Partager via


Inscrire une application dans votre locataire externe

S’applique à :Cercle blanc avec un symbole X gris. Locataires de main-d’œuvre Cercle vert avec un symbole de coche blanche. Locataires externes (en savoir plus)

ID externe Microsoft Entra permet à votre organisation de gérer les identités des clients et de contrôler de manière sécurisée l’accès à vos applications et API publiques. Applications dans lesquelles vos clients peuvent acheter vos produits, s’abonner à vos services ou accéder à leur compte et à leurs données. Vos clients n’ont besoin de se connecter qu’une seule fois sur un appareil ou un navigateur web, et ils ont accès à toutes vos applications pour lesquelles vous leur avez accordé des autorisations.

Pour que votre application puisse procéder à une connexion avec ID externe, vous devez l’inscrire dans ID externe. L’inscription de l’application établit une relation de confiance entre l’application et ID externe. Pendant l’inscription de l’application, vous spécifiez l’URI de redirection. L’URI de redirection est le point de terminaison vers lequel les utilisateurs sont redirigés par ID externe après s’être authentifiés. Le processus d’inscription de l’application génère un ID d’application, également appelé ID client, qui identifie votre application de façon unique.

ID externe prend en charge l’authentification pour diverses architectures d’application modernes, par exemple une application web ou une application monopage. L’interaction de chaque type d’application avec le locataire externe est différente, par conséquent, vous devez spécifier le type d’application que vous souhaitez inscrire.

Dans cet article, vous allez apprendre à inscrire une application dans votre locataire externe.

Prérequis

Choisir votre type d’application

Inscrire votre application monopage

ID externe prend en charge l’authentification pour les applications monopages (SPA).

Les étapes suivantes vous montrent comment inscrire votre SPA dans le centre d’administration Microsoft Entra :

  1. Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant que Développeur d’application.

  2. Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.

  3. Accédez à Identité>Applications>Inscriptions d’applications.

  4. Sélectionnez + Nouvelle inscription.

  5. Dans la page Inscrire une application qui s’affiche, entrez les informations d’inscription de votre application :

    1. Dans la section Nom, entrez un nom d’application significatif qui s’affiche pour les utilisateurs de l’application, par exemple ciam-client-app.

    2. Sous Types de comptes pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement.

    3. Sous URI de redirection (facultatif), sélectionnez Application monopage (SPA), puis entrez http://localhost:3000/ dans la zone de texte de l’URL.

  6. Sélectionnez Inscription.

  7. Le Vue d’ensemble de l’application s’affiche une fois l’inscription terminée. Enregistrez l’ID du répertoire (locataire) et l’ID d’application (client) à utiliser dans le code source de votre application.

À propos de l’URI de redirection

L’URI de redirection est le point de terminaison vers lequel l’utilisateur est envoyé par le serveur d’autorisation (dans le cas présent, Microsoft Entra ID) une fois qu’il a terminé son interaction avec l’utilisateur, et auquel un jeton d’accès ou un code d’autorisation est envoyé une fois l’autorisation réussie.

Dans une application de production, il s’agit généralement d’un point de terminaison accessible publiquement dans lequel votre application s’exécute, comme https://contoso.com/auth-response.

Pendant le développement d’une application, vous pouvez ajouter le point de terminaison sur lequel votre application écoute localement, comme http://localhost:3000.. Vous pouvez ajouter des URI de redirection à vos applications inscrites à tout moment et les modifier.

Les restrictions suivantes s’appliquent aux URI de redirection :

  • L’URL de réponse doit commencer par le schéma https, sauf si vous utilisez une URL de redirection localhost.

  • L’URL de réponse respecte la casse. Sa casse doit correspondre à celle du chemin d’URL de votre application en cours d’exécution. Par exemple, si votre application comprend .../abc/response-oidc dans son chemin, ne spécifiez pas .../ABC/response-oidc dans l’URL de réponse. Étant donné que le navigateur web considère que les chemins respectent la casse, les cookies associés à .../abc/response-oidc peuvent être exclus s’ils sont redirigés vers l’URL .../ABC/response-oidc qui ne correspond pas à la casse.

  • L’URL de réponse doit inclure ou exclure la barre oblique de fin, car votre application l’attend. Par exemple, https://contoso.com/auth-response et https://contoso.com/auth-response/ pourraient être traités comme des URL sans correspondance dans votre application.

