ID externe Microsoft Entra permet à votre organisation de gérer les identités des clients et de contrôler de manière sécurisée l’accès à vos applications et API publiques. Applications dans lesquelles vos clients peuvent acheter vos produits, s’abonner à vos services ou accéder à leur compte et à leurs données. Vos clients n’ont besoin de se connecter qu’une seule fois sur un appareil ou un navigateur web, et ils ont accès à toutes vos applications pour lesquelles vous leur avez accordé des autorisations.
Pour que votre application puisse procéder à une connexion avec ID externe, vous devez l’inscrire dans ID externe. L’inscription de l’application établit une relation de confiance entre l’application et ID externe.
Pendant l’inscription de l’application, vous spécifiez l’URI de redirection. L’URI de redirection est le point de terminaison vers lequel les utilisateurs sont redirigés par ID externe après s’être authentifiés. Le processus d’inscription de l’application génère un ID d’application, également appelé ID client, qui identifie votre application de façon unique.
ID externe prend en charge l’authentification pour diverses architectures d’application modernes, par exemple une application web ou une application monopage. L’interaction de chaque type d’application avec le locataire externe est différente, par conséquent, vous devez spécifier le type d’application que vous souhaitez inscrire.
Dans cet article, vous allez apprendre à inscrire une application dans votre locataire externe.
Inscrire votre application monopage
ID externe prend en charge l’authentification pour les applications monopages (SPA).
Les étapes suivantes vous montrent comment inscrire votre SPA dans le centre d’administration Microsoft Entra :
Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant que Développeur d’application.
Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
Accédez à Identité>Applications>Inscriptions d’applications.
Sélectionnez + Nouvelle inscription.
Dans la page Inscrire une application qui s’affiche, entrez les informations d’inscription de votre application :
Dans la section Nom, entrez un nom d’application significatif qui s’affiche pour les utilisateurs de l’application, par exemple ciam-client-app.
Sous Types de comptes pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement.
Sous URI de redirection (facultatif), sélectionnez Application monopage (SPA), puis entrez http://localhost:3000/
dans la zone de texte de l’URL.
Sélectionnez Inscription.
Le Vue d’ensemble de l’application s’affiche une fois l’inscription terminée. Enregistrez l’ID du répertoire (locataire) et l’ID d’application (client) à utiliser dans le code source de votre application.
À propos de l’URI de redirection
L’URI de redirection est le point de terminaison vers lequel l’utilisateur est envoyé par le serveur d’autorisation (dans le cas présent, Microsoft Entra ID) une fois qu’il a terminé son interaction avec l’utilisateur, et auquel un jeton d’accès ou un code d’autorisation est envoyé une fois l’autorisation réussie.
Dans une application de production, il s’agit généralement d’un point de terminaison accessible publiquement dans lequel votre application s’exécute, comme https://contoso.com/auth-response
.
Pendant le développement d’une application, vous pouvez ajouter le point de terminaison sur lequel votre application écoute localement, comme http://localhost:3000.. Vous pouvez ajouter des URI de redirection à vos applications inscrites à tout moment et les modifier.
Les restrictions suivantes s’appliquent aux URI de redirection :
L’URL de réponse doit commencer par le schéma https
, sauf si vous utilisez une URL de redirection localhost.
L’URL de réponse respecte la casse. Sa casse doit correspondre à celle du chemin d’URL de votre application en cours d’exécution. Par exemple, si votre application comprend .../abc/response-oidc
dans son chemin, ne spécifiez pas .../ABC/response-oidc
dans l’URL de réponse. Étant donné que le navigateur web considère que les chemins respectent la casse, les cookies associés à .../abc/response-oidc
peuvent être exclus s’ils sont redirigés vers l’URL .../ABC/response-oidc
qui ne correspond pas à la casse.
L’URL de réponse doit inclure ou exclure la barre oblique de fin, car votre application l’attend. Par exemple, https://contoso.com/auth-response
et https://contoso.com/auth-response/
pourraient être traités comme des URL sans correspondance dans votre application.
Accorder un consentement d’administrateur
Une fois que vous avez enregistré votre application, celle-ci reçoit l’autorisation User.Read. Toutefois, comme le locataire est un locataire externe, les utilisateurs clients ne peuvent pas eux-mêmes consentir à cette autorisation. En qualité d’administrateur, vous devez consentir à ces autorisations au nom de tous les utilisateurs du client :
Dans la page inscriptions d’applications, sélectionnez l’application que vous avez créée (par exemple ciam-client-app) pour ouvrir sa page Vue d’ensemble.
