Inscrire une application SaaS
Cet article explique comment inscrire une application SaaS à l’aide de Microsoft Portail Azure et comment obtenir le jeton d’accès de l’éditeur (jeton d’accès Microsoft Entra). L’éditeur utilisera ce jeton pour authentifier l’application SaaS en appelant les API d’approvisionnement SaaS. Les API de traitement utilisent les informations d’identification du client OAuth 2.0 pour accorder un flux sur les points de terminaison Microsoft Entra ID (v1.0) pour effectuer une demande de jeton d’accès de service à service.
La Place de marché Azure n’impose aucune contrainte sur la méthode d’authentification que votre service SaaS utilise pour les utilisateurs finaux. Le flux ci-dessous est requis uniquement pour l’authentification du service SaaS dans Place de marché Azure.
Pour plus d’informations sur l’ID Microsoft Entra (Active Directory), consultez Présentation de l’authentification.
Inscrire une application sécurisée par l’ID Microsoft Entra
Toute application qui souhaite utiliser les fonctionnalités de l’ID Microsoft Entra doit d’abord être inscrite dans un locataire Microsoft Entra. Ce processus d’inscription implique de fournir à Microsoft Entra quelques détails sur votre application. Pour inscrire une nouvelle application à l’aide du portail Azure, procédez comme suit :
Connectez-vous au portail Azure.
Si votre compte vous donne accès à plusieurs comptes, sélectionnez votre compte dans l’angle supérieur droit. Définissez ensuite votre session portail sur le locataire Microsoft Entra souhaité.
Dans le volet de navigation de gauche, sélectionnez le service Microsoft Entra ID , sélectionnez Inscriptions d’applications, puis Nouvelle inscription d’application.
Sur la page, saisissez les informations d’inscription de votre application :
Nom : saisissez un nom d’application explicite
Types de comptes pris en charge :
Sélectionnez Comptes dans cet annuaire organisationnel uniquement (locataire unique).
Lorsque vous avez terminé, sélectionnez Inscrire. L’ID Microsoft Entra affecte un ID d’application unique à votre nouvelle application. Vous devez inscrire une application qui accède à l’API uniquement et en tant que locataire unique.
Pour créer la clé secrète client, accédez à la page Certificats et secrets, puis sélectionnez + Nouveau secret client. Veillez à copier la valeur du secret pour pouvoir l’utiliser dans votre code.
L’ID d’application Microsoft Entra est associé à votre ID d’éditeur. Vérifiez donc que le même ID d’application est utilisé dans toutes vos offres.
Remarque
Si l’éditeur dispose de deux comptes ou plus différents dans l’Espace partenaires, les détails de l’inscription de l’application Microsoft Entra ne peuvent être utilisés que dans un seul compte. L’utilisation du même ID de locataire, la paire ID d’application pour une offre sous un autre compte d’éditeur n’est pas prise en charge.
Remarque
Vous devez créer le principal de service de l’application inscrite dans le locataire sur lequel vous utilisez pour créer des jetons. Consultez cette documentation Sur la création d’un principal de service pour une inscription d’application.
Procédure à suivre pour récupérer le jeton d’autorisation de l’éditeur
Après avoir inscrit votre application, vous pouvez demander par programme le jeton d’autorisation de l’éditeur (jeton d’accès Microsoft Entra, à l’aide du point de terminaison Azure AD v1). L’éditeur doit utiliser ce jeton pour appeler les différentes API d’approvisionnement SaaS. Ce jeton n’est valide que pendant une heure.
Pour plus d’informations sur ces jetons, consultez Les jetons d’accès Microsoft Entra. Dans le flux ci-dessous, le jeton de point de terminaison v1 est utilisé.
Récupération du jeton avec une requête HTTP POST
Méthode HTTP
Billet
URL de requête
https://login.microsoftonline.com/*{tenantId}*/oauth2/token
Paramètre URI
| Nom du paramètre | Requise | Description |
|---|---|---|
tenantId |
True | ID de locataire de l’application Microsoft Entra inscrite. |
En-tête de requête
| Nom de l’en-tête | Requis | Description |
|---|---|---|
content-type |
True | Type de contenu associé à la requête. La valeur par défaut est application/x-www-form-urlencoded. |
Corps de la demande
| Nom de la propriété | Requis | Description |
|---|---|---|
grant_type |
True | Type d’autorisation. Utiliser "client_credentials". |
client_id |
True | Identificateur client/application associé à l’application Microsoft Entra. |
client_secret |
True | Secret associé à l’application Microsoft Entra. |
resource |
True | Ressource cible pour laquelle le jeton est demandé. Utilisez 20e940b3-4c77-4b0b-9a53-9e16a1b010a7, car l’API SaaS de la Place de marché est toujours la ressource cible dans ce cas. |
Response
| Nom | Type | Description |
|---|---|---|
| 200 OK | TokenResponse | Demande réussie. |
TokenResponse
Exemple de réponse :
{
"token_type": "Bearer",
"expires_in": "3600",
"ext_expires_in": "0",
"expires_on": "15251…",
"not_before": "15251…",
"resource": "20e940b3-4c77-4b0b-9a53-9e16a1b010a7",
"access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6ImlCakwxUmNxemhpeTRmcHhJeGRacW9oTTJZayIsImtpZCI6ImlCakwxUmNxemhpeTRmcHhJeGRacW9oTTJZayJ9…"
}
| Élément | Description |
|---|---|
access_token |
Cet élément est le <access_token> que vous allez passer comme paramètre d’autorisation pour appeler toutes les API d’approvisionnement SaaS et de mesure de la Place de marché. Lors de l’appel d’une API REST sécurisée, le jeton est incorporé dans le champ d’en-tête de requête Authorization comme un jeton « du porteur », autorisant l’API à authentifier l’appelant. |
expires_in |
Le nombre de secondes pendant lesquelles le jeton d’accès est toujours valide, avant d’expirer, à partir de son émission. L’heure d’émission est accessible dans la revendication iat du jeton. |
expires_on |
L’intervalle de temps lorsque le jeton d’accès expire. La date est exprimée en nombre de secondes à partir de « 1970-01-01T0:0:0Z UTC » (correspond à la revendication exp du jeton). |
not_before |
L’intervalle de temps pendant lequel le jeton d’accès prend effet, et peut être accepté. La date est exprimée en nombre de secondes à partir de « 1970-01-01T0:0:0Z UTC » (correspond à la revendication nbf du jeton). |
resource |
La ressource pour laquelle le jeton d’accès a été demandé, correspondant au paramètre de chaîne de requête resource de la requête. |
token_type |
Le type de jeton, qui est un jeton d’accès « du porteur », ce qui signifie que la ressource peut donner l’accès au porteur de ce jeton. |
Étapes suivantes
Votre application sécurisée par l’ID Microsoft Entra peut désormais utiliser les API d’abonnement de traitement SaaS version 2 et les API d’opérations de traitement SaaS version 2.
Tutoriels vidéos
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour