Gérer et surveiller les applications Microsoft Entra

  • 10 minutes

Maintenant que vous avez implémenté votre première application intégrée à Microsoft Entra, vous souhaitez explorer plus en profondeur les aspects de sa fonctionnalité qui se concentrent sur les tâches de gestion et de maintenance. Vous devez également vous assurer que vous êtes en mesure d’identifier les avertissements supplémentaires concernant les applications multi-locataires.

L’implémentation d’applications intégrées à Microsoft Entra comprend les considérations spéciales suivantes, dont certaines peuvent nécessiter des tâches de gestion et de maintenance supplémentaires :

  • Effectuer le suivi de tous les URI (Uniform Resource Identifier) de redirection associés à vos applications, y compris les enregistrements DNS (Domain Name Service) correspondants.

  • Protéger les applications web en veillant à ce que les URI de redirection correspondent aux points de terminaison chiffrés.

  • Conserver les informations d’identification des applications web, API web et applications démons.

  • Lorsque vous utilisez des secrets, pensez à automatiser leur gestion et leur rotation.

  • Appliquez le principe du privilège minimum lors de la configuration de l’étendue d’autorisation de vos applications. Les applications demandent des autorisations supplémentaires uniquement lorsque cela est nécessaire.

  • Dans la mesure du possible, utilisez des autorisations déléguées plutôt que des autorisations d’application.

  • Lors du développement, utilisez la bibliothèque d’authentification Microsoft plutôt que de programmer directement des protocoles tels que OAuth 2.0 et Open ID.

    Notes

    La bibliothèque d’authentification Microsoft offre une approche facile à utiliser pour implémenter un large éventail de scénarios d’authentification, y compris l’accès conditionnel, l’authentification unique (SSO) à l’échelle de l’appareil et la mise en cache des jetons.

    Remarque

    Ce module n’a pas pour but de fournir des conseils complets et des meilleures pratiques concernant l’intégration d’applications natives Cloud avec Microsoft Entra ID, mais il est plutôt destiné à présenter les concepts d’architecture multi-locataire et d’authentification Microsoft Entra.

Lors de l’implémentation de scénarios multi-locataires Microsoft Entra, vous devez configurer votre application pour qu’elle accepte les connexions de n’importe quel locataire Microsoft Entra. Les utilisateurs de ces locataires seront en mesure d’accéder à l’application après avoir accordé à votre application le consentement approprié demandé.

Quatre éléments principaux sont nécessaires dans le cadre de l’implémentation d’une application multi-locataire :

  • Inscrire l’application pour qu’elle devienne multi-locataire
  • Configurer l’application pour envoyer des requêtes au point de terminaison /common
  • Ajouter du code pour gérer plusieurs valeurs d’émetteur
  • Inclure des configurations pour répondre au consentement de l’utilisateur et de l’administrateur

Inscription de l’application pour qu’elle devienne multi-locataire

Pour inscrire votre application en tant que multilocataire :

  1. Utilisez la zone de texte Rechercher des ressources, des services et des documents pour rechercher Inscription d’applications, puis, dans la liste des résultats de la section Services Azure, sélectionnez Inscription d’applications.

  2. Sélectionnez Toutes les inscriptions, puis cna-app.

  3. Sélectionnez l’option Types de comptes pris en charge, puis sous Types de comptes pris en charge Comptes dans tout répertoire d’organisation (Tout répertoire Microsoft Entra : multilocataire) et Enregistrer.

Microsoft Entra ID nécessite que l’URI de l’ID d’application soit globalement unique. Pour une application à locataire unique, il suffit que l’URI de l’ID d’application soit unique au sein de ce locataire. Pour une application multi-locataire, il doit être globalement unique. Pour satisfaire cette exigence, le nom d’hôte de l’URI de l’ID d’application doit correspondre à un domaine vérifié du locataire Microsoft Entra.

Configuration de l’application pour envoyer des requêtes au point de terminaison /common

Dans une application à locataire unique, les requêtes de connexion sont envoyées au point de terminaison de connexion du locataire. Par exemple, pour contoso.com, le point de terminaison correspondant est https://login.microsoftonline.com/contoso.com. En réalité, les requêtes ciblant ce point de terminaison autorisent la connexion des utilisateurs ou invités au locataire Microsoft Entra correspondant. Avec une application multilocataire, vous ne pouvez pas déterminer à l’avance quel locataire sera utilisé. Vous devez donc utiliser le point de terminaison https://login.microsoftonline.com/common, qui sert tous les locataires Microsoft Entra.

Ajout de code pour gérer plusieurs valeurs d’émetteur

Les applications web et les API web doivent pouvoir valider les jetons de la plateforme d’identités Microsoft. Cela nécessite l’implémentation d’une logique qui détermine les valeurs d’émetteur valides et celles qui ne le sont pas, en fonction de la partie ID de locataire de la valeur de l’émetteur. Pour plus d’informations, reportez-vous à la documentation citée dans l’unité de synthèse de ce cours.

Pour une application multi-locataire, l’inscription initiale d’une application a lieu dans le locataire Microsoft Entra utilisé par le développeur de l’application. Lorsque des utilisateurs individuels issus de différents locataires Microsoft Entra se connectent à l’application pour la première fois, chacun est invité à donner son consentement pour les autorisations demandées par l’application. Cela entraîne la création d’un principal de service dans leurs locataires respectifs. Pour plus d’informations sur les dispositions permettant de répondre à cette exigence, reportez-vous à la documentation citée dans l’unité de synthèse de ce cours.