Sous Gérer, sélectionnez Autorisations de l’API.
- Sélectionnez Accorder le consentement administrateur pour <nom de votre client>, puis sélectionnez Oui.
- Sélectionnez Actualiser, puis vérifiez que Accordé pour <votre nom de locataire> s’affiche sous l’État de l’autorisation.
Accorder des autorisations d’API (facultatif) :
Si votre SPA doit appeler une API, vous devez lui accorder des autorisations afin qu’elle puisse appeler l’API. Vous devez également inscrire l’API web que vous devez appeler.
Pour accorder des autorisations d’API à votre application cliente (ciam-client-app), effectuez ces étapes :
Dans la page Inscriptions d’applications, sélectionnez l’application que vous avez créée (par exemple, ciam-client-app) pour ouvrir sa page Vue d’ensemble.
Sous Gérer, sélectionnez Autorisations de l’API.
Sous Autorisations configurées, sélectionnez Ajouter une autorisation.
Sélectionnez l’onglet API utilisées par mon organisation.
Dans la liste des API, sélectionnez l’API, par exemple ciam-ToDoList-api.
Sélectionnez l’option Autorisations déléguées.
Dans la liste des autorisations, sélectionnez ToDoList.Read, ToDoList.ReadWrite (utilisez la zone de recherche si nécessaire).
Sélectionnez le bouton Ajouter des autorisations. À ce stade, vous avez attribué les autorisations correctement. Toutefois, comme le locataire est celui d’un client, les utilisateurs consommateurs eux-mêmes ne peuvent pas donner leur consentement à ces autorisations. Pour résoudre ce problème, en tant qu’administrateur, vous devez consentir à ces autorisations au nom de tous les utilisateurs du locataire :
Sélectionnez Accorder le consentement administrateur pour <nom de votre locataire>, puis sélectionnez Oui.
Sélectionnez Actualiser, puis vérifiez que Accordé pour <nom de votre locataire> s’affiche sous État pour les deux étendues.
Dans la liste Autorisations configurées, sélectionnez les autorisations ToDoList.Read et ToDoList.ReadWrite, une par une, puis copiez l’URI complet de l’autorisation pour l’utiliser ultérieurement. L’URI d’autorisation complet ressemble à api://{clientId}/{ToDoList.Read}
ou api://{clientId}/{ToDoList.ReadWrite}
.
Si vous souhaitez savoir comment exposer les autorisations en ajoutant un lien, accédez à la section API web.
Tester le flux utilisateur (facultatif)
Pour tester un flux utilisateur avec cette inscription d’application, activez le flux d’octroi implicite pour l’authentification.
Important
Le flux implicite doit être utilisé uniquement à des fins de test et non pour authentifier les utilisateurs dans vos applications de production. Une fois que vous avez terminé le test, nous vous recommandons de le supprimer.
Pour activer le flux implicite, procédez comme suit :
- Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant que Développeur d’application.
- Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
- Accédez à Identité>Applications>Inscriptions d’applications.
- Sélectionnez l’inscription d’application que vous avez créée.
- Sous Gérer, sélectionnez Authentification.
- Sous Flux d’octroi implicite et flux hybride, cochez la case Jetons d’ID (utilisés pour les flux implicites et hybrides).
- Cliquez sur Enregistrer.
Inscrivez votre application web
ID externe prend en charge l’authentification pour les applications web.
Les étapes suivantes vous montrent comment inscrire votre application web dans le centre d’administration Microsoft Entra :
Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant que Développeur d’application.
Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
Accédez à Identité>Applications>Inscriptions d’applications.
Sélectionnez + Nouvelle inscription.
Dans la page Inscrire une application qui s’affiche, entrez les informations d’inscription de votre application :
Dans la section Nom, entrez un nom d’application significatif qui s’affiche pour les utilisateurs de l’application, par exemple ciam-client-app.
Sous Types de comptes pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement.
Sous URI de redirection (facultatif), sélectionnez Web, puis entrez un URL telle que http://localhost:3000/
dans la zone d’URL.
Sélectionnez Inscription.
Le Vue d’ensemble de l’application s’affiche une fois l’inscription terminée. Enregistrez l’ID du répertoire (locataire) et l’ID d’application (client) à utiliser dans le code source de votre application.
À propos de l’URI de redirection
L’URI de redirection est le point de terminaison vers lequel l’utilisateur est envoyé par le serveur d’autorisation (dans le cas présent, Microsoft Entra ID) une fois qu’il a terminé son interaction avec l’utilisateur, et auquel un jeton d’accès ou un code d’autorisation est envoyé une fois l’autorisation réussie.
