Intégrer un plug-in d’API à une API sécurisée avec une clé

  • 2 minutes

L’une des façons courantes de sécuriser les API consiste à utiliser des clés API. Les clés API sont des chaînes arbitraires que les propriétaires d’API émettent pour vous accorder l’accès à l’API. De nombreux services populaires utilisent des clés API pour sécuriser l’accès à leurs API. Le fournisseur d’API qui émet des clés API contrôle si une clé vous donne accès à l’ensemble de la surface de l’API et à toutes les ressources ou seulement à une partie spécifique de celle-ci. Le service contrôle également la durée de validité d’une clé.

Les clés API sont pratiques à utiliser grâce à leur simplicité. Pour appeler une API sécurisée avec une clé API, il vous suffit d’inclure la clé API dans la demande d’API. L’API valide ensuite la clé et gère la demande ou la rejette avec une erreur d’authentification ou d’autorisation. Cette simplicité a toutefois un coût. Les clés API n’authentifient pas l’utilisateur, ce qui signifie que l’API ne peut pas agir au nom de l’utilisateur. Tous les utilisateurs appelant l’API avec la même clé API ont les mêmes autorisations.

Chaque fournisseur d’API définit la façon dont il s’attend à ce que vous transmettiez la clé API avec vos demandes. Par exemple, une API peut nécessiter l’utilisation d’un paramètre de chaîne de requête ou d’un en-tête de requête spécifique.

Microsoft 365 Copilot prend en charge le passage de clés API comme suit :

  • JSON Web Token (JWT)
GET https://api.contoso.com/orders
Authorization: Bearer API_KEY
  • Paramètre de chaîne de requête
GET https://api.contoso.com/orders?api_key=API_KEY
  • En-tête personnalisé
GET https://api.contoso.com/orders
X-API-Key: API_KEY

Une clé API est une valeur secrète que vous ne devez jamais partager publiquement. Lorsque vous créez un plug-in d’API qui s’intègre à une API sécurisée avec une clé API, vous stockez la clé API dans un emplacement de stockage sécurisé dans Microsoft 365, également appelé coffre. Ensuite, dans votre application, vous référencez l’ID de l’entrée de coffre. Au moment de l’exécution, l’agent déclaratif charge votre plug-in (2) et résout l’ID d’entrée en clé API réelle (3a) qu’il utilise pour appeler l’API (3b). Le diagramme suivant illustre ce processus.

Diagramme montrant comment un agent déclaratif exécute un plug-in d’API connecté à une API sécurisée avec une clé.

Le stockage de la clé API dans le coffre vous permet de gérer votre clé API en toute sécurité sans jamais l’exposer publiquement. En outre, étant donné que votre application ne référence pas directement la clé API, vous pouvez la mettre à jour sans avoir à mettre à jour votre application.

Pendant le développement, vous pouvez inscrire vous-même votre clé API de développement dans le coffre, soit manuellement en accédant au Portail des développeurs Teams et à partir de la section Outils ouvrant l’inscription de clé API, soit en utilisant microsoft 365 Agents Toolkit. En production, en général, un administrateur inscrit la clé API et vous donne l’ID de l’entrée de coffre à utiliser dans votre plug-in d’API.

Capture d’écran de la page d’inscription de clé API dans le portail des développeurs Teams.