Créer une inscription d’application à utiliser avec Azure Digital Twins

Cet article explique comment créer une inscription d’application Microsoft Entra ID qui peut accéder à Azure Digital Twins. Cet article inclut des étapes pour le portail Azure et Azure CLI.

Lors de l’utilisation d’Azure Digital Twins, il est courant d’interagir avec l’instance par le biais d’applications clientes. Ces applications doivent s’authentifier auprès d’Azure Digital Twins, et certains des mécanismes d’authentification que les applications peuvent utiliser impliquent une inscription d’application.

L’inscription de l’application n’est pas obligatoire pour tous les scénarios d’authentification. Toutefois, si vous utilisez une stratégie d’authentification ou un exemple de code qui nécessite une inscription d’application, cet article vous montre comment en configurer une et lui accorder des autorisations aux API Azure Digital Twins. Il explique également comment collecter les valeurs importantes dont vous aurez besoin pour utiliser l’inscription d’application lors de l’authentification.

Conseil

Vous préférerez peut-être configurer une nouvelle inscription d’application chaque fois que vous en aurez besoin, ou pour effectuer cette opération une seule fois, en établissant une inscription d’application unique qui sera partagée entre tous les scénarios qui l’exigent.

Création de l’inscription

Commencez par sélectionner l’onglet ci-dessous pour votre interface préférée.

Portail

Accédez à Microsoft Entra ID dans le portail Azure (vous pouvez utiliser ce lien ou le trouver à l’aide de la barre de recherche du portail). Sélectionnez Inscriptions d’applications dans le menu service, puis + Nouvelle inscription.

Dans la page Inscrire une application qui suit, renseignez les valeurs demandées :

• Nom : nom d’affichage d’application Microsoft Entra à associer à l’inscription.
• Types de comptes pris en charge : sélectionnez Comptes dans cet annuaire organisationnel uniquement (Annuaire par défaut uniquement – Locataire unique).
• URI de redirection : URL de réponse de l’application Microsoft Entra pour l’application Microsoft Entra. Ajoutez un URI Client public/natif (mobile et bureau) pour http://localhost.

Lorsque vous avez terminé, sélectionnez le bouton S’inscrire.

Une fois la configuration de l’inscription terminée, le portail vous redirige vers la page de détails correspondante.

INTERFACE DE LIGNE DE COMMANDE

Commencez par créer un fichier manifeste, qui contient les informations de service dont votre inscription d’application aura besoin pour accéder aux API Azure Digital Twins. Ensuite, vous allez passer ce fichier dans une commande CLI pour créer l’inscription.

Créer un manifeste

Créez sur votre ordinateur un fichier .json nommé manifest.json. Copiez ce texte dans le fichier :

[
	{
		"resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0",
		"resourceAccess": [
			{
				"id": "4589bd03-58cb-4e6c-b17f-b580e39652f8",
				"type": "Scope"
			}
		]
	}
]

La valeur statique 0b07f429-9f4b-4714-9392-cc5e8e80c8b0 est l’ID de ressource pour le point de terminaison du service Azure Digital Twins, dont votre inscription d’application aura besoin pour accéder aux API Azure Digital Twins.

Enregistrez le fichier terminé.

Utilisateurs Cloud Shell : Charger le manifeste

Si vous utilisez Azure Cloud Shell pour ce tutoriel, vous devez charger le fichier manifeste que vous avez créé dans Cloud Shell, afin que vous puissiez y accéder dans les commandes Cloud Shell lors de la configuration de l’inscription de l’application. Si vous utilisez une installation locale d’Azure CLI, vous pouvez passer à l’étape suivante, Exécuter la commande de création.

Pour charger le fichier, accédez à la fenêtre Cloud Shell dans votre navigateur. Sélectionnez l’icône « Charger/Télécharger des fichiers » et choisissez « Charger ».

Accédez au fichier manifest.json sur votre machine et sélectionnez Ouvrir. Cela a pour effet de charger le fichier à la racine de votre stockage Cloud Shell.