Dans une application de production, il s’agit généralement d’un point de terminaison accessible publiquement dans lequel votre application s’exécute, comme https://contoso.com/auth-response
.
Pendant le développement d’une application, vous pouvez ajouter le point de terminaison sur lequel votre application écoute localement, comme http://localhost:3000.. Vous pouvez ajouter des URI de redirection à vos applications inscrites à tout moment et les modifier.
Les restrictions suivantes s’appliquent aux URI de redirection :
L’URL de réponse doit commencer par le schéma https
, sauf si vous utilisez une URL de redirection localhost.
L’URL de réponse respecte la casse. Sa casse doit correspondre à celle du chemin d’URL de votre application en cours d’exécution. Par exemple, si votre application comprend .../abc/response-oidc
dans son chemin, ne spécifiez pas .../ABC/response-oidc
dans l’URL de réponse. Étant donné que le navigateur web considère que les chemins respectent la casse, les cookies associés à .../abc/response-oidc
peuvent être exclus s’ils sont redirigés vers l’URL .../ABC/response-oidc
qui ne correspond pas à la casse.
L’URL de réponse doit inclure ou exclure la barre oblique de fin, car votre application l’attend. Par exemple, https://contoso.com/auth-response
et https://contoso.com/auth-response/
pourraient être traités comme des URL sans correspondance dans votre application.
Accorder un consentement d’administrateur
Une fois que vous avez enregistré votre application, celle-ci reçoit l’autorisation User.Read. Toutefois, comme le locataire est un locataire externe, les utilisateurs clients ne peuvent pas eux-mêmes consentir à cette autorisation. En qualité d’administrateur, vous devez consentir à ces autorisations au nom de tous les utilisateurs du client :
Dans la page inscriptions d’applications, sélectionnez l’application que vous avez créée (par exemple ciam-client-app) pour ouvrir sa page Vue d’ensemble.
Sous Gérer, sélectionnez Autorisations de l’API.
- Sélectionnez Accorder le consentement administrateur pour <nom de votre client>, puis sélectionnez Oui.
- Sélectionnez Actualiser, puis vérifiez que Accordé pour <votre nom de locataire> s’affiche sous l’État de l’autorisation.
Créer une clé secrète client
Créez un secret client pour l’application inscrite. L’application utilise la clé secrète client pour prouver son identité quand elle demande des jetons.
- Dans la page inscriptions d’applications, sélectionnez l’application que vous avez créée (par exemple, ciam-client-app) pour ouvrir sa page Vue d’ensemble.
- Sous Gérer, sélectionnez Certificats et secrets.
- Sélectionnez Nouveau secret client.
- Entrez une description pour la clé secrète client dans la zone Description (par exemple clé secrète client ciam).
- Sous Expire, sélectionnez la durée de validité de la clé secrète (en fonction des règles de sécurité de votre organisation), puis sélectionnez Ajouter.
- Enregistrez la Valeur du secret. Vous utiliserez cette valeur pour la configuration dans une étape ultérieure. La valeur du secret ne sera plus affichée et sera irrécupérable une fois que vous quittez les Certificats et secrets. Veillez à l’enregistrer.
Accorder des autorisations d’API (facultatif)
Si votre application web doit appeler une API, vous devez lui accorder des autorisations d’API afin qu’elle puisse appeler l’API. Vous devez également inscrire l’API web que vous devez appeler.
Pour accorder des autorisations d’API à votre application cliente (ciam-client-app), effectuez ces étapes :
Dans la page Inscriptions d’applications, sélectionnez l’application que vous avez créée (par exemple, ciam-client-app) pour ouvrir sa page Vue d’ensemble.
Sous Gérer, sélectionnez Autorisations de l’API.
Sous Autorisations configurées, sélectionnez Ajouter une autorisation.
Sélectionnez l’onglet API utilisées par mon organisation.
Dans la liste des API, sélectionnez l’API, par exemple ciam-ToDoList-api.
Sélectionnez l’option Autorisations déléguées.
Dans la liste des autorisations, sélectionnez ToDoList.Read, ToDoList.ReadWrite (utilisez la zone de recherche si nécessaire).
Sélectionnez le bouton Ajouter des autorisations. À ce stade, vous avez attribué les autorisations correctement. Toutefois, comme le locataire est celui d’un client, les utilisateurs consommateurs eux-mêmes ne peuvent pas donner leur consentement à ces autorisations. Pour résoudre ce problème, en tant qu’administrateur, vous devez consentir à ces autorisations au nom de tous les utilisateurs du locataire :
Sélectionnez Accorder le consentement administrateur pour <nom de votre locataire>, puis sélectionnez Oui.
