Inscrire votre application dans le locataire externe

S’applique à : Locataires de main-d’œuvre Locataires externes (en savoir plus)

ID externe Microsoft Entra permet à votre organisation de gérer les identités des clients et de contrôler de manière sécurisée l’accès à vos applications et API publiques. Applications dans lesquelles vos clients peuvent acheter vos produits, s’abonner à vos services ou accéder à leur compte et à leurs données. Vos clients n’ont besoin de se connecter qu’une seule fois sur un appareil ou un navigateur web, et ils ont accès à toutes vos applications pour lesquelles vous leur avez accordé des autorisations.

Pour que votre application puisse procéder à une connexion avec ID externe, vous devez l’inscrire dans ID externe. L’inscription de l’application établit une relation de confiance entre l’application et ID externe. Pendant l’inscription de l’application, vous spécifiez l’URI de redirection. L’URI de redirection est le point de terminaison vers lequel les utilisateurs sont redirigés par ID externe après s’être authentifiés. Le processus d’inscription de l’application génère un ID d’application, également appelé ID client, qui identifie votre application de façon unique.

ID externe prend en charge l’authentification pour diverses architectures d’application modernes, par exemple une application web ou une application monopage. L’interaction de chaque type d’application avec le locataire externe est différente, par conséquent, vous devez spécifier le type d’application que vous souhaitez inscrire.

Dans cet article, vous allez apprendre à inscrire une application dans votre locataire externe.

Prérequis

• Un compte Azure disposant d’un abonnement actif. Créez un compte gratuitement.
• Votre locataire externe. Si vous n’en avez pas, inscrivez-vous pour obtenir un essai gratuit.

Choisir votre type d’application

Application monopage (SPA)

Inscrire votre application monopage

ID externe prend en charge l’authentification pour les applications monopages (SPA).

Les étapes suivantes vous montrent comment inscrire votre SPA dans le centre d’administration Microsoft Entra :

1. Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant que Développeur d’application.

2. Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.

3. Accédez à Identité>Applications>Inscriptions d’applications.

4. Sélectionnez + Nouvelle inscription.

5. Dans la page Inscrire une application qui s’affiche, entrez les informations d’inscription de votre application :

   1. Dans la section Nom, entrez un nom d’application significatif qui s’affiche pour les utilisateurs de l’application, par exemple ciam-client-app.

   2. Sous Types de comptes pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement.

   3. Sous URI de redirection (facultatif), sélectionnez Application monopage (SPA), puis entrez http://localhost:3000/ dans la zone de texte de l’URL.

6. Sélectionnez Inscription.

7. Le Vue d’ensemble de l’application s’affiche une fois l’inscription terminée. Enregistrez l’ID du répertoire (locataire) et l’ID d’application (client) à utiliser dans le code source de votre application.

À propos de l’URI de redirection

L’URI de redirection est le point de terminaison vers lequel l’utilisateur est envoyé par le serveur d’autorisation (dans le cas présent, Microsoft Entra ID) une fois qu’il a terminé son interaction avec l’utilisateur, et auquel un jeton d’accès ou un code d’autorisation est envoyé une fois l’autorisation réussie.

Dans une application de production, il s’agit généralement d’un point de terminaison accessible publiquement dans lequel votre application s’exécute, comme https://contoso.com/auth-response.

Pendant le développement d’une application, vous pouvez ajouter le point de terminaison sur lequel votre application écoute localement, comme http://localhost:3000.. Vous pouvez ajouter des URI de redirection à vos applications inscrites à tout moment et les modifier.

Les restrictions suivantes s’appliquent aux URI de redirection :

• L’URL de réponse doit commencer par le schéma https, sauf si vous utilisez une URL de redirection localhost.

• L’URL de réponse respecte la casse. Sa casse doit correspondre à celle du chemin d’URL de votre application en cours d’exécution. Par exemple, si votre application comprend .../abc/response-oidc dans son chemin, ne spécifiez pas .../ABC/response-oidc dans l’URL de réponse. Étant donné que le navigateur web considère que les chemins respectent la casse, les cookies associés à .../abc/response-oidc peuvent être exclus s’ils sont redirigés vers l’URL .../ABC/response-oidc qui ne correspond pas à la casse.