Exécuter la commande de création

Dans cette section, vous allez exécuter une commande CLI pour créer une inscription d’application avec les paramètres suivants :

• Nom de votre choix
• Disponible uniquement pour les comptes dans l’annuaire par défaut (un seul locataire)
• URL de réponse web de http://localhost
• Autorisations de lecture/écriture sur les API Azure Digital Twins

Exécutez la commande suivante pour créer l’inscription. Si vous utilisez Cloud Shell, le chemin d’accès au fichier manifest.json est @manifest.json.

az ad app create --display-name <app-registration-name> --available-to-other-tenants false --reply-urls http://localhost --native-app --required-resource-accesses "<path-to-manifest.json>"

La sortie de la commande contient des informations sur l’inscription d’application que vous avez créée.

Vérifier la réussite de l’exécution

Vous pouvez confirmer que les autorisations Azure Digital Twins ont été accordées en recherchant les champs suivants dans la sortie de la commande de création, sous requiredResourceAccess. Vérifiez que leurs valeurs correspondent à ce qui est répertorié ci-dessous.

• resourceAccess > id est 4589bd03-58cb-4e6c-b17f-b580e39652f8
• resourceAppId est 0b07f429-9f4b-4714-9392-cc5e8e80c8b0

Collecter les valeurs importantes

Ensuite, collectez certaines valeurs importantes sur l’inscription d’application, dont vous aurez besoin pour utiliser l’inscription d’application afin d’authentifier une application cliente. Ces valeurs incluent :

• Nom de ressource : lors de l’utilisation d’Azure Digital Twins, le nom de la ressource est http://digitaltwins.azure.net.
• ID client
• ID de client
• clé secrète client

Les sections suivantes décrivent comment trouver les valeurs restantes.

Collecter l’ID de client et l’ID de locataire

Pour utiliser l’inscription d’application pour l’authentification, vous devrez peut-être fournir son ID d’application (client) et son ID d’annuaire (locataire). Ici, vous allez collecter ces valeurs afin de pouvoir les enregistrer et les utiliser chaque fois qu’elles sont nécessaires.

Portail

Vous pouvez collecter les valeurs de l’ID client et de l’ID locataire à partir de la page de détails de l’inscription d’application dans le portail Azure :

Prenez note de l’ID d’application (client) et de l’ID de répertoire (locataire) affichés sur votre page.

INTERFACE DE LIGNE DE COMMANDE

Vous trouverez ces deux valeurs dans la sortie de la commande az ad app create que vous avez exécutée plus tôt. (Vous pouvez également afficher les informations de l’inscription de l’application à l’aide d’az ad app show.)

Recherchez ces valeurs dans le résultat :

ID d’application (client) :

ID d’annuaire (locataire) :

Collecter le secret client

Configurez une clé secrète client pour votre inscription d’application, que d’autres applications peuvent utiliser pour s’authentifier.

Portail

Démarrez sur la page d’inscription de votre application dans le portail Azure.

1. Sélectionnez Certificats et secrets dans le menu de l’inscription, puis + Nouveau secret client.

   

2. Entrez les valeurs de votre choix pour Description et Expire le, puis sélectionnez Ajouter.

   

3. Vérifiez que le secret client est visible dans la page Certificats et secrets avec les champs Expire et Valeur.

4. Notez l’ID du secret et la Valeur en vue de les utiliser plus tard (vous pouvez également les copier dans le Presse-papiers avec les icônes Copier).

   

Important

Veillez à copier les valeurs tout de suite et à les stocker en lieu sûr, car vous ne pourrez plus y accéder par la suite. Si vous ne les retrouvez pas, vous devrez créer un autre secret.

INTERFACE DE LIGNE DE COMMANDE

Pour créer un secret client pour votre inscription d’application, vous avez besoin de la valeur d’ID client de votre inscription d’application récupérée lors de l’étape précédente. Utilisez la valeur de la commande CLI suivante pour créer un nouveau secret :

az ad app credential reset --id <client-ID> --append

Vous pouvez également ajouter des paramètres facultatifs à cette commande pour spécifier une description des informations d’identification, une date de fin et d’autres détails. Pour plus d’informations sur la commande et ses paramètres, consultez la documentation sur az ad app credential reset.

Les informations générées par cette commande décrivent le secret client que vous avez créé.

Copiez la valeur de password à utiliser lorsque vous avez besoin du secret client pour l’authentification.

Important

Veillez à copier la valeur maintenant et à la stocker en lieu sûr, car vous ne pourrez plus y accéder par la suite. Si vous perdez cette valeur, vous devrez recréer un nouveau secret.