Sélectionnez Actualiser, puis vérifiez que Accordé pour <nom de votre locataire> s’affiche sous État pour les deux étendues.
Dans la liste Autorisations configurées, sélectionnez les autorisations ToDoList.Read et ToDoList.ReadWrite, une par une, puis copiez l’URI complet de l’autorisation pour l’utiliser ultérieurement. L’URI d’autorisation complet ressemble à api://{clientId}/{ToDoList.Read}
ou api://{clientId}/{ToDoList.ReadWrite}
.
Tester le flux utilisateur (facultatif)
Pour tester un flux utilisateur avec cette inscription d’application, activez le flux d’octroi implicite pour l’authentification.
Important
Le flux implicite doit être utilisé uniquement à des fins de test et non pour authentifier les utilisateurs dans vos applications de production. Une fois que vous avez terminé le test, nous vous recommandons de le supprimer.
Pour activer le flux implicite, procédez comme suit :
- Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant que Développeur d’application.
- Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
- Accédez à Identité>Applications>Inscriptions d’applications.
- Sélectionnez l’inscription d’application que vous avez créée.
- Sous Gérer, sélectionnez Authentification.
- Sous Flux d’octroi implicite et flux hybride, cochez la case Jetons d’ID (utilisés pour les flux implicites et hybrides).
- Cliquez sur Enregistrer.
Inscrire votre API web
Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant que Développeur d’application.
Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
Accédez à Identité>Applications>Inscriptions d’applications.
Sélectionnez + Nouvelle inscription.
Dans la page Inscrire une application qui s’affiche, entrez les informations relatives à l’inscription de votre application :
Dans la section Nom, entrez un nom d’application significatif qui s’affiche pour les utilisateurs de l’application, par exemple, ciam-ToDoList-api.
Sous Types de comptes pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement.
Sélectionnez Inscrire pour créer l’application.
Le Vue d’ensemble de l’application s’affiche une fois l’inscription terminée. Enregistrez l’ID du répertoire (locataire) et l’ID d’application (client) à utiliser dans le code source de votre application.
Exposer les autorisations
Une API doit publier au moins une étendue, également appelée Autorisation déléguée, pour que les applications clientes obtiennent avec succès un jeton d’accès pour un utilisateur. Pour publier une étendue, effectuez ces étapes :
Dans la page Inscriptions des applications, sélectionnez l’application API que vous avez créée (ciam-ToDoList-api) pour ouvrir sa page Vue d’ensemble.
Sous Gérer, sélectionnez Exposer une API.
En haut de la page, en regard de URI d’ID d’application, sélectionnez le lien Ajouter pour générer un URI unique pour cette application.
Acceptez l’URI d’ID d’application proposé, tel que api://{clientId}
, puis sélectionnez Enregistrer. Lorsque votre application web demande un jeton d’accès pour l’API web, elle ajoute l’URI comme préfixe pour chaque étendue que vous définissez pour l’API.
Sous Étendues définies par cette API, sélectionnez Ajouter une étendue.
Entrez les valeurs suivantes qui définit l’accès en lecture à l’API, puis sélectionnez Ajouter une étendue pour sauvegarder vos modifications :
Propriété |
active |
Nom de l’étendue |
ToDoList.Read |
Qui peut donner son consentement |
Administrateurs uniquement |
Nom d’affichage du consentement administrateur |
Lire la liste des tâches de l’utilisateur à l’aide de « ToDoListApi » |
Description du consentement de l'administrateur |
Autoriser l’application à lire la liste de tâches de l’utilisateur à l’aide de « TodoListApi ». |
State |
Activé |
Sélectionnez à nouveau Ajouter une étendue, puis entrez les valeurs suivantes qui définit l’étendue en lecture et en écriture sur l’API. Sélectionnez Ajouter une étendue pour enregistrer vos changements :
Propriété |
active |
Nom de l’étendue |
ToDoList.ReadWrite |
Qui peut donner son consentement |
Administrateurs uniquement |
Nom d’affichage du consentement administrateur |
Lire et écrire la liste ToDo de l’utilisateur à l’aide de « ToDoListApi » |
Description du consentement de l'administrateur |
Permet à l’application de lire et écrire la liste ToDo de l’utilisateur à l’aide de « ToDoListApi » |
State |
Activé |
Sous Gérer, sélectionnez Manifeste pour ouvrir l’éditeur de manifeste d’API.