• L’URL de réponse doit inclure ou exclure la barre oblique de fin, car votre application l’attend. Par exemple, https://contoso.com/auth-response et https://contoso.com/auth-response/ pourraient être traités comme des URL sans correspondance dans votre application.

Accorder un consentement d’administrateur

1. Dans la page inscriptions d’applications, sélectionnez l’application que vous avez créée (par exemple, ciam-client-app) pour ouvrir sa page Vue d’ensemble.

2. Sous Gérer, sélectionnez Autorisations de l’API. Dans la liste Autorisations configurées, l’autorisation User-Read a été affectée à votre application. Toutefois, comme le locataire est un locataire externe, les utilisateurs consommateurs eux-mêmes ne peuvent pas donner leur consentement à cette autorisation. En qualité d’administrateur, vous devez consentir à ces autorisations au nom de tous les utilisateurs dans le locataire :

   1. Sélectionnez Accorder le consentement administrateur pour <nom de votre locataire>, puis sélectionnez Oui.
   2. Sélectionnez Actualiser, puis vérifiez que Accordé pour <nom de votre locataire> s’affiche sous État pour les deux étendues.

Accorder des autorisations d’API (facultatif) :

Si votre SPA doit appeler une API, vous devez lui accorder des autorisations afin qu’elle puisse appeler l’API. Vous devez également inscrire l’API web que vous devez appeler.

Pour accorder des autorisations d’API à votre application cliente (ciam-client-app), effectuez ces étapes :

1. Dans la page Inscriptions d’applications, sélectionnez l’application que vous avez créée (par exemple, ciam-client-app) pour ouvrir sa page Vue d’ensemble.

2. Sous Gérer, sélectionnez Autorisations de l’API.

3. Sous Autorisations configurées, sélectionnez Ajouter une autorisation.

4. Sélectionnez l’onglet API utilisées par mon organisation.

5. Dans la liste des API, sélectionnez l’API, par exemple ciam-ToDoList-api.

6. Sélectionnez l’option Autorisations déléguées.

7. Dans la liste des autorisations, sélectionnez ToDoList.Read, ToDoList.ReadWrite (utilisez la zone de recherche si nécessaire).

8. Sélectionnez le bouton Ajouter des autorisations. À ce stade, vous avez attribué les autorisations correctement. Toutefois, comme le locataire est celui d’un client, les utilisateurs consommateurs eux-mêmes ne peuvent pas donner leur consentement à ces autorisations. Pour résoudre ce problème, en tant qu’administrateur, vous devez consentir à ces autorisations au nom de tous les utilisateurs du locataire :

   1. Sélectionnez Accorder le consentement administrateur pour <nom de votre locataire>, puis sélectionnez Oui.

   2. Sélectionnez Actualiser, puis vérifiez que Accordé pour <nom de votre locataire> s’affiche sous État pour les deux étendues.

9. Dans la liste Autorisations configurées, sélectionnez les autorisations ToDoList.Read et ToDoList.ReadWrite, une par une, puis copiez l’URI complet de l’autorisation pour l’utiliser ultérieurement. L’URI d’autorisation complet ressemble à api://{clientId}/{ToDoList.Read} ou api://{clientId}/{ToDoList.ReadWrite}.

Si vous souhaitez savoir comment exposer les autorisations en ajoutant un lien, accédez à la section API web.

Application web

Inscrivez votre application web

ID externe prend en charge l’authentification pour les applications web.

Les étapes suivantes vous montrent comment inscrire votre application web dans le centre d’administration Microsoft Entra :

1. Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant que Développeur d’application.

2. Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.

3. Accédez à Identité>Applications>Inscriptions d’applications.

4. Sélectionnez + Nouvelle inscription.

5. Dans la page Inscrire une application qui s’affiche, entrez les informations d’inscription de votre application :

   1. Dans la section Nom, entrez un nom d’application significatif qui s’affiche pour les utilisateurs de l’application, par exemple ciam-client-app.

   2. Sous Types de comptes pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement.

   3. Sous URI de redirection (facultatif), sélectionnez Web, puis entrez un URL telle que http://localhost:3000/ dans la zone d’URL.

6. Sélectionnez Inscription.

7. Le Vue d’ensemble de l’application s’affiche une fois l’inscription terminée. Enregistrez l’ID du répertoire (locataire) et l’ID d’application (client) à utiliser dans le code source de votre application.