Fournir des autorisations Azure Digital Twins

Configurez ensuite l’inscription d’application que vous avez créée avec les autorisations pour accéder à Azure Digital Twins. Il existe deux types d’autorisations nécessaires :

• Une attribution de rôle pour l’inscription d’application dans l’instance Azure Digital Twins
• Des autorisations d’API pour permettre à l’application de lire et d’écrire dans les API Azure Digital Twins

Créer une attribution de rôle

Dans cette section, vous allez créer une attribution de rôle pour l’inscription d’application sur l’instance Azure Digital Twins. Ce rôle déterminera les autorisations que l’inscription d’application détient sur l’instance. Vous devez donc sélectionner le rôle qui correspond au niveau d’autorisation approprié pour votre situation. Propriétaire des données Azure Digital Twins est un rôle possible. Pour obtenir la liste complète des rôles et leurs descriptions, consultez Rôles intégrés Azure.

Portail

Utilisez ces étapes pour créer l’attribution de rôle pour votre inscription.

1. Ouvrez la page de votre instance Azure Digital Twins dans le portail Azure.

2. Sélectionnez Contrôle d’accès (IAM) .

3. Sélectionnez Ajouter>Ajouter une attribution de rôle pour ouvrir la page Ajouter une attribution de rôle.

4. Attribuez le rôle approprié. Pour connaître les étapes détaillées, consultez Attribuer des rôles Azure à l’aide du portail Azure.

   Paramètre	Valeur
   Rôle	Sélectionner selon le cas
   Les membres > attribuent l’accès à	Utilisateur, groupe ou principal de service
   Membres > Membres	+ Sélectionner des membres, puis recherchez le nom de l’inscription de l’application

   

   

   Une fois le rôle sélectionné, passez-le en revue et attribuez-le.

Vérifier l'attribution de rôle

Vous pouvez afficher l’attribution de rôle que vous avez configurée sous Contrôle d’accès (IAM) > Attributions de rôle.

L’inscription d’application doit apparaître dans la liste, ainsi que le rôle que vous lui avez attribué.

INTERFACE DE LIGNE DE COMMANDE

Utilisez la commande az dt role-assignment create pour attribuer le rôle (doit être exécutée par un utilisateur avec les autorisations suffisantes dans l’abonnement Azure). La commande vous oblige à passer le nom du rôle que vous souhaitez attribuer, le nom de votre instance Azure Digital Twins et le nom ou l’ID d’objet de l’inscription d’application.

az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<name-or-ID-of-app-registration>" --role "<appropriate-role-name>"

Les résultats de cette commande décrivent l’attribution de rôle qui a été créée pour l’inscription de l’application.

Pour vérifier davantage l’attribution du rôle, vous pouvez le rechercher dans le portail Azure (passez à l’onglet Instructions du portail).

Fournir des autorisations d’API

Dans cette section, vous allez accorder les autorisations de lecture/écriture de base de votre application aux API Azure Digital Twins.

Si vous utilisez Azure CLI et que vous avez déjà configuré l’inscription de votre application avec un fichier manifeste, cette étape est déjà effectuée. Si vous utilisez le portail Azure pour créer votre inscription d’application, passez par le reste de cette section pour configurer des autorisations d’API.

Portail

À partir de la page du portail pour l’inscription de votre application, sélectionnez Autorisations des API dans le menu. Sur la page d’autorisations suivantes, sélectionnez le bouton +Ajouter une autorisation.

Dans la page Demander des autorisations d’API qui suit, basculez vers l’onglet API utilisées par mon organisation et recherchez Azure Digital Twins. Sélectionnez Azure Digital Twins dans les résultats de la recherche pour continuer à attribuer des autorisations pour les API Azure Digital Twins.

Remarque

Si votre abonnement dispose encore d’une instance Azure Digital Twins de la préversion publique précédente du service (avant juillet 2020), vous devez rechercher et sélectionner Azure Smart Spaces Services à la place. Il s’agit d’un ancien nom pour le même ensemble d’API (notez que l’ID d’application (client) est le même que dans la capture d’écran ci-dessus), et votre expérience ne sera pas modifiée au-delà de cette étape.

Ensuite, vous allez sélectionner les autorisations à accorder pour ces API. Développez l’autorisation Lecture (1), et activez la case lecture.Écriture pour accorder cette inscription d’application et les autorisations de lecture et d’écriture.

Lorsque vous avez terminé, sélectionnez Ajouter des autorisations.

