Démarrage rapide : Ajouter l’authentification d’application à votre application web s’exécutant sur Azure App Service

Découvrez comment activer l’authentification pour votre application web s’exécutant sur Azure App Service et limiter l’accès aux utilisateurs de votre organisation.

Dans ce tutoriel, vous allez apprendre à :

• Configurer l’authentification pour l’application web.
• Limitez l’accès à l’application web aux utilisateurs de votre organisation en utilisant Microsoft Entra en tant que fournisseur d’identité.

Authentification automatique fournie par App Service

App Service offre une prise en charge intégrée de l’authentification et de l’autorisation, qui vous permet de connecter les utilisateurs sans avoir à écrire du code dans votre application web. L’utilisation du module d’authentification/autorisation facultatif App Service permet de simplifier l’authentification et l’autorisation de votre application. Lorsque vous êtes prêt pour l’authentification et l’autorisation personnalisées, vous générez sur cette architecture.

L’authentification App Service fournit ce qui suit :

• Activez et configurez facilement avec le portail Azure et les paramètres d’application.
• Aucun kit SDK, aucun langage spécifique ni aucune modification du code de l’application ne sont nécessaires.
• Plusieurs fournisseurs d'identité sont pris en charge :
  • Microsoft Entra
  • Compte Microsoft
  • Facebook
  • Google
  • Twitter

Lorsque le module d’authentification/autorisation est activé, chaque requête HTTP entrante le traverse avant d’être gérée par le code de votre application. Pour plus d’informations, consultez Authentification et autorisation dans Azure App Service.

1. Prérequis

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit Azure avant de commencer.

2. Créer et publier une application web sur App Service

Pour ce tutoriel, vous avez besoin d’une application web déployée sur App Service. Vous pouvez utiliser une application web existante, ou vous pouvez suivre un des démarrages rapides pour créer et publier une nouvelle application web sur App Service :

• ASP.NET Core
• Node.JS
• Python
• Java

Que vous utilisiez une application web existante ou que vous en créiez une nouvelle, tenez compte des points suivants :

• Nom de l’application web.
• Groupe de ressources sur lequel l’application web est déployée.

Vous aurez besoin de ces noms tout au long de ce tutoriel.

3. Configurer l’authentification et l’autorisation

Maintenant que vous disposez d’une application web s’exécutant sur App Service, activez l’authentification et l’autorisation. Vous utilisez Microsoft Entra comme fournisseur d’identité. Pour plus d’informations, consultez Configurer l’authentification Microsoft Entra pour votre application App Service.

Configuration de la main-d’œuvre

1. Dans le menu du portail Azure, sélectionnez Groupes de ressources ou recherchez et sélectionnez Groupes de ressources dans n’importe quelle page.

2. Dans Groupes de ressources, recherchez et sélectionnez votre groupe de ressources. Dans Vue d’ensemble, sélectionnez la page de gestion de l’application.

   

3. Dans le menu gauche de votre application, sélectionnez Authentification, puis Ajouter un fournisseur d’identité.

4. Dans la page Ajouter un fournisseur d’identité, sélectionnez Microsoft en tant que fournisseur d’identité pour vous connecter aux identités Microsoft et Microsoft Entra.

5. Pour Type de locataire, sélectionnez Configuration de la main-d’œuvre (locataire actuel) pour les employés et les invités professionnels.

6. Pour Inscription d’application>Type d’inscription d’application, sélectionnez Créer une inscription d’application pour créer une inscription d’application dans Microsoft Entra.

7. Ajoutez un nom pour l’inscription de l’application, un nom d’affichage public.

8. Pour Inscription d’application>Types de comptes pris en charge, sélectionnez Locataire unique actuel afin que seuls les utilisateurs de votre organisation puissent se connecter à l’application web.

9. Dans la section Paramètres d’authentification App service, laissez Authentification sur Exiger une authentification et Requêtes non authentifiées sur HTTP 302 Redirection trouvée : recommandé pour les sites web.

10. En bas de la page Ajouter un fournisseur d’identité, cliquez sur Ajouter pour activer l’authentification pour votre application web.

    

    Vous disposez maintenant d’une application sécurisée par l’authentification et l’autorisation App Service.

    Notes

    Pour autoriser les comptes provenant d'autres locataires, remplacez l'« URL de l'émetteur » par « https://login.microsoftonline.com/common/v2.0  » en modifiant votre « Fournisseur d'identité » à partir du panneau « Authentification ».

Configuration externe

1. Dans le menu du portail Azure, sélectionnez Groupes de ressources ou recherchez et sélectionnez Groupes de ressources dans n’importe quelle page.

2. Dans Groupes de ressources, recherchez et sélectionnez votre groupe de ressources. Dans Vue d’ensemble, sélectionnez la page de gestion de l’application.

   

3. Dans le menu gauche de votre application, sélectionnez Authentification, puis Ajouter un fournisseur d’identité.

4. Dans la page Ajouter un fournisseur d’identité, sélectionnez Microsoft en tant que fournisseur d’identité pour vous connecter aux identités Microsoft et Microsoft Entra.