À propos de l’URI de redirection

L’URI de redirection est le point de terminaison vers lequel l’utilisateur est envoyé par le serveur d’autorisation (dans le cas présent, Microsoft Entra ID) une fois qu’il a terminé son interaction avec l’utilisateur, et auquel un jeton d’accès ou un code d’autorisation est envoyé une fois l’autorisation réussie.

Dans une application de production, il s’agit généralement d’un point de terminaison accessible publiquement dans lequel votre application s’exécute, comme https://contoso.com/auth-response.

Pendant le développement d’une application, vous pouvez ajouter le point de terminaison sur lequel votre application écoute localement, comme http://localhost:3000.. Vous pouvez ajouter des URI de redirection à vos applications inscrites à tout moment et les modifier.

Les restrictions suivantes s’appliquent aux URI de redirection :

• L’URL de réponse doit commencer par le schéma https, sauf si vous utilisez une URL de redirection localhost.

• L’URL de réponse respecte la casse. Sa casse doit correspondre à celle du chemin d’URL de votre application en cours d’exécution. Par exemple, si votre application comprend .../abc/response-oidc dans son chemin, ne spécifiez pas .../ABC/response-oidc dans l’URL de réponse. Étant donné que le navigateur web considère que les chemins respectent la casse, les cookies associés à .../abc/response-oidc peuvent être exclus s’ils sont redirigés vers l’URL .../ABC/response-oidc qui ne correspond pas à la casse.

• L’URL de réponse doit inclure ou exclure la barre oblique de fin, car votre application l’attend. Par exemple, https://contoso.com/auth-response et https://contoso.com/auth-response/ pourraient être traités comme des URL sans correspondance dans votre application.

Accorder un consentement d’administrateur

1. Dans la page inscriptions d’applications, sélectionnez l’application que vous avez créée (par exemple, ciam-client-app) pour ouvrir sa page Vue d’ensemble.

2. Sous Gérer, sélectionnez Autorisations de l’API. Dans la liste Autorisations configurées, l’autorisation User-Read a été affectée à votre application. Toutefois, comme le locataire est un locataire externe, les utilisateurs consommateurs eux-mêmes ne peuvent pas donner leur consentement à cette autorisation. En qualité d’administrateur, vous devez consentir à ces autorisations au nom de tous les utilisateurs dans le locataire :

   1. Sélectionnez Accorder le consentement administrateur pour <nom de votre locataire>, puis sélectionnez Oui.
   2. Sélectionnez Actualiser, puis vérifiez que Accordé pour <nom de votre locataire> s’affiche sous État pour les deux étendues.

Créer une clé secrète client

 

Créez un secret client pour l’application inscrite. L’application utilise la clé secrète client pour prouver son identité quand elle demande des jetons.

1. Dans la page inscriptions d’applications, sélectionnez l’application que vous avez créée (par exemple, ciam-client-app) pour ouvrir sa page Vue d’ensemble.
2. Sous Gérer, sélectionnez Certificats et secrets.
3. Sélectionnez Nouveau secret client.
4. Entrez une description pour la clé secrète client dans la zone Description (par exemple clé secrète client ciam).
5. Sous Expire, sélectionnez la durée de validité de la clé secrète (en fonction des règles de sécurité de votre organisation), puis sélectionnez Ajouter.
6. Enregistrez la Valeur du secret. Vous utiliserez cette valeur pour la configuration dans une étape ultérieure. La valeur du secret ne sera plus affichée et sera irrécupérable une fois que vous quittez les Certificats et secrets. Veillez à l’enregistrer.

Accorder des autorisations d’API (facultatif)

Si votre application web doit appeler une API, vous devez lui accorder des autorisations d’API afin qu’elle puisse appeler l’API. Vous devez également inscrire l’API web que vous devez appeler.

Pour accorder des autorisations d’API à votre application cliente (ciam-client-app), effectuez ces étapes :

1. Dans la page Inscriptions d’applications, sélectionnez l’application que vous avez créée (par exemple, ciam-client-app) pour ouvrir sa page Vue d’ensemble.