Une fois que vous avez enregistré votre application, celle-ci reçoit l’autorisation User.Read. Toutefois, comme le locataire est un locataire externe, les utilisateurs clients ne peuvent pas eux-mêmes consentir à cette autorisation. En qualité d’administrateur, vous devez consentir à ces autorisations au nom de tous les utilisateurs du client :

  1. Dans la page inscriptions d’applications, sélectionnez l’application que vous avez créée (par exemple ciam-client-app) pour ouvrir sa page Vue d’ensemble.

  2. Sous Gérer, sélectionnez Autorisations de l’API.

    1. Sélectionnez Accorder le consentement administrateur pour <nom de votre client>, puis sélectionnez Oui.
    2. Sélectionnez Actualiser, puis vérifiez que Accordé pour <votre nom de locataire> s’affiche sous l’État de l’autorisation.

Accorder des autorisations d’API (facultatif) :

Si votre SPA doit appeler une API, vous devez lui accorder des autorisations afin qu’elle puisse appeler l’API. Vous devez également inscrire l’API web que vous devez appeler.

Pour accorder des autorisations d’API à votre application cliente (ciam-client-app), effectuez ces étapes :

  1. Dans la page Inscriptions d’applications, sélectionnez l’application que vous avez créée (par exemple, ciam-client-app) pour ouvrir sa page Vue d’ensemble.

  2. Sous Gérer, sélectionnez Autorisations de l’API.

  3. Sous Autorisations configurées, sélectionnez Ajouter une autorisation.

  4. Sélectionnez l’onglet API utilisées par mon organisation.

  5. Dans la liste des API, sélectionnez l’API, par exemple ciam-ToDoList-api.

  6. Sélectionnez l’option Autorisations déléguées.

  7. Dans la liste des autorisations, sélectionnez ToDoList.Read, ToDoList.ReadWrite (utilisez la zone de recherche si nécessaire).

  8. Sélectionnez le bouton Ajouter des autorisations. À ce stade, vous avez attribué les autorisations correctement. Toutefois, comme le locataire est celui d’un client, les utilisateurs consommateurs eux-mêmes ne peuvent pas donner leur consentement à ces autorisations. Pour résoudre ce problème, en tant qu’administrateur, vous devez consentir à ces autorisations au nom de tous les utilisateurs du locataire :

    1. Sélectionnez Accorder le consentement administrateur pour <nom de votre locataire>, puis sélectionnez Oui.

    2. Sélectionnez Actualiser, puis vérifiez que Accordé pour <nom de votre locataire> s’affiche sous État pour les deux étendues.

  9. Dans la liste Autorisations configurées, sélectionnez les autorisations ToDoList.Read et ToDoList.ReadWrite, une par une, puis copiez l’URI complet de l’autorisation pour l’utiliser ultérieurement. L’URI d’autorisation complet ressemble à api://{clientId}/{ToDoList.Read} ou api://{clientId}/{ToDoList.ReadWrite}.

Si vous souhaitez savoir comment exposer les autorisations en ajoutant un lien, accédez à la section API web.

Tester le flux utilisateur (facultatif)

Pour tester un flux utilisateur avec cette inscription d’application, activez le flux d’octroi implicite pour l’authentification.

Important

Le flux implicite doit être utilisé uniquement à des fins de test et non pour authentifier les utilisateurs dans vos applications de production. Une fois que vous avez terminé le test, nous vous recommandons de le supprimer.

Pour activer le flux implicite, procédez comme suit :

  1. Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant que Développeur d’application.
  2. Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
  3. Accédez à Identité>Applications>Inscriptions d’applications.
  4. Sélectionnez l’inscription d’application que vous avez créée.
  5. Sous Gérer, sélectionnez Authentification.
  6. Sous Flux d’octroi implicite et flux hybride, cochez la case Jetons d’ID (utilisés pour les flux implicites et hybrides).
  7. Cliquez sur Enregistrer.

Trouver l’ID d’application (client)

Après avoir inscrit une nouvelle application, vous trouverez l’ID d’application (client) dans la vue d’ensemble dans le Centre d’administration Microsoft Entra.

  1. Sur la page Inscriptions d’applications, sélectionnez Toutes les applications ou l’onglet Applications détenues.

  2. Sélectionnez l’application pour ouvrir sa page Vue d’ensemble.

  3. Sous Essentials, vous trouverez tous les détails de l’application, y compris l’ID d’application (client).

    Capture d’écran montrant l’ID d’application (client).

Étapes suivantes