Définissez la propriété accessTokenAcceptedVersion
sur 2
.
Sélectionnez Enregistrer.
Découvrez-en plus sur le principe du privilège minimum lors de la publication d’autorisations pour une API web.
Ajouter les rôles d’application
Une API doit publier au moins un rôle d’application pour les applications, également appelé Autorisation d’application, pour que les applications clientes obtiennent un jeton d’accès en leur nom. Les autorisations d’application sont le type d’autorisations que les API doivent publier lorsqu’elles souhaitent permettre aux applications clientes de s’authentifier correctement en tant qu’elles-mêmes et qu’elles n’ont pas besoin de connecter des utilisateurs. Pour publier une autorisation d'application, procédez comme suit :
Dans la page Inscriptions d’applications, sélectionnez l’application que vous avez créée (par exemple, ciam-ToDoList-api) pour ouvrir sa page Vue d’ensemble.
Sous Gérer, sélectionnez Rôles d’applications.
Sélectionnez Créer un rôle d'application, puis saisissez les valeurs suivantes, puis sélectionnez Appliquer pour enregistrer vos modifications :
Propriété |
Value |
Nom complet |
ToDoList.Read.All |
Types de membres autorisés |
Applications |
Valeur |
ToDoList.Read.All |
Description |
Autoriser l'application à lire la liste de tâches de chaque utilisateur à l'aide de 'TodoListApi' |
Sélectionnez à nouveau Créer un rôle d'application, puis saisissez les valeurs suivantes pour le deuxième rôle d'application, puis sélectionnez Appliquer pour enregistrer vos modifications :
Propriété |
Value |
Nom complet |
ToDoList.ReadWrite.All |
Types de membres autorisés |
Applications |
Valeur |
ToDoList.ReadWrite.All |
Description |
Autoriser l’application à lire et écrire la liste ToDo de chaque utilisateur à l’aide de « TodoListApi » |
Inscrire votre application de bureau ou application mobile
Les étapes suivantes vous montrent comment inscrire votre application dans le centre d’administration Microsoft Entra :
Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant que Développeur d’application.
Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
Accédez à Identité>Applications>Inscriptions d’applications.
Sélectionnez + Nouvelle inscription.
Dans la page Inscrire une application qui s’affiche, entrez les informations d’inscription de votre application :
Dans la section Nom, entrez un nom d’application significatif qui s’affiche pour les utilisateurs de l’application, par exemple ciam-client-app.
Sous Types de comptes pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement.
Sous URI de redirection (facultatif), sélectionnez l’option Applications mobiles et de bureau puis, dans la zone d’URL, entrez un URI avec un schéma unique. Par exemple, l’URI de redirection de l’application de bureau Electron ressemble à http://localhost
, alors que celui d’une interface utilisateur d’application multiplateforme (MAUI) .NET ressemble à msal{ClientId}://auth
.
Sélectionnez Inscription.
Le Vue d’ensemble de l’application s’affiche une fois l’inscription terminée. Enregistrez l’ID du répertoire (locataire) et l’ID d’application (client) à utiliser dans le code source de votre application.
Accorder un consentement d’administrateur
Une fois que vous avez enregistré votre application, celle-ci reçoit l’autorisation User.Read. Toutefois, comme le locataire est un locataire externe, les utilisateurs clients ne peuvent pas eux-mêmes consentir à cette autorisation. En qualité d’administrateur, vous devez consentir à ces autorisations au nom de tous les utilisateurs du client :
Dans la page inscriptions d’applications, sélectionnez l’application que vous avez créée (par exemple ciam-client-app) pour ouvrir sa page Vue d’ensemble.
Sous Gérer, sélectionnez Autorisations de l’API.
- Sélectionnez Accorder le consentement administrateur pour <nom de votre client>, puis sélectionnez Oui.
- Sélectionnez Actualiser, puis vérifiez que Accordé pour <votre nom de locataire> s’affiche sous l’État de l’autorisation.
Accorder des autorisations d’API (facultatif)
Si votre application mobile doit appeler une API, vous devez lui accorder des autorisations d’API afin qu’elle puisse appeler l’API. Vous devez également inscrire l’API web que vous devez appeler.
Pour accorder des autorisations d’API à votre application cliente (ciam-client-app), effectuez ces étapes :
Dans la page Inscriptions d’applications, sélectionnez l’application que vous avez créée (par exemple, ciam-client-app) pour ouvrir sa page Vue d’ensemble.
Sous Gérer, sélectionnez Autorisations de l’API.