2. Sous Gérer, sélectionnez Autorisations de l’API.

3. Sous Autorisations configurées, sélectionnez Ajouter une autorisation.

4. Sélectionnez l’onglet API utilisées par mon organisation.

5. Dans la liste des API, sélectionnez l’API, par exemple ciam-ToDoList-api.

6. Sélectionnez l’option Autorisations déléguées.

7. Dans la liste des autorisations, sélectionnez ToDoList.Read, ToDoList.ReadWrite (utilisez la zone de recherche si nécessaire).

8. Sélectionnez le bouton Ajouter des autorisations. À ce stade, vous avez attribué les autorisations correctement. Toutefois, comme le locataire est celui d’un client, les utilisateurs consommateurs eux-mêmes ne peuvent pas donner leur consentement à ces autorisations. Pour résoudre ce problème, en tant qu’administrateur, vous devez consentir à ces autorisations au nom de tous les utilisateurs du locataire :

   1. Sélectionnez Accorder le consentement administrateur pour <nom de votre locataire>, puis sélectionnez Oui.

   2. Sélectionnez Actualiser, puis vérifiez que Accordé pour <nom de votre locataire> s’affiche sous État pour les deux étendues.

9. Dans la liste Autorisations configurées, sélectionnez les autorisations ToDoList.Read et ToDoList.ReadWrite, une par une, puis copiez l’URI complet de l’autorisation pour l’utiliser ultérieurement. L’URI d’autorisation complet ressemble à api://{clientId}/{ToDoList.Read} ou api://{clientId}/{ToDoList.ReadWrite}.

API Web

Inscrire votre API web

1. Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant que Développeur d’application.

2. Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.

3. Accédez à Identité>Applications>Inscriptions d’applications.

4. Sélectionnez + Nouvelle inscription.

5. Dans la page Inscrire une application qui s’affiche, entrez les informations relatives à l’inscription de votre application :

   1. Dans la section Nom, entrez un nom d’application significatif qui s’affiche pour les utilisateurs de l’application, par exemple, ciam-ToDoList-api.

   2. Sous Types de comptes pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement.

6. Sélectionnez Inscrire pour créer l’application.

7. Le Vue d’ensemble de l’application s’affiche une fois l’inscription terminée. Enregistrez l’ID du répertoire (locataire) et l’ID d’application (client) à utiliser dans le code source de votre application.

Exposer les autorisations

Une API doit publier au moins une étendue, également appelée Autorisation déléguée, pour que les applications clientes obtiennent avec succès un jeton d’accès pour un utilisateur. Pour publier une étendue, effectuez ces étapes :

1. Dans la page Inscriptions des applications, sélectionnez l’application API que vous avez créée (ciam-ToDoList-api) pour ouvrir sa page Vue d’ensemble.

2. Sous Gérer, sélectionnez Exposer une API.

3. En haut de la page, en regard de URI d’ID d’application, sélectionnez le lien Ajouter pour générer un URI unique pour cette application.

4. Acceptez l’URI d’ID d’application proposé, tel que api://{clientId}, puis sélectionnez Enregistrer. Lorsque votre application web demande un jeton d’accès pour l’API web, elle ajoute l’URI comme préfixe pour chaque étendue que vous définissez pour l’API.

5. Sous Étendues définies par cette API, sélectionnez Ajouter une étendue.

6. Entrez les valeurs suivantes qui définit l’accès en lecture à l’API, puis sélectionnez Ajouter une étendue pour sauvegarder vos modifications :

   Propriété	active
   Nom de l’étendue	ToDoList.Read
   Qui peut donner son consentement	Administrateurs uniquement
   Nom d’affichage du consentement administrateur	Lire la liste des tâches de l’utilisateur à l’aide de « ToDoListApi »
   Description du consentement de l'administrateur	Autoriser l’application à lire la liste de tâches de l’utilisateur à l’aide de « TodoListApi ».
   State	Activé

7. Sélectionnez à nouveau Ajouter une étendue, puis entrez les valeurs suivantes qui définit l’étendue en lecture et en écriture sur l’API. Sélectionnez Ajouter une étendue pour enregistrer vos changements :

   Propriété	active
   Nom de l’étendue	ToDoList.ReadWrite
   Qui peut donner son consentement	Administrateurs uniquement
   Nom d’affichage du consentement administrateur	Lire et écrire la liste ToDo de l’utilisateur à l’aide de « ToDoListApi »
   Description du consentement de l'administrateur	Permet à l’application de lire et écrire la liste ToDo de l’utilisateur à l’aide de « ToDoListApi »
   State	Activé

8. Sous Gérer, sélectionnez Manifeste pour ouvrir l’éditeur de manifeste d’API.

9. Définissez la propriété accessTokenAcceptedVersion sur 2.

10. Sélectionnez Enregistrer.

Découvrez-en plus sur le principe du privilège minimum lors de la publication d’autorisations pour une API web.

