Démarrage rapide : configuration de Microsoft Entra pour un connecteur personnalisé
Ce guide décrit les étapes de configuration d’une application Microsoft Entra à utiliser avec un connecteur personnalisé Power Query. Nous recommandons aux développeurs de connecteurs de passer en revue les concepts de la Plateforme d’identités Microsoft avant de continuer.
Étant donné que le terme application est utilisé dans plusieurs contextes dans la plateforme Microsoft Entra, ce guide utilise les termes suivants pour faire la distinction entre les ID d’application de connecteur et de source de données :
- Application cliente : ID client Microsoft Entra utilisés par le connecteur Power Query.
- Ressource d'application : inscription d’application Microsoft Entra pour le point de terminaison auquel le connecteur se connecte (c’est-à-dire votre service ou source de données).
L’activation de la prise en charge de Microsoft Entra pour un connecteur personnalisé implique :
- Définition d’une ou de plusieurs étendues dans la ressource d'application utilisée par le connecteur.
- Préauthorisation des ID client Power Query pour utiliser ces étendues.
- Configuration des valeurs correctes
Resource
etScopes
dans la définition du connecteur.
Ce guide suppose qu’une nouvelle ressource d'application est inscrite dans Microsoft Entra. Les développeurs disposant d’une ressource d'application existante peuvent passer à la section Configurer une étendue.
Remarque
Pour plus d’informations sur l’utilisation de Microsoft Entra dans votre service ou application, accédez à l’un des guides de démarrage rapide.
Inscrire une ressource d'application
Votre source de données ou point de terminaison d'API utilise cette ressource d'application pour établir l’approbation entre votre service et le Plateforme d’identités Microsoft.
Suivez les étapes d’inscription d’une nouvelle ressource d'application :
- Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
- Accédez à Identité>Applications>Inscriptions d’applications, puis sélectionnez Nouvelle inscription.
- Entrez un nom d’affichage pour votre application.
- Pour les types de comptes pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement si votre point de terminaison est accessible uniquement à partir de votre organisation. Sélectionnez Comptes dans n’importe quel annuaire organisationnel pour les services multilocataire accessibles publiquement.
- Sélectionnez Inscrire.
Vous n’avez pas besoin de spécifier une valeur d’URI de redirection.
La page de Présentation de l’application s’affiche une fois l’inscription terminée. Notez l’ID d’annuaire (locataire) et les valeurs d’ID d’application (client), car elles seront utilisées dans le code source de votre service. Suivez l’un des guides dans les exemples de code Plateforme d’identités Microsoft qui ressemblent à votre environnement de service et votre architecture pour déterminer comment configurer et utiliser votre nouvelle application.
Définir un URI d’ID d’application
Avant de pouvoir configurer une étendue pour votre point de terminaison, vous devez définir un URI d’ID d’application pour votre ressource d'application. Cet ID sera utilisé par le champ Resource
de l’enregistrement Aad
dans votre connecteur. La valeur est définie sur l’URL racine de votre service. Vous pouvez également utiliser la valeur par défaut générée par Microsoft Entra - api://{clientId}
- où {clientId}
est l'ID client de votre ressource d'application.
- Allez sur la page de Présentation des ressources d'applications.
- Dans l’écran central, sous Essentiels, sélectionnez Ajouter un URI d’ID d’application.
- Entrez un URI ou acceptez la valeur par défaut en fonction de votre ID d'application.
- Sélectionnez Enregistrer et continuer.
Les exemples de ce guide supposent que vous utilisez le format d’URI d’ID d’application par défaut (par exemple - api://44994a60-7f50-4eca-86b2-5d44f873f93f
).
Configurer une étendue
Les étendues sont utilisées pour définir des autorisations ou des fonctionnalités pour accéder aux API ou aux données de votre service. La liste des étendues prises en charge est spécifique au service. Vous souhaitez déterminer un ensemble minimal d’étendues requises par votre connecteur. Vous devez préauthoriser au moins une étendue pour les ID client Power Query.
Si votre ressource d'application a déjà des étendues définies, vous pouvez passer à l’étape suivante.
Si votre service n’utilise pas d’autorisations basées sur l’étendue, vous pouvez toujours définir une seule étendue utilisée par le connecteur. Vous pouvez (éventuellement) utiliser cette étendue dans votre code de service à l’avenir.
Dans cet exemple, vous définissez une étendue unique appelée Data.Read.
- Allez sur la page de Présentation des ressources d'applications.
- Sous Gérer, sélectionnez Exposer une API > Ajouter une étendue.
- Pour Nom de l’étendue, entrez Data.Read.
- Sélectionnez les options Administrateurs et utilisateurs pour Qui peut donner son consentement.
- Renseignez les autres zones de nom d’affichage et de description.
- Vérifiez que l’État défini est Activé.
- Sélectionnez Ajouter une étendue.
Préauthoriser les applications clientes Power Query
Les connecteurs Power Query utilisent deux ID client Microsoft Entra différents. La pré-authentification des étendues pour ces ID client simplifie l’expérience de connexion.
