des mécanismes d’authentification que les applications peuvent utiliser impliquent une inscription d’application.
L’inscription de l’application n’est pas obligatoire pour tous les scénarios d’authentification. Toutefois, si vous utilisez une stratégie d’authentification ou un exemple de code qui nécessite une inscription d’application, cet article vous montre comment en configurer une et lui accorder des autorisations aux API Azure Digital Twins. Il explique également comment collecter les valeurs importantes dont vous aurez besoin pour utiliser l’inscription d’application lors de l’authentification.
Conseil
Vous préférerez peut-être configurer une nouvelle inscription d’application chaque fois que vous en aurez besoin, ou pour effectuer cette opération une seule fois, en établissant une inscription d’application unique qui sera partagée entre tous les scénarios qui l’exigent.
Création de l’inscription
Commencez par sélectionner l’onglet ci-dessous pour votre interface préférée.
Accédez à Microsoft Entra ID dans le portail Azure (vous pouvez utiliser ce lien ou le trouver à l’aide de la barre de recherche du portail). Sélectionnez Inscriptions d’applications dans le menu service, puis + Nouvelle inscription.
Dans la page Inscrire une application qui suit, renseignez les valeurs demandées :
- Nom : nom d’affichage d’application Microsoft Entra à associer à l’inscription.
- Types de comptes pris en charge : sélectionnez Comptes dans cet annuaire organisationnel uniquement (Annuaire par défaut uniquement – Locataire unique).
Lorsque vous avez terminé, sélectionnez le bouton S’inscrire.
Une fois la configuration de l’inscription terminée, le portail vous redirige vers la page de détails correspondante.
Collecter les valeurs importantes
Ensuite, collectez certaines valeurs importantes sur l’inscription d’application, dont vous aurez besoin pour utiliser l’inscription d’application afin d’authentifier une application cliente. Ces valeurs incluent :
- Nom de ressource : lors de l’utilisation d’Azure Digital Twins, le nom de la ressource est
http://digitaltwins.azure.net
. - ID client
- ID de client
- clé secrète client
Les sections suivantes décrivent comment trouver les valeurs restantes.
Collecter l’ID de client et l’ID de locataire
Pour utiliser l’inscription d’application pour l’authentification, vous devrez peut-être fournir son ID d’application (client) et son ID d’annuaire (locataire). Ici, vous allez collecter ces valeurs afin de pouvoir les enregistrer et les utiliser chaque fois qu’elles sont nécessaires.
Vous pouvez collecter les valeurs de l’ID client et de l’ID locataire à partir de la page de détails de l’inscription d’application dans le portail Azure :
Prenez note de l’ID d’application (client) et de l’ID de répertoire (locataire) affichés sur votre page.
Collecter le secret client
Configurez une clé secrète client pour votre inscription d’application, que d’autres applications peuvent utiliser pour s’authentifier.
Démarrez sur la page d’inscription de votre application dans le portail Azure.
Sélectionnez Certificats et secrets dans le menu de l’inscription, puis + Nouveau secret client.
Entrez les valeurs de votre choix pour Description et Expire le, puis sélectionnez Ajouter.
Vérifiez que le secret client est visible dans la page Certificats et secrets avec les champs Expire et Valeur.
Notez l’ID du secret et la Valeur en vue de les utiliser plus tard (vous pouvez également les copier dans le Presse-papiers avec les icônes Copier).
Important
Veillez à copier les valeurs tout de suite et à les stocker en lieu sûr, car vous ne pourrez plus y accéder par la suite. Si vous ne les retrouvez pas, vous devrez créer un autre secret.
Fournir des autorisations Azure Digital Twins
Configurez ensuite l’inscription d’application que vous avez créée avec les autorisations pour accéder à Azure Digital Twins. Il existe deux types d’autorisations nécessaires :
- Une attribution de rôle pour l’inscription d’application dans l’instance Azure Digital Twins
- Des autorisations d’API pour permettre à l’application de lire et d’écrire dans les API Azure Digital Twins
Créer une attribution de rôle
Dans cette section, vous allez créer une attribution de rôle pour l’inscription d’application sur l’instance Azure Digital Twins. Ce rôle déterminera les autorisations que l’inscription d’application détient sur l’instance. Vous devez donc sélectionner le rôle qui correspond au niveau d’autorisation approprié pour votre situation. Propriétaire des données Azure Digital Twins est un rôle possible. Pour obtenir la liste complète des rôles et leurs descriptions, consultez Rôles intégrés Azure.
Utilisez ces étapes pour créer l’attribution de rôle pour votre inscription.
Ouvrez la page de votre instance Azure Digital Twins dans le portail Azure.
Sélectionnez Contrôle d’accès (IAM) .
Sélectionnez Ajouter>Ajouter une attribution de rôle pour ouvrir la page Ajouter une attribution de rôle.