Sous Autorisations configurées, sélectionnez Ajouter une autorisation.
Sélectionnez l’onglet API utilisées par mon organisation.
Dans la liste des API, sélectionnez l’API, par exemple ciam-ToDoList-api.
Sélectionnez l’option Autorisations déléguées.
Dans la liste des autorisations, sélectionnez ToDoList.Read, ToDoList.ReadWrite (utilisez la zone de recherche si nécessaire).
Sélectionnez le bouton Ajouter des autorisations. À ce stade, vous avez attribué les autorisations correctement. Toutefois, comme le locataire est celui d’un client, les utilisateurs consommateurs eux-mêmes ne peuvent pas donner leur consentement à ces autorisations. Pour résoudre ce problème, en tant qu’administrateur, vous devez consentir à ces autorisations au nom de tous les utilisateurs du locataire :
Sélectionnez Accorder le consentement administrateur pour <nom de votre locataire>, puis sélectionnez Oui.
Sélectionnez Actualiser, puis vérifiez que Accordé pour <nom de votre locataire> s’affiche sous État pour les deux étendues.
Dans la liste Autorisations configurées, sélectionnez les autorisations ToDoList.Read et ToDoList.ReadWrite, une par une, puis copiez l’URI complet de l’autorisation pour l’utiliser ultérieurement. L’URI d’autorisation complet ressemble à api://{clientId}/{ToDoList.Read}
ou api://{clientId}/{ToDoList.ReadWrite}
.
Tester le flux utilisateur (facultatif)
Pour tester un flux utilisateur avec cette inscription d’application, activez le flux d’octroi implicite pour l’authentification.
Important
Le flux implicite doit être utilisé uniquement à des fins de test et non pour authentifier les utilisateurs dans vos applications de production. Une fois que vous avez terminé le test, nous vous recommandons de le supprimer.
Pour activer le flux implicite, procédez comme suit :
- Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant que Développeur d’application.
- Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
- Accédez à Identité>Applications>Inscriptions d’applications.
- Sélectionnez l’inscription d’application que vous avez créée.
- Sous Gérer, sélectionnez Authentification.
- Sous Flux d’octroi implicite et flux hybride, cochez la case Jetons d’ID (utilisés pour les flux implicites et hybrides).
- Cliquez sur Enregistrer.
Inscrire votre application démon
Les étapes suivantes montrent comment inscrire votre application démon dans le centre d’administration Microsoft Entra :
Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant que Développeur d’application.
Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
Accédez à Identité>Applications>Inscriptions d’applications.
Sélectionnez + Nouvelle inscription.
Dans la page Inscrire une application qui s’affiche, entrez les informations d’inscription de votre application :
Dans la section Nom, entrez un nom d’application significatif qui s’affiche pour les utilisateurs de l’application, par exemple ciam-client-app.
Sous Types de comptes pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement.
Sélectionnez Inscription.
Le Vue d’ensemble de l’application s’affiche une fois l’inscription terminée. Enregistrez l’ID du répertoire (locataire) et l’ID d’application (client) à utiliser dans le code source de votre application.
Accorder des autorisations d’API
Une application démon se connecte en son propre nom à l’aide du flux d’informations d’identification du client OAuth 2.0. Vous accordez des autorisations d’application (rôles d’application), qui sont requises par les applications qui s’authentifient en tant que telles. Vous devez également inscrire l’API web que votre application démon doit appeler.
Dans la page Inscriptions d’applications, sélectionnez l’application que vous avez créée, par exemple, ciam-client-app.
Sous Gérer, sélectionnez Autorisations de l’API.
Sous Autorisations configurées, sélectionnez Ajouter une autorisation.
Sélectionnez l’onglet API utilisées par mon organisation.
Dans la liste des API, sélectionnez l’API, par exemple ciam-ToDoList-api.
Sélectionnez l’option Autorisations de l’application. Nous sélectionnons cette option, car l’application se connecte en tant que telle, mais pas au nom d’un utilisateur.
Dans la liste des autorisations, sélectionnez TodoList.Read.All, ToDoList.ReadWrite.All (utilisez la zone de recherche si nécessaire).
Sélectionnez le bouton Ajouter des autorisations.
À ce stade, vous avez attribué les autorisations correctement. Toutefois, étant donné que l’application démon ne permet pas aux utilisateurs d’interagir avec elle, les utilisateurs eux-mêmes ne peuvent pas consentir à ces autorisations. Pour résoudre ce problème, en tant qu’administrateur, vous devez consentir à ces autorisations au nom de tous les utilisateurs du locataire :
- Sélectionnez Accorder le consentement administrateur pour <nom de votre locataire>, puis sélectionnez Oui.