Vérifier les autorisations d’API

Dans la page Autorisations des API, vérifiez qu’il existe désormais une entrée pour Azure Digital Twins reflétant les autorisations Lecture/Écriture :

Vous pouvez également vérifier la connexion à Azure Digital Twins dans le fichier manifest.json de l’inscription de l’application, qui a été automatiquement mise à jour avec les informations Azure Digital Twins lorsque vous avez ajouté les autorisations des API.

Pour ce faire, sélectionnez Manifeste dans le menu pour afficher le code du manifeste de l’inscription de l’application. Faites défiler la fenêtre de code vers le bas et recherchez les champs et valeurs suivants sous requiredResourceAccess :

• "resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0"
• "resourceAccess" > "id": "4589bd03-58cb-4e6c-b17f-b580e39652f8"

Ces valeurs sont indiquées dans la capture d’écran ci-dessous :

Si ces valeurs sont manquantes, recommencez les étapes de la section relative à l’ajout d’autorisations d’API.

INTERFACE DE LIGNE DE COMMANDE

Si vous utilisez l’interface CLI, les autorisations d’API ont été configurées précédemment dans le cadre de l’étape Créer l’inscription.

Vous pouvez les vérifier maintenant à l’aide du portail Azure (basculez vers l’onglet Instructions du portail).

Autres étapes possibles pour votre organisation

Il est possible que votre organisation exige des actions supplémentaires de la part des propriétaires ou administrateurs d’abonnement pour finir de configurer l’inscription d’application. Les étapes requises peuvent varier en fonction des paramètres spécifiques de votre organisation. Choisissez un onglet ci-dessous pour afficher les informations adaptées à votre interface préférée.

Portail

Voici quelques activités courantes qu’un propriétaire ou administrateur de l’abonnement peuvent devoir effectuer. Ces opérations et d’autres peuvent être effectuées à partir de la page Inscriptions d’applications Microsoft Entra dans le portail Azure.

• Accordez le consentement administrateur pour l’inscription d’application. Votre organisation peut avoir activé globalement l’option Consentement administrateur requis dans Microsoft Entra ID pour toutes les inscriptions d’applications au sein de votre abonnement. Si c’est le cas, le propriétaire/l’administrateur devra sélectionner ce bouton pour votre société dans la page Autorisations de l’API de l’inscription d’application pour que celle-ci soit valide :

  

  • Si le consentement a été accordé avec succès, l’entrée pour Azure Digital Twins doit alors indiquer une valeur d’État Accordé pour (votre société)

  

• Activer l’accès client public

• Définir des URL de réponse spécifiques pour l’accès web et au bureau

• Autoriser les flux d’authentification OAuth2 implicites

INTERFACE DE LIGNE DE COMMANDE

Voici quelques activités courantes qu’un propriétaire ou administrateur de l’abonnement peuvent devoir effectuer.

• Accordez le consentement administrateur pour l’inscription d’application. Votre organisation peut avoir activé globalement l’option Consentement administrateur requis dans Microsoft Entra ID pour toutes les inscriptions d’applications au sein de votre abonnement. Dans ce cas, le propriétaire/administrateur peut avoir besoin d’accorder des autorisations d’application ou déléguées supplémentaires.
• Activez l’accès client public en ajoutant --set publicClient=true à une commande de création ou de mise à jour pour l’inscription.
• Définissez des URL de réponse spécifiques pour l’accès web et au bureau à l’aide du paramètre --reply-urls. Pour plus d’informations sur l’utilisation de ce paramètre avec des commandes az ad, consultez la documentation sur az ad app.
• Autorisez les flux d’authentification OAuth2 implicites à l’aide du paramètre --oauth2-allow-implicit-flow. Pour plus d’informations sur l’utilisation de ce paramètre avec des commandes az ad, consultez la documentation sur az ad app.

Pour plus d’informations sur l’inscription d’applications et ses différentes options d’installation, consultez Inscrire une application avec la plateforme d’identités Microsoft.

Étapes suivantes

Dans cet article, vous configurez une inscription d’application Microsoft Entra qui peut être utilisée pour authentifier des applications clientes avec les API Azure Digital Twins.

Vous lirez ensuite des informations sur les mécanismes d’authentification, y compris ceux qui utilisent les inscriptions d’applications et d’autres qui ne le font pas :

• Écrire le code d’authentification de l’application