Partager via

Comment inscrire une application de registre confidentiel Azure avec l’ID Microsoft Entra

Dans cet article, vous allez apprendre à intégrer votre application de registre confidentiel Azure à l’ID Microsoft Entra, en l’inscrivant auprès de la plateforme d’identités Microsoft.

La plateforme d’identités Microsoft effectue uniquement la gestion des identités et des accès (IAM) pour les applications inscrites. Qu’il s’agisse d’une application cliente comme une application web ou mobile, ou d’une API web qui sauvegarde une application cliente, en l’inscrivant, il établit une relation d’approbation entre votre application et le fournisseur d’identité, la plateforme d’identités Microsoft. En savoir plus sur la plateforme d’identités Microsoft.

Prerequisites

Inscrire une application

L’inscription de votre application de registre confidentiel Azure établit une relation d’approbation entre votre application et la plateforme d’identités Microsoft. La confiance est unidirectionnelle : votre application fait confiance à la plateforme d’identités Microsoft, et non l’inverse.

Procédez comme suit pour créer l’inscription d’application :

  1. Connectez-vous au portail Azure.

  2. Si vous avez accès à plusieurs tenants, utilisez le filtre Répertoire + abonnement dans le menu du haut pour basculez vers le tenant dans lequel vous voulez inscrire l’application.

  3. Recherchez et sélectionnez Microsoft Entra ID.

  4. Sous Gérer, sélectionnez Inscriptions d’applications>Nouvelle inscription.

  5. Entrez un nom d’affichage pour votre application. Les utilisateurs de votre application peuvent voir le nom d’affichage lorsqu’ils l’utilisent, par exemple lors de la connexion. Vous pouvez modifier le nom d’affichage à tout moment et plusieurs inscriptions d’applications peuvent partager le même nom. L’ID d’application (client) généré automatiquement par l’inscription de l’application, et non son nom complet, identifie de manière unique votre application dans la plateforme d’identité.

  6. Spécifiez qui peut utiliser l’application, parfois appelée audience de connexion.

    Types de comptes pris en charge Descriptif
    Comptes dans cet annuaire organisationnel uniquement Sélectionnez cette option si vous générez une application destinée à être utilisée uniquement par des utilisateurs (ou des invités) dans votre locataire.

    Souvent appelée application métier (LOB), cette application est une application monolocataire dans la plateforme d’identités Microsoft.
    Comptes dans un annuaire organisationnel Sélectionnez cette option si vous souhaitez que les utilisateurs d’un locataire Microsoft Entra puissent utiliser votre application. Cette option est appropriée si, par exemple, vous créez une application SaaS (software-as-a-service) que vous envisagez de fournir à plusieurs organisations.

    Ce type d’application est appelé application mutualisée dans la plateforme d'identité Microsoft.
    Comptes dans un annuaire organisationnel et comptes personnels Microsoft Sélectionnez cette option pour cibler l’ensemble le plus large de clients.

    En sélectionnant cette option, vous inscrivez une application mutualisée qui peut également prendre en charge les utilisateurs disposant de comptes Microsoft personnels.
    Comptes Microsoft personnels Sélectionnez cette option si vous créez une application uniquement pour les utilisateurs disposant de comptes Microsoft personnels. Les comptes Microsoft personnels incluent Skype, Xbox, Live et Hotmail.

  7. N’entrez rien pour l’URI de redirection (facultatif). Vous allez configurer un URI de redirection dans la section suivante.

  8. Sélectionnez Inscrire pour terminer l’inscription initiale de l’application.

    Capture d’écran du portail Azure dans un navigateur web, montrant le volet Inscrire une application.

Une fois l’inscription terminée, le portail Azure affiche le volet Vue d’ensemble de l’inscription de l’application. Vous voyez l’ID d’application (client) . Également appelé ID client, cette valeur identifie de façon unique votre application dans la plateforme d’identités Microsoft.

Important

Les nouvelles inscriptions d’applications sont masquées par défaut aux utilisateurs. Lorsque vous êtes prêt à permettre aux utilisateurs de voir l’application sur leur page Mes applications , vous pouvez l’activer. Pour activer l’application, dans le portail Azure, accédez aux applications Microsoft Entra ID>Enterprise et sélectionnez l’application. Ensuite, dans la page Propriétés, réglez l'option Visible pour les utilisateurs ? sur Oui.

Le code de votre application, ou plus généralement une bibliothèque d’authentification utilisée dans votre application, utilise également l’ID client. L’ID est utilisé dans le cadre de la validation des jetons de sécurité qu’il reçoit à partir de la plateforme d’identité.

Capture d’écran du portail Azure dans un navigateur web, montrant le volet Vue d’ensemble d’une inscription d’application.

Ajouter un URI de redirection

Un URI de redirection est l’emplacement où la plateforme d’identités Microsoft redirige le client d’un utilisateur et envoie des jetons de sécurité après l’authentification.

Dans une application web de production, par exemple, l’URI de redirection est souvent un point de terminaison public où votre application est en cours d’exécution, comme https://contoso.com/auth-response. Pendant le développement, il est courant d’ajouter également le point de terminaison où vous exécutez votre application localement, comme https://127.0.0.1/auth-response ou http://localhost/auth-response.

Vous ajoutez et modifiez des URI de redirection pour vos applications inscrites en configurant leurs paramètres de plateforme.

Configurer les paramètres de la plateforme

Les paramètres de chaque type d’application, y compris les URI de redirection, sont configurés dans les configurations de plateforme dans le portail Azure. Certaines plateformes, telles que les applications web et monopage, vous obligent à spécifier manuellement un URI de redirection. Pour les autres plateformes, comme les plateformes mobiles et de bureau, vous pouvez sélectionner des URI de redirection générés automatiquement quand vous configurez leurs autres paramètres.

