Ajouter une application d'API web à votre locataire Azure Active Directory B2C

Cet article explique comment inscrire des ressources d’API web dans votre locataire Azure Active Directory B2C (Azure AD B2C) afin qu’elles puissent accepter et traiter des demandes d’applications clientes qui présentent un jeton d’accès.

Pour inscrire une application dans votre locataire Azure AD B2C, vous pouvez utiliser la nouvelle expérience unifiée Inscriptions d’applications, ou l’expérience héritée Applications (héritées) du portail Azure. En savoir plus sur la nouvelle expérience.

Inscriptions des applications

1. Connectez-vous au portail Azure.
2. Si vous avez accès à plusieurs locataires, sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre locataire Azure AD B2C à partir du menu Répertoires + abonnements.
3. Dans le menu de gauche, sélectionnez Azure AD B2C. Ou sélectionnez Tous les services, puis recherchez et sélectionnez Azure AD B2C.
4. Sélectionnez Inscriptions d’applications, puis Nouvelle inscription.
5. Entrez un Nom pour l’application. Par exemple, webapi1.
6. Sous URI de redirection, sélectionnez Web, puis entrez un point de terminaison où Azure AD B2C doit retourner les jetons demandés par votre application. Dans une application de production, vous pouvez définir l’URI de redirection sur un point de terminaison de type https://localhost:5000. Lors du développement ou du test, vous pouvez le définir sur https://jwt.ms, une application Web Microsoft qui affiche le contenu décodé d’un jeton (le contenu du jeton ne quitte jamais votre navigateur). Vous pouvez ajouter des URI de redirection à vos applications inscrites à tout moment et les modifier.
7. Sélectionnez Inscription.
8. Enregistrez l’ID d’application (client) pour l’utiliser dans votre code d’API web.

Applications (héritées)

1. Connectez-vous au portail Azure.
2. Si vous avez accès à plusieurs locataires, sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre locataire Azure AD B2C à partir du menu Répertoires + abonnements.
3. Choisissez Tous les services dans le coin supérieur gauche du portail Azure, puis recherchez et sélectionnez Azure AD B2C.
4. Sélectionnez Applications (héritées) , puis Ajouter.
5. Entrez un nom pour l’application. Par exemple, webapi1.
6. Pour inclure l’application web/l’API web et autoriser un flux implicite, sélectionnez Oui.
7. Pour l’URL de réponse, entrez un point de terminaison où Azure AD B2C doit retourner les jetons demandés par votre application. Dans votre application de production, vous pouvez définir l’URL de réponse sur une valeur comme https://localhost:44332. À des fins de test, définissez cette URL sur https://jwt.ms.
8. Pour l’L’URI de l’ID d’application, entrez l’identificateur utilisé pour votre API web. L’identificateur complet URI, y compris le domaine, est généré pour vous. Par exemple : https://contosotenant.onmicrosoft.com/api.
9. Sélectionnez Create (Créer).
10. Sur la page des propriétés, enregistrez l'ID d'application que vous utiliserez pour configurer l'application web.

Configurer des étendues

Les étendues permettent de gérer l'accès aux ressources protégées. Elles sont utilisées par l’API web pour implémenter le contrôle d’accès basé sur les étendues. Par exemple, les utilisateurs de l’API web peuvent avoir un accès en lecture et en écriture, ou les utilisateurs de l’API web peuvent avoir l’accès en lecture uniquement. Dans ce didacticiel, vous allez utiliser des étendues pour définir des autorisations d’accès en lecture et en écriture pour l’API web.