Ajouter les rôles d’application

Une API doit publier au moins un rôle d’application pour les applications, également appelé Autorisation d’application, pour que les applications clientes obtiennent un jeton d’accès en leur nom. Les autorisations d’application sont le type d’autorisations que les API doivent publier lorsqu’elles souhaitent permettre aux applications clientes de s’authentifier correctement en tant qu’elles-mêmes et qu’elles n’ont pas besoin de connecter des utilisateurs. Pour publier une autorisation d'application, procédez comme suit :

1. Dans la page Inscriptions d’applications, sélectionnez l’application que vous avez créée (par exemple, ciam-ToDoList-api) pour ouvrir sa page Vue d’ensemble.

2. Sous Gérer, sélectionnez Rôles d’applications.

3. Sélectionnez Créer un rôle d'application, puis saisissez les valeurs suivantes, puis sélectionnez Appliquer pour enregistrer vos modifications :

   Propriété	Value
   Nom complet	ToDoList.Read.All
   Types de membres autorisés	Applications
   Valeur	ToDoList.Read.All
   Description	Autoriser l'application à lire la liste de tâches de chaque utilisateur à l'aide de 'TodoListApi'

4. Sélectionnez à nouveau Créer un rôle d'application, puis saisissez les valeurs suivantes pour le deuxième rôle d'application, puis sélectionnez Appliquer pour enregistrer vos modifications :

   Propriété	Value
   Nom complet	ToDoList.ReadWrite.All
   Types de membres autorisés	Applications
   Valeur	ToDoList.ReadWrite.All
   Description	Autoriser l’application à lire et écrire la liste ToDo de chaque utilisateur à l’aide de « TodoListApi »

Application de bureau ou mobile

Inscrire votre application de bureau ou application mobile

Les étapes suivantes vous montrent comment inscrire votre application dans le centre d’administration Microsoft Entra :

1. Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant que Développeur d’application.

2. Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.

3. Accédez à Identité>Applications>Inscriptions d’applications.

4. Sélectionnez + Nouvelle inscription.

5. Dans la page Inscrire une application qui s’affiche, entrez les informations d’inscription de votre application :

   1. Dans la section Nom, entrez un nom d’application significatif qui s’affiche pour les utilisateurs de l’application, par exemple ciam-client-app.

   2. Sous Types de comptes pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement.

   3. Sous URI de redirection (facultatif), sélectionnez l’option Applications mobiles et de bureau puis, dans la zone d’URL, entrez un URI avec un schéma unique. Par exemple, l’URI de redirection de l’application de bureau Electron ressemble à http://localhost, alors que celui d’une interface utilisateur d’application multiplateforme (MAUI) .NET ressemble à msal{ClientId}://auth.

6. Sélectionnez Inscription.

7. Le Vue d’ensemble de l’application s’affiche une fois l’inscription terminée. Enregistrez l’ID du répertoire (locataire) et l’ID d’application (client) à utiliser dans le code source de votre application.

Accorder un consentement d’administrateur

1. Dans la page inscriptions d’applications, sélectionnez l’application que vous avez créée (par exemple, ciam-client-app) pour ouvrir sa page Vue d’ensemble.

2. Sous Gérer, sélectionnez Autorisations de l’API. Dans la liste Autorisations configurées, l’autorisation User-Read a été affectée à votre application. Toutefois, comme le locataire est un locataire externe, les utilisateurs consommateurs eux-mêmes ne peuvent pas donner leur consentement à cette autorisation. En qualité d’administrateur, vous devez consentir à ces autorisations au nom de tous les utilisateurs dans le locataire :

   1. Sélectionnez Accorder le consentement administrateur pour <nom de votre locataire>, puis sélectionnez Oui.
   2. Sélectionnez Actualiser, puis vérifiez que Accordé pour <nom de votre locataire> s’affiche sous État pour les deux étendues.

