Objets application et principal du service dans Microsoft Entra ID
Cet article décrit l’inscription d’application, les objets application et les principaux du service dans Microsoft Entra ID : ce qu’ils sont, comment ils sont utilisés et comment ils sont liés entre eux. Un exemple de scénario mutualisé est également présenté pour illustrer la relation entre l’objet application d’une application et les objets principal de service correspondants.
Inscription de l’application
Pour déléguer des fonctions de gestion des identités et des accès à Microsoft Entra ID, une application doit être inscrite auprès d’un locataire Microsoft Entra. Lorsque vous inscrivez votre application auprès de Microsoft Entra ID, vous créez une configuration d’identité pour votre application, ce qui lui permet de s’intégrer à Microsoft Entra ID. Lorsque vous inscrivez une application, vous choisissez s’il s’agit d’une application à locataire unique ou multi-locataire, et vous pouvez définir en option un URI de redirection. Pour obtenir des instructions pas à pas sur l’inscription d’une application, consultez le guide de démarrage rapide relatif à l’inscription des applications.
Une fois l’inscription de l’application terminée, vous disposez d’une instance globale unique de l’application (l’objet de l’application) qui réside dans votre locataire ou annuaire de base. Vous disposez également d’un ID global unique pour votre application (l’ID de l’application ou du client). Vous pouvez ajouter des clés secrètes ou des certificats ainsi que des étendues pour faire fonctionner votre application, personnaliser son image dans la boîte de dialogue de connexion, et bien plus encore.
Si vous inscrivez une application, un objet application et un objet principal de service sont automatiquement créés dans votre locataire d’origine. Si vous inscrivez/créez une application à l’aide des API Microsoft Graph, la création de l’objet principal de service est une étape distincte.
Objet application
Une application Microsoft Entra est définie par son seul et unique objet d’application, qui se trouve dans le locataire Microsoft Entra où l’application a été inscrite (aussi appelé locataire de « base » de l’application). Un objet application est utilisé en tant que modèle ou blueprint pour créer un ou plusieurs objets principal de service. Un principal de service est créé dans chaque locataire dans lequel l’application est utilisée. À l’image d’une classe en programmation orientée objet, l’objet d’application a des propriétés statiques qui sont appliquées à tous les principaux de service créés (ou instances d’application).
L’objet application décrit trois aspects d’une application :
- Comment le service peut émettre des jetons pour accéder à l’application
- Les ressources auxquelles l’application peut avoir besoin d’accéder
- Les actions que l’application peut effectuer
Vous pouvez utiliser la page Inscriptions d’applications dans le centre d’administration Microsoft Entra pour lister et gérer les objets application dans votre locataire d’origine.
L’entité Application de Microsoft Graph définit le schéma pour les propriétés d’un objet d’application.
Objet principal du service
Pour accéder aux ressources qui sont sécurisées par un locataire Microsoft Entra, l’entité qui nécessite l’accès doit être représentée par un principal de sécurité. Cette exigence est valable aussi bien pour les utilisateurs (principal d’utilisateur) que pour les applications (principal de service). Le principal de sécurité définit la stratégie d’accès et les autorisations pour l’utilisateur ou l’application du locataire Microsoft Entra. Cela rend possibles les fonctionnalités de base, telles que l’authentification de l’application ou de l’utilisateur lors de la connexion, et l’autorisation lors de l’accès aux ressources.
Il existe trois types de principal de service :
Application : le type de principal de service est la représentation locale, ou instance d’application, d’un objet d’application global dans un seul locataire ou annuaire. Dans ce cas, un principal de service est une instance concrète créée à partir de l’objet application, qui hérite de certaines propriétés de celui-ci. Un principal de service est créé dans chaque locataire dans lequel l’application est utilisée, et fait référence à l’objet application global unique. L’objet principal de service définit ce que l’application peut réellement faire dans le locataire spécifique, qui peut accéder à l’application, ainsi que les ressources auxquelles l’application peut accéder.
Lorsqu’une application reçoit l’autorisation d’accéder aux ressources d’un locataire (après inscription ou consentement), un objet de principal de service est créé. Un principal de service est créé automatiquement lorsque vous inscrivez une application. Vous pouvez également créer des objets principal de service dans un locataire à l’aide d’Azure PowerShell, d’Azure CLI, de Microsoft Graph et d’autres outils.
Identité managée : ce type de principal de service est utilisé pour représenter une identité managée. Les identités managées permettent aux développeurs de ne plus avoir à gérer les informations d'identification. Les identités gérées fournissent une identité que les applications peuvent utiliser lors de la connexion à des ressources prenant en charge l’authentification Microsoft Entra. Lorsqu’une identité managée est activée, un principal de service représentant cette identité managée est créé dans votre locataire. Les principaux de service représentant des identités managées peuvent se voir accorder des accès et des autorisations, mais ne peuvent pas être mis à jour ni modifiés directement.
