Authentification et autorisation dans Microsoft Entra ID

  • 5 minutes

Microsoft Entra ID fournit un service d’authentification et d’autorisation en prenant en charge les protocoles d’authentification modernes, notamment OAuth 2.0 et OpenID Connect, dans le respect des normes. Vous pouvez utiliser des bibliothèques open source telles que la bibliothèque d’authentification Microsoft (MSAL) et d’autres bibliothèques conformes aux normes avec Microsoft Entra ID.

Dans le scénario du portail d’employés, vous apprenez que votre organisation utilise Microsoft Entra ID comme fournisseur d’identité pour l’authentification et l’autorisation.

Dans cette unité, vous allez découvrir l’authentification et l’autorisation, et comment elles sont prises en charge dans Microsoft Entra ID.

Authentification

L’authentification fait référence au processus d’établissement et de vérification de l’identité de l’utilisateur final qui accède à une application.

Microsoft Entra ID utilise le protocole OpenID Connect pour gérer l’authentification. OpenID Connect permet aux applications d’obtenir des informations de base sur l’utilisateur authentifié et la session.

Autorisation

L’autorisation est le processus qui consiste à vérifier qu’un utilisateur authentifié est autorisé à effectuer une opération ou à accéder à des données.

Le protocole OAuth 2.0 fournit des flux d’autorisation pour différentes applications dans Microsoft Entra ID.

Enregistrement d’application

Microsoft Entra ID vous demande d’inscrire votre application auprès de ce protocole pour pouvoir fournir des services de gestion des identités et des accès. L’inscription de votre application établit une relation d’approbation entre l’application et le fournisseur d’identité. Vous pouvez créer une inscription d’application par le biais du portail Azure, à l’aide d'Azure CLI et même par programmation à l’aide des API Microsoft Graph.

L’inscription de l’application vous permet de spécifier le nom de votre application, le type d’application (web, bureau, etc.) et l’audience de connexion,c’est-à-dire les comptes d’utilisateur auxquels vous souhaitez autoriser l’accès. L’audience de connexion comprend :

  • Comptes dans cet annuaire organisationnel uniquement si vous créez une application destinée uniquement aux utilisateurs du locataire organisationnel (monolocataire).
  • Comptes dans tout répertoire organisationnel si vous souhaitez que les utilisateurs de tout locataire Microsoft Entra utilisent votre application (multilocataire).
  • Comptes dans un annuaire organisationnel et comptes Microsoft personnels pour l’ensemble de clients le plus vaste (multilocataire qui prend également en charge les comptes personnels Microsoft).
  • Comptes Microsoft personnels pour une utilisation uniquement par les utilisateurs de comptes Microsoft personnels (par exemple, Hotmail, Live, Skype et Xbox).

Vous pouvez également configurer des informations d’identification, des URI de redirection et d’autres paramètres d’authentification lors de l’inscription d’application.

Une fois l’inscription d’application terminée, vous recevez un ID d’application (client) qui identifie de façon unique votre application dans Microsoft Entra ID. Cet ID est utilisé dans votre code d’application ou dans la bibliothèque d’authentification, dans le cadre des requêtes adressées à Microsoft Entra ID.