Inscriptions des applications

1. Sélectionnez Inscriptions d’applications.
2. Sélectionnez l’application webapi1 pour ouvrir sa page Vue d’ensemble.
3. Sous Gérer, sélectionnez Exposer une API.
4. À côté de l’URI d’ID d’application, sélectionnez le lien Ajouter.
5. Remplacez la valeur par défaut (un GUID) par api, puis sélectionnez Enregistrer. L’URI complet est affiché et doit être au format https://your-tenant-name.onmicrosoft.com/api. Lorsque votre application web demande un jeton d’accès pour l’API, elle doit ajouter cet URI en tant que préfixe de chaque étendue que vous définissez pour l’API.
6. Sous Étendues définies par cette API, sélectionnez Ajouter une étendue.
7. Entrez les valeurs suivantes pour créer une étendue qui définit l’accès en lecture à l’API, puis sélectionnez Ajouter une étendue :
   1. Nom de l’étendue : demo.read
   2. Nom d’affichage du consentement administrateur : Read access to demo API
   3. Description du consentement de l’administrateur : Allows read access to the demo API
8. Sélectionnez Ajouter une étendue, entrez les valeurs suivantes pour ajouter une étendue qui définit l’accès en écriture à l’API, puis sélectionnez Ajouter une étendue :
   1. Nom de l’étendue : demo.write
   2. Nom d’affichage du consentement administrateur : Write access to demo API
   3. Description du consentement de l’administrateur : Allows write access to the demo API

Applications (héritées)

1. Sélectionnez Applications (héritées) .
2. Sélectionnez l’application webapi1 pour ouvrir sa page Propriétés.
3. Sélectionnez Étendues publiées. Les étendues publiées peuvent être utilisées pour accorder à une application cliente certaines autorisations d’accès à l’API web.
4. Pour ÉTENDUE, entrez demo.read puis, pour DESCRIPTION, entrez Read access to the web API.
5. Pour ÉTENDUE, entrez demo.write puis, pour DESCRIPTION, entrez Write access to the web API.
6. Sélectionnez Enregistrer.

Accorder des autorisations

Pour appeler une API web protégée à partir d'une application, vous devez accorder à cette application les autorisations d'accès à l'API. Par exemple, dans Tutoriel : Inscrire une application dans Azure Active Directory B2C, une application web est enregistrée dans Azure AD B2C nommée webapp1. Vous pouvez utiliser cette application pour appeler l'API web.

Inscriptions des applications

1. Sélectionnez Inscriptions d’applications, puis sélectionnez l’application web qui doit avoir accès à l’API. Par exemple, webapp1.
2. Sous Gérer, sélectionnez Autorisations de l’API.
3. Sous Autorisations configurées, sélectionnez Ajouter une autorisation.
4. Sélectionnez l’onglet Mes API.
5. Sélectionnez l’API à laquelle l’application web doit être autorisée à accéder. Par exemple, webapi1.
6. Sous Autorisation, développez demo, puis sélectionnez les étendues que vous avez définies auparavant. Par exemple, demo.read et demo.write.
7. Sélectionnez Ajouter des autorisations.
8. Sélectionnez Accorder le consentement de l’administrateur pour (nom de votre abonné) .
9. Si vous êtes invité à sélectionner un compte, sélectionnez le compte administrateur actuellement connecté ou connectez-vous avec un compte de votre locataire Azure AD B2C ayant au minimum le rôle Administrateur d’application cloud.
10. Sélectionnez Oui.
11. Sélectionnez Actualiser, puis vérifiez que la mention « Accordé pour ... » apparaît dans État pour les deux étendues.

Applications (héritées)

1. Sélectionnez Applications (héritées) , puis sélectionnez l’application web qui doit avoir accès à l’API. Par exemple, webapp1.
2. Sélectionnez Accès aux API, puis Ajouter.
3. Dans la liste déroulante Sélectionner une API, sélectionnez l’API à laquelle l’application web doit être autorisée à accéder. Par exemple, webapi1.
4. Dans la liste déroulante Sélectionner des étendues, sélectionnez les étendues que vous avez définies précédemment. Par exemple, demo.read et demo.write.
5. Sélectionnez OK.

Votre application est inscrite pour appeler l'API web protégée. Un utilisateur s'authentifie auprès d'Azure AD B2C pour utiliser l'application. L'application obtient d'Azure AD B2C l'autorisation d'accéder à l'API web protégée.