Pour configurer les paramètres d’application en fonction de la plateforme ou de l’appareil que vous ciblez, procédez comme suit :

  1. Dans le portail Azure, dans les inscriptions d’applications, sélectionnez votre application.

  2. Sous Gérer, sélectionnez Authentification.

  3. Sous Configurations de la plateforme, sélectionnez Ajouter une plateforme.

  4. Sous Configurer des plateformes, sélectionnez la vignette de votre type d’application (plateforme) pour configurer ses paramètres.

    Capture d’écran du volet de configuration de la plateforme dans le portail Azure.

    Platform Paramètres de configuration
    Web Entrez un URI de redirection pour votre application. Cet URI est l’emplacement vers lequel la plateforme d’identités Microsoft redirige le client d’un utilisateur et envoie des jetons de sécurité après l’authentification.

    Sélectionnez cette plateforme pour les applications web standard qui s’exécutent sur un serveur.
    Application à page unique Entrez un URI de redirection pour votre application. Cet URI est l’emplacement vers lequel la plateforme d’identités Microsoft redirige le client d’un utilisateur et envoie des jetons de sécurité après l’authentification.

    Sélectionnez cette plateforme si vous créez une application web côté client à l’aide de JavaScript ou d’une infrastructure comme Angular, Vue.js, React.jsou Blazor WebAssembly.
    iOS / macOS Entrez l’ID de bundle d’application. Recherchez-le dans les paramètres de build ou dans Xcode dans Info.plist.

    Un URI de redirection est généré pour vous lorsque vous spécifiez un ID de bundle.
    Android Entrez le nom du package d’application. Recherchez-le dans le fichier AndroidManifest.xml . Générez et entrez également le hachage de signature.

    Un URI de redirection est généré pour vous lorsque vous spécifiez ces paramètres.
    Applications mobiles et de bureau Sélectionnez l’une des URI de redirection suggérés. Ou spécifiez un URI de redirection personnalisé.

    Pour les applications de bureau à l’aide d’un navigateur incorporé, nous vous recommandons de
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Pour les applications de bureau utilisant un navigateur système, nous vous recommandons
    http://localhost

    Sélectionnez cette plateforme pour les applications mobiles qui n’utilisent pas la dernière bibliothèque d’authentification Microsoft (MSAL) ou qui n’utilisent pas de répartiteur. Sélectionnez également cette plateforme pour les applications de bureau.

  5. Sélectionnez Configurer pour terminer la configuration de la plateforme.

Restrictions sur l’URI de redirection

Il existe certaines restrictions sur le format des URI de redirection que vous ajoutez à une inscription d’application. Pour plus d’informations sur ces restrictions, consultez les restrictions et limitations de l’URI de redirection (URL de réponse).

Ajouter des informations d’identification

Les informations d’identification sont utilisées par les applications clientes confidentielles qui accèdent à une API web. Par exemple, les clients confidentiels sont des applications web, d’autres API web, ou des applications de type de service et de type démon. Les informations d’identification permettent à votre application de s’authentifier comme elle-même, sans aucune interaction d’un utilisateur au moment de l’exécution.

Vous pouvez ajouter des certificats et des secrets clients (une chaîne) en tant qu’informations d’identification pour l'enregistrement de votre application cliente confidentielle.

Capture d’écran du portail Azure montrant le volet Certificats et secrets dans une inscription d’application.

Ajouter un certificat

Parfois appelé clé publique, un certificat est le type d’informations d’identification recommandé, car il est considéré comme plus sécurisé que les secrets clients. Pour plus d’informations sur l’utilisation d’un certificat comme méthode d’authentification dans votre application, consultez les informations d’identification du certificat d’authentification de la plateforme d’identités Microsoft.

  1. Dans le portail Azure, dans les inscriptions d’applications, sélectionnez votre application.
  2. Sélectionnez Certificats et secrets>Certificats>Charger un certificat.
  3. Sélectionnez les fichiers à charger. Il doit s’agir de l’un des types de fichiers suivants : .cer, .pem, .crt.
  4. Sélectionnez Ajouter.

Ajouter une clé secrète client

Parfois appelé mot de passe d’application, une clé secrète client est une valeur de chaîne que votre application peut utiliser à la place d’un certificat pour l’identité elle-même.

Les secrets clients sont considérés comme moins sécurisés que les informations d’identification du certificat. Les développeurs d’applications utilisent parfois des secrets clients pendant le développement d’applications locales en raison de leur facilité d’utilisation. Toutefois, vous devez utiliser des informations d’identification de certificat pour toutes vos applications qui s’exécutent en production.

  1. Dans le portail Azure, dans les inscriptions d’applications, sélectionnez votre application.
  2. Sélectionnez Certificats et secrets>Secrets client>Nouveau secret client.
  3. Ajoutez une description pour votre clé secrète client.
  4. Sélectionnez un délai d’expiration pour le secret ou spécifiez une durée de vie personnalisée.
    • La durée de vie d’un secret client est limitée à deux ans (24 mois) ou moins. Vous ne pouvez pas spécifier une durée de vie personnalisée supérieure à 24 mois.
    • Microsoft vous recommande de définir une valeur d’expiration inférieure à 12 mois.
  5. Sélectionnez Ajouter.
  6. Enregistrez la valeur du secret à utiliser dans le code de votre application cliente. Cette valeur secrète n’est plus affichée après avoir quitté cette page.

Pour obtenir des recommandations relatives à la sécurité des applications, consultez les meilleures pratiques et recommandations de la plateforme d’identités Microsoft.

Étapes suivantes

  • Last updated on