5. Pour Type de locataire, sélectionnez Configuration externe pour les utilisateurs externes.

6. Sélectionnez Créer une inscription d’application pour créer une inscription d’application, puis sélectionnez le locataire client (externe) que vous souhaitez utiliser.

7. Sélectionnez Configurer pour configurer l’authentification externe.

   

8. Le navigateur ouvre Configurer l’authentification du client. Dans Configurer la connexion, sélectionnez Créer pour créer une expérience de connexion pour vos utilisateurs externes.

9. Entrez un Nom pour le flux d’utilisateur.

10. Pour ce guide de démarrage rapide, sélectionnez E-mail et mot de passe, qui permettent aux nouveaux utilisateurs de s’inscrire et de se connecter à l’aide d’une adresse e-mail comme nom de connexion et d’un mot de passe en tant qu’informations d’identification de premier facteur.

11. Sélectionnez Créer pour créer le flux utilisateur.

    

12. Sélectionnez Suivant pour définir la personnalisation.

13. Ajoutez le logo de votre entreprise, sélectionnez une couleur d’arrière-plan, puis sélectionnez une disposition de connexion.

    

14. Sélectionnez Suivant et Oui, mettre à jour les modifications pour accepter les modifications de personnalisation.

15. Sélectionnez Configurer sous l’onglet Révision pour confirmer la mise à jour du locataire ID externe (CIAM).

16. Le navigateur ouvre Ajouter un fournisseur d’identité.

17. Dans la section Paramètres d’authentification App Service, sélectionnez :

    • Autoriser uniquement les demandes de cette application elle-même pour Besoins de l’application cliente
    • Autoriser les demandes de n’importe quelle identité pour Exigence d’identité
    • Autoriser uniquement les demandes du locataire émetteur pour Exigence du locataire

18. Dans la section Paramètres d’authentification App Service, définissez :

    • Exiger l’authentification pour Authentification
    • Redirection HTTP 302 trouvée – recommandée pour les sites web pour Requêtes non authentifiées
    • Boîte Magasin de jetons

19. En bas de la page Ajouter un fournisseur d’identité, cliquez sur Ajouter pour activer l’authentification pour votre application web.

    

4. Vérifier l’accès limité à l’application web

Lorsque vous avez activé le module d’authentification/autorisation App Service dans la section précédente, une inscription d’application a été créée dans votre locataire de main d’œuvre ou de client (externe). L’inscription d’application a le même nom d’affichage que votre application web.

1. Pour vérifier les paramètres, connectez-vous au centre d’administration Microsoft Entra au minimum en tant que Développeur d’application. Si nécessaire, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers le locataire client (externe) avec votre application web à partir du Répertoires + abonnements. Lorsque vous êtes dans le locataire approprié :

2. Accédez à Identité>Applications>Inscriptions d’applications et sélectionnez Applications>Inscriptions d’applications dans le menu.

3. Sélectionnez l’inscription d’application qui a été créée.

4. Dans la vue d’ensemble, vérifiez que Types de comptes pris en charge a la valeur Mon organisation uniquement.

5. Pour vérifier que l’accès à votre application est limité aux utilisateurs de votre organisation, accédez à la Vue d’ensemble de votre application web et sélectionnez le lien Domaine par défaut. Vous pouvez également démarrer un navigateur en mode privé ou incognito et accéder à https://<app-name>.azurewebsites.net.

   

6. Vous devez être dirigé vers une page de connexion sécurisée, qui permet de s’assurer que les utilisateurs non authentifiés ne sont pas autorisés à accéder au site.

7. Connectez-vous en tant qu’utilisateur de votre organisation pour accéder au site. Vous pouvez également démarrer un nouveau navigateur et essayer de vous connecter à l’aide d’un compte personnel afin de vérifier que les utilisateurs en dehors de l’organisation n’ont pas accès.

5. Nettoyer les ressources

Si vous avez effectué toutes les étapes de ce tutoriel en plusieurs parties, vous avez créé un service d’application, un plan d’hébergement de service d’application et un compte de stockage dans un groupe de ressources. Vous avez également créé une inscription d’application dans Microsoft Entra ID. Lorsque vous n’en avez plus besoin, supprimez ces ressources et l’inscription d’application afin de ne pas continuer à accumuler des frais.

Dans ce tutoriel, vous allez apprendre à :

• Supprimer les ressources Azure créées durant le tutoriel.

Supprimer le groupe de ressources

Dans le portail Azure, sélectionnez Groupes de ressources dans le menu du portail, puis sélectionnez le groupe de ressources qui contient votre service d’application et votre plan de service d’application.

Sélectionnez Supprimer le groupe de ressources pour supprimer le groupe de ressources et toutes les ressources.

L’exécution de cette commande peut prendre plusieurs minutes.

Supprimer l’inscription d’application

Dans le Centre d’administration Microsoft Entra, sélectionnez Applications>Inscriptions d’applications. Sélectionnez ensuite l’application que vous avez créée.

Dans la vue d’ensemble de l’inscription d’application, sélectionnez Supprimer.

Étapes suivantes

Dans ce didacticiel, vous avez appris à :

• Configurer l’authentification pour l’application web.
• Limiter l’accès à l’application web aux utilisateurs de votre organisation.

Accès d’une application de service au stockage