Accorder des autorisations d’API (facultatif)

Si votre application mobile doit appeler une API, vous devez lui accorder des autorisations d’API afin qu’elle puisse appeler l’API. Vous devez également inscrire l’API web que vous devez appeler.

Pour accorder des autorisations d’API à votre application cliente (ciam-client-app), effectuez ces étapes :

1. Dans la page Inscriptions d’applications, sélectionnez l’application que vous avez créée (par exemple, ciam-client-app) pour ouvrir sa page Vue d’ensemble.

2. Sous Gérer, sélectionnez Autorisations de l’API.

3. Sous Autorisations configurées, sélectionnez Ajouter une autorisation.

4. Sélectionnez l’onglet API utilisées par mon organisation.

5. Dans la liste des API, sélectionnez l’API, par exemple ciam-ToDoList-api.

6. Sélectionnez l’option Autorisations déléguées.

7. Dans la liste des autorisations, sélectionnez ToDoList.Read, ToDoList.ReadWrite (utilisez la zone de recherche si nécessaire).

8. Sélectionnez le bouton Ajouter des autorisations. À ce stade, vous avez attribué les autorisations correctement. Toutefois, comme le locataire est celui d’un client, les utilisateurs consommateurs eux-mêmes ne peuvent pas donner leur consentement à ces autorisations. Pour résoudre ce problème, en tant qu’administrateur, vous devez consentir à ces autorisations au nom de tous les utilisateurs du locataire :

   1. Sélectionnez Accorder le consentement administrateur pour <nom de votre locataire>, puis sélectionnez Oui.

   2. Sélectionnez Actualiser, puis vérifiez que Accordé pour <nom de votre locataire> s’affiche sous État pour les deux étendues.

9. Dans la liste Autorisations configurées, sélectionnez les autorisations ToDoList.Read et ToDoList.ReadWrite, une par une, puis copiez l’URI complet de l’autorisation pour l’utiliser ultérieurement. L’URI d’autorisation complet ressemble à api://{clientId}/{ToDoList.Read} ou api://{clientId}/{ToDoList.ReadWrite}.

Application démon

Inscrire votre application démon

Les étapes suivantes montrent comment inscrire votre application démon dans le centre d’administration Microsoft Entra :

1. Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant que Développeur d’application.

2. Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.

3. Accédez à Identité>Applications>Inscriptions d’applications.

4. Sélectionnez + Nouvelle inscription.

5. Dans la page Inscrire une application qui s’affiche, entrez les informations d’inscription de votre application :

   1. Dans la section Nom, entrez un nom d’application significatif qui s’affiche pour les utilisateurs de l’application, par exemple ciam-client-app.

   2. Sous Types de comptes pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement.

6. Sélectionnez Inscription.

7. Le Vue d’ensemble de l’application s’affiche une fois l’inscription terminée. Enregistrez l’ID du répertoire (locataire) et l’ID d’application (client) à utiliser dans le code source de votre application.

Accorder des autorisations d’API

Une application démon se connecte en son propre nom à l’aide du flux d’informations d’identification du client OAuth 2.0. Vous accordez des autorisations d’application (rôles d’application), qui sont requises par les applications qui s’authentifient en tant que telles. Vous devez également inscrire l’API web que votre application démon doit appeler.

1. Dans la page Inscriptions d’applications, sélectionnez l’application que vous avez créée, par exemple, ciam-client-app.

2. Sous Gérer, sélectionnez Autorisations de l’API.

3. Sous Autorisations configurées, sélectionnez Ajouter une autorisation.

4. Sélectionnez l’onglet API utilisées par mon organisation.

5. Dans la liste des API, sélectionnez l’API, par exemple ciam-ToDoList-api.

6. Sélectionnez l’option Autorisations de l’application. Nous sélectionnons cette option car l’application se connecte en tant qu’elle-même, et non en tant qu’utilisateur.

7. Dans la liste des autorisations, sélectionnez TodoList.Read.All, ToDoList.ReadWrite.All (utilisez la zone de recherche si nécessaire).

