Migrer des applications à l’aide de l’authentification basée sur l’en-tête vers Azure Active Directory B2C avec le proxy d’application de Grit

Dans cet exemple de tutoriel, découvrez comment migrer une application héritée à l’aide de l’authentification basée sur l’en-tête vers Azure Active Directory B2C (Azure AD B2C) avec le proxy d’application de Grit.

Les avantages de l’utilisation du proxy d’application Grit sont les suivants :

• Aucun changement de code d’application et un déploiement facile, ce qui permet un retour sur investissement plus rapide

• Permet aux utilisateurs d’utiliser des expériences d’authentification modernes telles que l’authentification multifacteur, la biométrie et l’authentification sans mot de passe, ce qui renforce la sécurité.

• Économies significatives sur le coût de la licence de la solution d’authentification héritée

Conditions préalables

Avant de commencer, vérifiez que vous disposez des éléments suivants :

• Licence pour le proxy de l’application Grit. Contactez l’assistance Grit pour plus d’informations sur la licence. Pour ce tutoriel, vous n’avez pas besoin de licence.

• Un abonnement Azure. Si vous n’en avez pas, obtenez un compte gratuit.

• Un locataire Azure AD B2C lié à votre abonnement Azure.

Description du scénario

L’intégration de Grit comprend les composants suivants :

• Azure AD B2C : serveur d’autorisation pour vérifier les informations d’identification des utilisateurs : les utilisateurs authentifiés accèdent aux applications locales à l’aide d’un compte local stocké dans l’annuaire Azure AD B2C.

• Proxy d’application Grit : service qui transmet l’identité aux applications via des en-têtes HTTP.

• Application Web : application héritée à laquelle l’utilisateur demande l’accès.

Le diagramme d’architecture suivant montre l’implémentation.

1. L’utilisateur demande l’accès à une application locale.

2. Le proxy d’application Grit reçoit la demande via le pare-feu d’applications web Azure (WAF) et l’envoie à l’application.

3. Le proxy de l’application Grit vérifie l’état d’authentification de l’utilisateur. Sans jeton de session ou un jeton non valide, l’utilisateur accède à Azure AD B2C pour l’authentification.

4. Azure AD B2C envoie la demande de l’utilisateur au point de terminaison spécifié lors de l’inscription du proxy d’application Grit dans le locataire Azure AD B2C.

5. Le proxy de l’application Grit évalue les politiques d’accès et calcule les valeurs d’attribut dans les en-têtes HTTP transmis à l’application. Le proxy de l’application Grit définit les valeurs d’en-tête et envoie la demande à l’application.

6. L’utilisateur est authentifié avec un accès accordé/refusé à l’application.

Intégration avec le proxy de l’application Grit

Pour plus d'informations, contactez le support Grit pour être intégré.

Configurer la solution de proxy d’application de Grit avec Azure AD B2C

Pour ce tutoriel, Grit dispose déjà d’une application backend et d’une politique Azure AD B2C. Ce tutoriel portera sur la configuration du proxy pour accéder à l’application backend.

Vous pouvez utiliser l’expérience utilisateur pour configurer la sécurité de chaque page de l’application principale. Vous pouvez configurer le type d’authentification requis par chaque page et les valeurs d’en-tête nécessaires.

Si les utilisateurs doivent se voir refuser l’autorisation d’accès à certaines pages en fonction de l’appartenance à un groupe ou d’autres critères, cela est géré par le parcours utilisateur d’authentification.

1. Accédez à https://proxyeditor.z13.web.core.windows.net/.

2. Une fois que la liste déroulante apparaît, sélectionnez-la, puis sélectionnez Créer.

3. Entrez un nom pour la page qui ne contient que des lettres et des chiffres.

4. Saisissez B2C_1A_SIGNUP_SIGNIN dans la case Politique B2C.

5. Sélectionnez GET à la méthode HTTP.

6. Entrez 'https://anj-grit-legacy-backend.azurewebsites.net/Home/Page' dans le champ du point de terminaison et il s’agit du point de terminaison de votre application héritée.

   Remarque

   Cette démo est accessible au public, les valeurs que vous entrez seront visibles par le public. Ne configurez pas d’application sécurisée avec cette démo.

   

7. Sélectionnez AJOUTER UN EN-TÊTE.

8. Entrez x-iss dans le champ d’en-tête de destination pour configurer l’en-tête HTTP valide qui doit être envoyé à l’application.

9. Saisissez given_name dans le champ Valeur qui correspond au nom d’une revendication dans la politique B2C. La valeur de la réclamation sera transmise dans l’en-tête.

10. Sélectionnez Jeton comme source.

11. Sélectionnez ENREGISTRER LES PARAMÈTRES.

12. Sélectionnez le lien dans la fenêtre contextuelle. Cela vous amènera à une page de connexion. Sélectionnez le lien d’inscription et entrez les informations requises. Une fois le processus d’inscription terminé, vous serez redirigé vers l’ancienne application. L’application affiche le nom que vous avez fourni dans le champ Prénom lors de l’inscription.

Tester le flux

1. Accédez à l’URL de l’application locale.

2. Le proxy de l’application Grit redirige vers la page que vous avez configurée dans votre flux d’utilisateurs. Sélectionnez la base de données dans le fournisseur d’identité.

3. À l’invite, entrez vos informations d’identification. Si nécessaire, incluez un jeton d’authentification multifacteur Microsoft Entra.

4. Vous êtes redirigé vers Azure AD B2C, qui transmet la demande d’application à l’URI de redirection du proxy d’application Grit.

5. Le proxy d’application de Grit évalue les politiques, calcule les en-têtes et envoie l’utilisateur vers l’application en amont.

6. L’application demandée s’affiche.

Ressources supplémentaires

• Documentation sur le proxy d’application Grit

• Configurer la solution Grit IAM B2B2C avec Azure AD B2C

• Modifier le xml Azure AD B2C Identity Experience Framework (IEF) avec Grit Visual IEF Editor

• Configurer l’authentification biométrique Grit avec Azure AD B2C