ID client | Nom d’application | Utilisé par |
---|---|---|
a672d62c-fc7b-4e81-a576-e60dc46e951d | Power Query pour Excel | Environnements de bureau |
b52893c8-bc2e-47fc-918b-77022b299bbc | Actualisation des données Power BI | Environnements de service |
Pour préauthoriser les ID client Power Query :
- Allez sur la page de Présentation des ressources d'applications.
- Sous Gérer, sélectionnez Exposer une API.
- Sélectionnez Ajouter une application cliente.
- Entrez l’un des ID client Power Query.
- Sélectionnez les étendues autorisées appropriées.
- Sélectionnez Ajouter une application.
- Répétez les étapes 3 à 6 pour chaque ID client Power Query.
Activer le type d’authentification Aad dans votre connecteur
La prise en charge de Microsoft Entra ID est activée pour votre connecteur en ajoutant le type d’authentification Aad
à l’enregistrement de source de données de votre connecteur.
MyConnector = [
Authentication = [
Aad = [
AuthorizationUri = "https://login.microsoftonline.com/common/oauth2/authorize",
Resource = "{YourApplicationIdUri}"
Scope = ".default"
]
]
];
Remplacez la valeur {YourApplicationIdUri}
par la valeur d’URI d’ID d’application pour votre ressource d'application, par exemple, api://44994a60-7f50-4eca-86b2-5d44f873f93f
.
Dans cet exemple :
- AuthorizationUri : URL Microsoft Entra utilisée pour lancer le flux d’authentification.
La plupart des connecteurs peuvent encoder cette valeur en
https://login.microsoftonline.com/common/oauth2/authorize
, mais elles peuvent également être déterminées dynamiquement si votre service prend en charge les comptes Azure B2B/Invité. Pour plus d’informations, allez à exemples. - Ressource : URI d’ID d’application de votre connecteur.
- Étendue : utilisez l’étendue .default pour recevoir automatiquement toutes les étendues pré-autorisées. L’utilisation de
.default
vous permet de modifier les étendues de connecteur requises dans votre inscription d’application de ressource, sans avoir à mettre à jour votre connecteur.
Pour plus d’informations et d’options de configuration de la prise en charge de Microsoft Entra dans votre connecteur, accédez à la page d’exemples d’authentification Microsoft Entra ID.
Régénérez votre connecteur et vous devez maintenant être en mesure de vous authentifier auprès de votre service à l’aide de Microsoft Entra ID.
Dépannage
Cette section décrit les erreurs courantes que vous pouvez recevoir si votre application Microsoft Entra est mal configurée.
L’application Power Query n’a pas été pré-autorisée
access_denied : AADSTS650057 : ressource non valide. Le client a demandé l’accès à une ressource qui n’est pas listée dans les autorisations demandées dans l’inscription d’application du client. ID d'application client : a672d62c-fc7b-4e81-a576-e60dc46e951d(Microsoft Power Query pour Excel). Valeur de ressource de la requête : 44994a60-7f50-4eca-86b2-5d44f873f93f. ID d'application de ressource : 44994a60-7f50-4eca-86b2-5d44f873f93
Cette erreur peut s’afficher si votre ressource d'application n’a pas préautorisé les applications clientes Power Query. Suivez les étapes pour préauthoriser les ID client de Power Query.
L’enregistrement Aad du connecteur ne contient pas de valeur d’étendue
access_denied : AADSTS650053 : l’application « Microsoft Power Query pour Excel » a demandé l’étendue « user_impersonation » qui n’existe pas sur la ressource « 44994a60-7f50-4eca-86b2-5d44f873f93f ». Contactez le fournisseur de l’application.
Power Query demande l’étendue user_impersonation
si l’enregistrement du connecteur Aad
ne définit pas de champ Scope
, ou si la valeur Scope
est null
. Vous pouvez résoudre ce problème en définissant une valeur Scope
dans le connecteur. L’utilisation de l’étendue .default
est recommandée, mais vous pouvez également spécifier des étendues au niveau du connecteur (par exemple - Data.Read
).
L’étendue ou l’application cliente nécessite l’approbation de l’administrateur
Nécessite l'approbation de l'administrateur. <Le locataire> a besoin d'une autorisation d'accès aux ressources de votre organisation que seul un administrateur peut lui accorder. Veuillez demander à un administrateur d’accorder une autorisation pour cette application avant de pouvoir l’utiliser.
Un utilisateur peut recevoir cette erreur pendant son flux d’authentification si votre ressource d'application nécessite des autorisations restreintes par l’administrateur ou si le locataire de l’utilisateur empêche les utilisateurs non administrateurs de consentir à de nouvelles demandes d’autorisation d’application. Vous pouvez éviter ce problème en veillant à ce que votre connecteur ne nécessite pas d’étendues restreintes par l’administrateur et en préauthorisant les ID client Power Query pour votre ressource d'application.