Hérité : ce type de principal de service représente une application héritée, à savoir une application créée avant l’introduction d’inscriptions d’applications ou la création d’une application par le biais d’expériences héritées. Un principal de service hérité peut avoir des informations d’identification, des noms de principal de service, des URL de réponse et d’autres propriétés qu’un utilisateur autorisé peut modifier, mais il n’est pas associé à une inscription d’application. Le principal de service ne peut être utilisé que dans le locataire où il a été créé.
L’entité ServicePrincipal de Microsoft Graph définit le schéma pour les propriétés d’un objet principal de service.
Vous pouvez utiliser la page Application d'entreprise dans le centre d’administration Microsoft Entra pour lister et gérer les principaux de service dans un locataire. Vous pouvez voir les autorisations du principal de service, les autorisations accordées par l’utilisateur, les utilisateurs ayant accordé ces autorisations, les informations de connexion, et bien plus.
Relation entre les objets application et les principaux de service
L’objet application est la représentation globale de votre application à l’usage de tous les locataires, et le principal de service est la représentation locale de l’application à l’usage d’un locataire spécifique. L’objet application fait office de modèle à partir duquel les propriétés communes et par défaut sont dérivées pour une utilisation visant à créer des objets de principal de service correspondants.
Un objet application a :
- Une relation un-à-un (1-1) avec l’application logicielle, et
- Une relation un-à-plusieurs avec son ou ses objets principal de service correspondants
Un principal de service doit être créé dans chaque locataire sur lequel l’application est utilisée, ce qui lui permet d’établir une identité pour la connexion et/ou l’accès aux ressources sécurisées par le locataire. Une application à locataire unique n’a qu’un seul principal de service (dans son locataire de base), créé et pouvant être utilisé pendant l’inscription de l’application. Une application multi-locataire a également un principal de service créé dans chaque locataire où un utilisateur de ce locataire a consenti à son utilisation.
Répertorier les principaux de service associés à une application
Vous pouvez trouver les principaux de service associés à un objet d’application.
Dans le centre d’administration Microsoft Entra, accédez à la vue d’ensemble de l’inscription d’application. Sélectionnez Application managée dans le répertoire local
Conséquences de la modification et de la suppression d’applications
Toute modification apportée à l’objet de votre application est également répercutée dans son objet principal du service, uniquement dans le client de base de l’application (le client où elle a été inscrite). Cela signifie que la suppression d’un objet d’application supprimera également son objet principal de service de locataire d’origine. Toutefois, la restauration de cet objet d’application via l’interface utilisateur des inscriptions d’application ne restaure pas son principal de service correspondant. Pour plus d’informations sur la suppression et la récupération des applications et de leurs objets de principal de service, consultez Supprimer et récupérer des applications et des objets de principal de service.
Exemple
Le schéma suivant illustre la relation entre un objet application d’une application et les objets principal de service correspondants dans le contexte d’un exemple d’application mutualisée appelée RH. Il existe trois locataires Microsoft Entra dans cet exemple de scénario :
- Adatum : le client utilisé par la société qui a développé l’application RH ;
- Contoso : le client utilisé par l’entreprise Contoso, qui est un consommateur de l’application RH ;
- Fabrikam : le client utilisé par l’entreprise Fabrikam, qui est également un consommateur de l’application RH.
Dans cet exemple de scénario :
| Étape | Description |
|---|---|
| 1 | Processus de création des objets application et principal de service dans le locataire de base de l’application. |
| 2 | Lorsque les administrateurs de Contoso et Fabrikam accordent leur consentement, un objet principal du service est créé dans le client Microsoft Entra de leur entreprise et se voit attribuer les autorisations accordées par l’administrateur. Notez également que l’application RH peut être configurée/conçue de manière à autoriser le consentement par les utilisateurs à des fins d’utilisation individuelle. |
| 3 | Les clients consommateurs de l’application RH (Contoso et Fabrikam) ont chacun leur propre objet principal de service. Chacun représente leur utilisation d’une instance de l’application lors de l’exécution, régie par les autorisations consenties par l’administrateur respectif. |
Étapes suivantes
Découvrez comment créer un principal de service.
- Utilisation du centre d’administration Microsoft Entra
- Utilisation de Microsoft Azure PowerShell
- Utilisation de l’interface de ligne de commande Azure
- Utilisation de Microsoft Graph puis de Microsoft Graph Explorer pour interroger à la fois les objets application et principal de service.