8. Sélectionnez le bouton Ajouter des autorisations.

9. À ce stade, vous avez attribué les autorisations correctement. Toutefois, étant donné que l’application démon ne permet pas aux utilisateurs d’interagir avec elle, les utilisateurs eux-mêmes ne peuvent pas consentir à ces autorisations. Pour résoudre ce problème, en tant qu’administrateur, vous devez consentir à ces autorisations au nom de tous les utilisateurs du locataire :

   1. Sélectionnez Accorder le consentement administrateur pour <nom de votre locataire>, puis sélectionnez Oui.
   2. Sélectionnez Actualiser, puis vérifiez que Accordé pour <nom de votre locataire> s’affiche sous État pour les deux autorisations.

API Microsoft Graph

Inscrire une application d’API Microsoft Graph

ID externe Microsoft Entra doit être informé de l’existence de l’application que vous créez pour permettre à votre application de connecter des utilisateurs avec Microsoft Entra. L’inscription d’application établit une relation de confiance entre l’application et Microsoft Entra. Lorsque vous enregistrez une application, l'ID externe génère un identifiant unique appelé ID d'application (client), une valeur utilisée pour identifier votre application lors de la création de demandes d'authentification.

Les étapes suivantes vous montrent comment inscrire votre application dans le centre d’administration Microsoft Entra :

1. Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant que Développeur d’application.

2. Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.

3. Accédez à Identité>Applications>Inscriptions d’applications.

4. Sélectionnez + Nouvelle inscription.

5. Dans la page Inscrire une application qui s’affiche ;

   1. Dans Nom, entrez un nom d’application explicite qui va être présenté aux utilisateurs de l’application, par exemple ciam-client-app.
   2. Sous Types de comptes pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement.

6. Sélectionnez Inscription.

7. Le volet Vue d’ensemble de l’application s’affiche après une inscription réussie. Enregistrez l’ID d’application (client) à utiliser dans le code source de votre application.

Accorder à votre application l’accès à l’API

Pour permettre à votre application d’accéder aux données dans l’API Microsoft Graph, accordez à l’application inscrite les autorisations d’application qui conviennent. Les autorisations effectives de votre application correspondent au niveau complet des privilèges impliqués par l’autorisation. Par exemple, pour créer, lire, mettre à jour et supprimer chaque utilisateur de votre locataire externe, ajoutez l’autorisation User.ReadWrite.All.

1. Sous Gérer, sélectionnez Autorisations de l’API.

2. Sous Autorisations configurées, sélectionnez Ajouter une autorisation.

3. Sélectionnez l’onglet API Microsoft, puis Microsoft Graph.

4. Sélectionnez Autorisations de l’application.

5. Développez le groupe d’autorisations approprié et activez la case à cocher de l’autorisation à accorder à votre application de gestion. Par exemple :

   • User>User.ReadWrite.All : Pour les scénarios de migration ou de gestion d’utilisateurs.

   • Group>Group.ReadWrite.All: Pour créer des groupes, lire et mettre à jour les appartenances aux groupes et supprimer des groupes.

   • AuditLog>AuditLog.Read.All : Pour lire les journaux d’audit de l’annuaire.

   • Policy>Policy.ReadWrite.TrustFramework : Pour les scénarios d’intégration continue/livraison continue (CI/CD). Par exemple, pour le déploiement de stratégies personnalisées avec Azure Pipelines.

6. Sélectionnez Ajouter des autorisations. Comme vous l’indiquent les instructions, patientez quelques minutes avant de passer à l’étape suivante.

7. Sélectionnez Accorder le consentement de l’administrateur pour (nom de votre abonné) .

8. Si vous n’êtes pas connecté, connectez-vous avec un compte de votre locataire externe ayant au minimum le rôle Administrateur d’application cloud, puis sélectionnez Accorder le consentement administrateur pour (nom de votre locataire).

9. Sélectionnez Actualiser, puis vérifiez que la mention « Accordé pour ... » apparaît sous État. La propagation des autorisations peut prendre quelques minutes.

Une fois que vous avez inscrit votre application, vous devez ajouter une clé secrète client à votre application. Cette clé secrète client sera utilisée pour authentifier votre application afin d’appeler l’API Microsoft Graph.

Créer une clé secrète client

Créez un secret client pour l’application inscrite. L’application utilise la clé secrète client pour prouver son identité quand elle demande des jetons.