Attribuez le rôle approprié. Pour connaître les étapes détaillées, consultez Attribuer des rôles Azure à l’aide du portail Azure.
Paramètre Valeur Rôle Sélectionner selon le cas Les membres > attribuent l’accès à Utilisateur, groupe ou principal de service Membres > Membres + Sélectionner des membres, puis recherchez le nom de l’inscription de l’application Une fois le rôle sélectionné, passez-le en revue et attribuez-le.
Vérifier l'attribution de rôle
Vous pouvez afficher l’attribution de rôle que vous avez configurée sous Contrôle d’accès (IAM) > Attributions de rôle.
L’inscription d’application doit apparaître dans la liste, ainsi que le rôle que vous lui avez attribué.
Fournir des autorisations d’API
Dans cette section, vous allez accorder les autorisations de lecture/écriture de base de votre application aux API Azure Digital Twins.
Si vous utilisez Azure CLI et que vous avez déjà configuré l’inscription de votre application avec un fichier manifeste, cette étape est déjà effectuée. Si vous utilisez le portail Azure pour créer votre inscription d’application, passez par le reste de cette section pour configurer des autorisations d’API.
À partir de la page du portail pour l’inscription de votre application, sélectionnez Autorisations des API dans le menu. Sur la page d’autorisations suivantes, sélectionnez le bouton +Ajouter une autorisation.
Dans la page Demander des autorisations d’API qui suit, basculez vers l’onglet API utilisées par mon organisation et recherchez Azure Digital Twins. Sélectionnez Azure Digital Twins dans les résultats de la recherche pour continuer à attribuer des autorisations pour les API Azure Digital Twins.
Ensuite, vous allez sélectionner les autorisations à accorder pour ces API. Développez l’autorisation Lecture (1), et activez la case lecture.Écriture pour accorder cette inscription d’application et les autorisations de lecture et d’écriture.
Lorsque vous avez terminé, sélectionnez Ajouter des autorisations.
Vérifier les autorisations d’API
Dans la page Autorisations des API, vérifiez qu’il existe désormais une entrée pour Azure Digital Twins reflétant les autorisations Lecture/Écriture :
Vous pouvez également vérifier la connexion à Azure Digital Twins dans le fichier manifest.json de l’inscription de l’application, qui a été automatiquement mise à jour avec les informations Azure Digital Twins lorsque vous avez ajouté les autorisations des API.
Pour ce faire, sélectionnez Manifeste dans le menu pour afficher le code du manifeste de l’inscription de l’application. Faites défiler la fenêtre de code vers le bas et recherchez les champs et valeurs suivants sous requiredResourceAccess
:
"resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0"
(Il s’agit de l’ID de ressource du point de terminaison de service Azure Digital Twins.)"resourceAccess"
>"id": "4589bd03-58cb-4e6c-b17f-b580e39652f8"
(Il s’agit de l’ID d’autorisation de l’autorisation déléguée Read.Write dans Azure Digital Twins.)
Ces valeurs sont indiquées dans la capture d’écran ci-dessous :
Si ces valeurs sont manquantes, recommencez les étapes de la section relative à l’ajout d’autorisations d’API.
Autres étapes possibles pour votre organisation
Il est possible que votre organisation exige des actions supplémentaires de la part des propriétaires ou administrateurs d’abonnement pour finir de configurer l’inscription d’application. Les étapes requises peuvent varier en fonction des paramètres spécifiques de votre organisation. Choisissez un onglet ci-dessous pour afficher les informations adaptées à votre interface préférée.
Voici quelques activités courantes qu’un propriétaire ou administrateur de l’abonnement peuvent devoir effectuer. Ces opérations et d’autres peuvent être effectuées à partir de la page Inscriptions d’applications Microsoft Entra dans le portail Azure.
Accordez le consentement administrateur pour l’inscription d’application. Votre organisation peut avoir activé globalement l’option Consentement administrateur requis dans Microsoft Entra ID pour toutes les inscriptions d’applications au sein de votre abonnement. Si c’est le cas, le propriétaire/l’administrateur devra sélectionner ce bouton pour votre société dans la page Autorisations de l’API de l’inscription d’application pour que celle-ci soit valide :
- Si le consentement a été accordé avec succès, l’entrée pour Azure Digital Twins doit alors indiquer une valeur d’État Accordé pour (votre société)
Activer l’accès client public
Définir des URL de réponse spécifiques pour l’accès web et au bureau
Autoriser les flux d’authentification OAuth2 implicites
Pour plus d’informations sur l’inscription d’applications et ses différentes options d’installation, consultez Inscrire une application avec la plateforme d’identités Microsoft.
Étapes suivantes
Dans cet article, vous configurez une inscription d’application Microsoft Entra qui peut être utilisée pour authentifier des applications clientes avec les API Azure Digital Twins.
Vous lirez ensuite des informations sur les mécanismes d’authentification, y compris ceux qui utilisent les inscriptions d’applications et d’autres qui ne le font pas :