- Sélectionnez Actualiser, puis vérifiez que Accordé pour <nom de votre locataire> s’affiche sous État pour les deux autorisations.
Tester le flux utilisateur (facultatif)
Pour tester un flux utilisateur avec cette inscription d’application, activez le flux d’octroi implicite pour l’authentification.
Important
Le flux implicite doit être utilisé uniquement à des fins de test et non pour authentifier les utilisateurs dans vos applications de production. Une fois que vous avez terminé le test, nous vous recommandons de le supprimer.
Pour activer le flux implicite, procédez comme suit :
- Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant que Développeur d’application.
- Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
- Accédez à Identité>Applications>Inscriptions d’applications.
- Sélectionnez l’inscription d’application que vous avez créée.
- Sous Gérer, sélectionnez Authentification.
- Sous Flux d’octroi implicite et flux hybride, cochez la case Jetons d’ID (utilisés pour les flux implicites et hybrides).
- Cliquez sur Enregistrer.
Inscrire une application d’API Microsoft Graph
ID externe Microsoft Entra doit être informé de l’existence de l’application que vous créez pour permettre à votre application de connecter des utilisateurs avec Microsoft Entra. L’inscription d’application établit une relation de confiance entre l’application et Microsoft Entra. Lorsque vous enregistrez une application, l'ID externe génère un identifiant unique appelé ID d'application (client), une valeur utilisée pour identifier votre application lors de la création de demandes d'authentification.
Les étapes suivantes vous montrent comment inscrire votre application dans le centre d’administration Microsoft Entra :
Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant que Développeur d’application.
Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
Accédez à Identité>Applications>Inscriptions d’applications.
Sélectionnez + Nouvelle inscription.
Dans la page Inscrire une application qui s’affiche ;
- Dans Nom, entrez un nom d’application explicite qui va être présenté aux utilisateurs de l’application, par exemple ciam-client-app.
- Sous Types de comptes pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement.
Sélectionnez Inscription.
Le volet Vue d’ensemble de l’application s’affiche après une inscription réussie. Enregistrez l’ID d’application (client) à utiliser dans le code source de votre application.
Accorder à votre application l’accès à l’API
Pour permettre à votre application d’accéder aux données dans l’API Microsoft Graph, accordez à l’application inscrite les autorisations d’application qui conviennent. Les autorisations effectives de votre application correspondent au niveau complet des privilèges impliqués par l’autorisation. Par exemple, pour créer, lire, mettre à jour et supprimer chaque utilisateur de votre locataire externe, ajoutez l’autorisation User.ReadWrite.All.
Sous Gérer, sélectionnez Autorisations de l’API.
Sous Autorisations configurées, sélectionnez Ajouter une autorisation.
Sélectionnez l’onglet API Microsoft, puis Microsoft Graph.
Sélectionnez Autorisations de l’application.
Développez le groupe d’autorisations approprié et activez la case à cocher de l’autorisation à accorder à votre application de gestion. Par exemple :
User>User.ReadWrite.All : Pour les scénarios de migration ou de gestion d’utilisateurs.
Group>Group.ReadWrite.All: Pour créer des groupes, lire et mettre à jour les appartenances aux groupes et supprimer des groupes.
AuditLog>AuditLog.Read.All : Pour lire les journaux d’audit de l’annuaire.
Policy>Policy.ReadWrite.TrustFramework : Pour les scénarios d’intégration continue/livraison continue (CI/CD). Par exemple, pour le déploiement de stratégies personnalisées avec Azure Pipelines.
Sélectionnez Ajouter des autorisations. Comme vous l’indiquent les instructions, patientez quelques minutes avant de passer à l’étape suivante.
Sélectionnez Accorder le consentement de l’administrateur pour (nom de votre abonné) .
Si vous n’êtes pas connecté, connectez-vous avec un compte de votre locataire externe ayant au minimum le rôle Administrateur d’application cloud, puis sélectionnez Accorder le consentement administrateur pour (nom de votre locataire).
Sélectionnez Actualiser, puis vérifiez que la mention « Accordé pour ... » apparaît sous État. La propagation des autorisations peut prendre quelques minutes.
Une fois que vous avez inscrit votre application, vous devez ajouter une clé secrète client à votre application. Cette clé secrète client sera utilisée pour authentifier votre application afin d’appeler l’API Microsoft Graph.
Créer une clé secrète client
Créez un secret client pour l’application inscrite. L’application utilise la clé secrète client pour prouver son identité quand elle demande des jetons.
- Dans la page inscriptions d’applications, sélectionnez l’application que vous avez créée (par exemple, ciam-client-app) pour ouvrir sa page Vue d’ensemble.
- Sous Gérer, sélectionnez Certificats et secrets.
- Sélectionnez Nouveau secret client.
- Entrez une description pour la clé secrète client dans la zone Description (par exemple clé secrète client ciam).
- Sous Expire, sélectionnez la durée de validité de la clé secrète (en fonction des règles de sécurité de votre organisation), puis sélectionnez Ajouter.
- Enregistrez la Valeur du secret. Vous utiliserez cette valeur pour la configuration dans une étape ultérieure. La valeur du secret ne sera plus affichée et sera irrécupérable une fois que vous quittez les Certificats et secrets. Veillez à l’enregistrer.
Tester le flux utilisateur (facultatif)
Pour tester un flux utilisateur avec cette inscription d’application, activez le flux d’octroi implicite pour l’authentification.
Important
Le flux implicite doit être utilisé uniquement à des fins de test et non pour authentifier les utilisateurs dans vos applications de production. Une fois que vous avez terminé le test, nous vous recommandons de le supprimer.
Pour activer le flux implicite, procédez comme suit :
- Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant que Développeur d’application.
- Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
- Accédez à Identité>Applications>Inscriptions d’applications.
- Sélectionnez l’inscription d’application que vous avez créée.
- Sous Gérer, sélectionnez Authentification.
- Sous Flux d’octroi implicite et flux hybride, cochez la case Jetons d’ID (utilisés pour les flux implicites et hybrides).
- Cliquez sur Enregistrer.
Inscrire une application d’authentification native
ID externe Microsoft Entra doit être informé de l’existence de l’application que vous créez pour permettre à votre application de connecter des utilisateurs avec Microsoft Entra. L’inscription d’application établit une relation de confiance entre l’application et Microsoft Entra. Lorsque vous enregistrez une application, l'ID externe génère un identifiant unique appelé ID d'application (client), une valeur utilisée pour identifier votre application lors de la création de demandes d'authentification.
Les étapes suivantes vous montrent comment inscrire votre application dans le centre d’administration Microsoft Entra :
Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant que Développeur d’application.
Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
Accédez à Identité>Applications>Inscriptions d’applications.
Sélectionnez + Nouvelle inscription.
Dans la page Inscrire une application qui s’affiche ;
- Dans Nom, entrez un nom d’application explicite qui va être présenté aux utilisateurs de l’application, par exemple ciam-client-app.
- Sous Types de comptes pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement.
Sélectionnez Inscription.
Le volet Vue d’ensemble de l’application s’affiche après une inscription réussie. Enregistrez l’ID d’application (client) à utiliser dans le code source de votre application.
Accorder un consentement d’administrateur
Une fois que vous avez enregistré votre application, celle-ci reçoit l’autorisation User.Read. Toutefois, comme le locataire est un locataire externe, les utilisateurs clients ne peuvent pas eux-mêmes consentir à cette autorisation. En qualité d’administrateur, vous devez consentir à ces autorisations au nom de tous les utilisateurs du client :
Dans la page inscriptions d’applications, sélectionnez l’application que vous avez créée (par exemple ciam-client-app) pour ouvrir sa page Vue d’ensemble.
Sous Gérer, sélectionnez Autorisations de l’API.
- Sélectionnez Accorder le consentement administrateur pour <nom de votre client>, puis sélectionnez Oui.
- Sélectionnez Actualiser, puis vérifiez que Accordé pour <votre nom de locataire> s’affiche sous l’État de l’autorisation.
Activer les flux d’authentification de clients publics et natifs
Pour spécifier que cette application est un client public et qu’elle peut utiliser l’authentification native, activez les flux d’authentification de clients publics et natifs :
- Dans la page des inscriptions d’applications, sélectionnez l’inscription d’application pour laquelle vous souhaitez activer les flux d’authentification de clients publics et natifs.
- Sous Gérer, sélectionnez Authentification.
- Sous Paramètres avancés, autorisez les flux de clients publics :
- Pour Activer les flux mobiles et de bureau suivants, sélectionnez Oui.
- Pour Activer l’authentification native, sélectionnez Oui.
- Sélectionnez le bouton Enregistrer.
Après avoir inscrit une nouvelle application, vous trouverez l’ID d’application (client) dans la vue d’ensemble dans le Centre d’administration Microsoft Entra.