1. Dans la page inscriptions d’applications, sélectionnez l’application que vous avez créée (par exemple, ciam-client-app) pour ouvrir sa page Vue d’ensemble.
2. Sous Gérer, sélectionnez Certificats et secrets.
3. Sélectionnez Nouveau secret client.
4. Entrez une description pour la clé secrète client dans la zone Description (par exemple clé secrète client ciam).
5. Sous Expire, sélectionnez la durée de validité de la clé secrète (en fonction des règles de sécurité de votre organisation), puis sélectionnez Ajouter.
6. Enregistrez la Valeur du secret. Vous utiliserez cette valeur pour la configuration dans une étape ultérieure. La valeur du secret ne sera plus affichée et sera irrécupérable une fois que vous quittez les Certificats et secrets. Veillez à l’enregistrer.

Authentification native

Inscrire une application d’authentification native

ID externe Microsoft Entra doit être informé de l’existence de l’application que vous créez pour permettre à votre application de connecter des utilisateurs avec Microsoft Entra. L’inscription d’application établit une relation de confiance entre l’application et Microsoft Entra. Lorsque vous enregistrez une application, l'ID externe génère un identifiant unique appelé ID d'application (client), une valeur utilisée pour identifier votre application lors de la création de demandes d'authentification.

Les étapes suivantes vous montrent comment inscrire votre application dans le centre d’administration Microsoft Entra :

1. Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant que Développeur d’application.

2. Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.

3. Accédez à Identité>Applications>Inscriptions d’applications.

4. Sélectionnez + Nouvelle inscription.

5. Dans la page Inscrire une application qui s’affiche ;

   1. Dans Nom, entrez un nom d’application explicite qui va être présenté aux utilisateurs de l’application, par exemple ciam-client-app.
   2. Sous Types de comptes pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement.

6. Sélectionnez Inscription.

7. Le volet Vue d’ensemble de l’application s’affiche après une inscription réussie. Enregistrez l’ID d’application (client) à utiliser dans le code source de votre application.

Accorder un consentement d’administrateur

1. Dans la page inscriptions d’applications, sélectionnez l’application que vous avez créée (par exemple, ciam-client-app) pour ouvrir sa page Vue d’ensemble.

2. Sous Gérer, sélectionnez Autorisations de l’API. Dans la liste Autorisations configurées, l’autorisation User-Read a été affectée à votre application. Toutefois, comme le locataire est un locataire externe, les utilisateurs consommateurs eux-mêmes ne peuvent pas donner leur consentement à cette autorisation. En qualité d’administrateur, vous devez consentir à ces autorisations au nom de tous les utilisateurs dans le locataire :

   1. Sélectionnez Accorder le consentement administrateur pour <nom de votre locataire>, puis sélectionnez Oui.
   2. Sélectionnez Actualiser, puis vérifiez que Accordé pour <nom de votre locataire> s’affiche sous État pour les deux étendues.

Activer les flux d’authentification natifs et de clients publics

Pour spécifier que cette application est un client public et qu’elle peut utiliser l’authentification native, activez les flux d’authentification de clients publics et natifs :

1. Dans la page des inscriptions d’applications, sélectionnez l’inscription d’application pour laquelle vous souhaitez activer les flux d’authentification de clients publics et natifs.
2. Sous Gérer, sélectionnez Authentification.
3. Sous Paramètres avancés, autorisez les flux de clients publics :
   1. Pour Activer les flux mobiles et de bureau suivants, sélectionnez Oui.
   2. Pour Activer l’authentification native, sélectionnez Oui.
4. Sélectionnez le bouton Enregistrer.

Trouver l’ID d’application (client)

Après avoir inscrit une nouvelle application, vous trouverez l’ID d’application (client) dans la vue d’ensemble dans le Centre d’administration Microsoft Entra.

1. Sur la page Inscriptions d’applications, sélectionnez Toutes les applications ou l’onglet Applications détenues.

2. Sélectionnez l’application pour ouvrir sa page Vue d’ensemble.

3. Sous Essentials, vous trouverez tous les détails de l’application, y compris l’ID d’application (client).

   

Étapes suivantes

• Créer un flux d’utilisateur d’inscription et de connexion