Créer une inscription d’application à utiliser avec Azure Digital Twins
Article
Cet article explique comment créer une inscription d’applicationMicrosoft Entra ID qui peut accéder à Azure Digital Twins. Cet article inclut des étapes pour le portail Azure et Azure CLI.
Lors de l’utilisation d’Azure Digital Twins, il est courant d’interagir avec l’instance par le biais d’applications clientes. Ces applications doivent s’authentifier auprès d’Azure Digital Twins, et certains des mécanismes d’authentification que les applications peuvent utiliser impliquent une inscription d’application.
L’inscription de l’application n’est pas obligatoire pour tous les scénarios d’authentification. Toutefois, si vous utilisez une stratégie d’authentification ou un exemple de code qui nécessite une inscription d’application, cet article vous montre comment en configurer une et lui accorder des autorisations aux API Azure Digital Twins. Il explique également comment collecter les valeurs importantes dont vous aurez besoin pour utiliser l’inscription d’application lors de l’authentification.
Conseil
Vous préférerez peut-être configurer une nouvelle inscription d’application chaque fois que vous en aurez besoin, ou pour effectuer cette opération une seule fois, en établissant une inscription d’application unique qui sera partagée entre tous les scénarios qui l’exigent.
Création de l’inscription
Commencez par sélectionner l’onglet ci-dessous pour votre interface préférée.
Accédez à Microsoft Entra ID dans le portail Azure (vous pouvez utiliser ce lien ou le trouver à l’aide de la barre de recherche du portail). Sélectionnez Inscriptions d’applications dans le menu service, puis + Nouvelle inscription.
Dans la page Inscrire une application qui suit, renseignez les valeurs demandées :
Nom : nom d’affichage d’application Microsoft Entra à associer à l’inscription.
Types de comptes pris en charge : sélectionnez Comptes dans cet annuaire organisationnel uniquement (Annuaire par défaut uniquement – Locataire unique).
Lorsque vous avez terminé, sélectionnez le bouton S’inscrire.
Une fois la configuration de l’inscription terminée, le portail vous redirige vers la page de détails correspondante.
Commencez par créer un fichier manifeste, qui contient les informations de service dont votre inscription d’application aura besoin pour accéder aux API Azure Digital Twins. Ensuite, vous allez passer ce fichier dans une commande CLI pour créer l’inscription.
Créer un manifeste
Créez sur votre ordinateur un fichier .json nommé manifest.json. Copiez ce texte dans le fichier :
La valeur statique 0b07f429-9f4b-4714-9392-cc5e8e80c8b0 est l’ID de ressource pour le point de terminaison du service Azure Digital Twins, dont votre inscription d’application aura besoin pour accéder aux API Azure Digital Twins.
Enregistrez le fichier terminé.
Utilisateurs Cloud Shell : Charger le manifeste
Si vous utilisez Azure Cloud Shell pour ce tutoriel, vous devez charger le fichier manifeste que vous avez créé dans Cloud Shell, afin que vous puissiez y accéder dans les commandes Cloud Shell lors de la configuration de l’inscription de l’application. Si vous utilisez une installation locale d’Azure CLI, vous pouvez passer à l’étape suivante, Exécuter la commande de création.
Pour charger le fichier, accédez à la fenêtre Cloud Shell dans votre navigateur. Sélectionnez l’icône « Charger/Télécharger des fichiers » et choisissez « Charger ».
Accédez au fichier manifest.json sur votre machine et sélectionnez Ouvrir. Cela a pour effet de charger le fichier à la racine de votre stockage Cloud Shell.
Exécuter la commande de création
Dans cette section, vous allez exécuter une commande CLI pour créer une inscription d’application avec les paramètres suivants :
Nom de votre choix
Disponible uniquement pour les comptes dans l’annuaire par défaut (un seul locataire)
URL de réponse web de http://localhost
Autorisations de lecture/écriture sur les API Azure Digital Twins
Exécutez la commande suivante pour créer l’inscription. Si vous utilisez Cloud Shell, le chemin d’accès au fichier manifest.json est @manifest.json.
az ad app create --display-name <app-registration-name> --sign-in-audience AzureADMyOrg --required-resource-accesses "manifest.json"
La sortie de la commande contient des informations sur l’inscription d’application que vous avez créée.
Vérifier la réussite de l’exécution
Vous pouvez confirmer que les autorisations Azure Digital Twins ont été accordées en recherchant les champs suivants dans la sortie de la commande de création, sous requiredResourceAccess. Vérifiez que leurs valeurs correspondent à ce qui est répertorié ci-dessous.
resourceAccess > id est 4589bd03-58cb-4e6c-b17f-b580e39652f8
resourceAppId est 0b07f429-9f4b-4714-9392-cc5e8e80c8b0
Collecter les valeurs importantes
Ensuite, collectez certaines valeurs importantes sur l’inscription d’application, dont vous aurez besoin pour utiliser l’inscription d’application afin d’authentifier une application cliente. Ces valeurs incluent :
Nom de ressource : lors de l’utilisation d’Azure Digital Twins, le nom de la ressource est http://digitaltwins.azure.net.
ID client
ID de client
clé secrète client
Les sections suivantes décrivent comment trouver les valeurs restantes.
Collecter l’ID de client et l’ID de locataire
Pour utiliser l’inscription d’application pour l’authentification, vous devrez peut-être fournir son ID d’application (client) et son ID d’annuaire (locataire). Ici, vous allez collecter ces valeurs afin de pouvoir les enregistrer et les utiliser chaque fois qu’elles sont nécessaires.
Vous pouvez collecter les valeurs de l’ID client et de l’ID locataire à partir de la page de détails de l’inscription d’application dans le portail Azure :
Prenez note de l’ID d’application (client) et de l’ID de répertoire (locataire) affichés sur votre page.
Vous trouverez l’ID d’application dans la sortie de la commande az ad app create que vous avez exécutée précédemment (ou affichez à nouveau les informations à l’aide d’az ad app show).
Recherchez appIddans le résultat :
Vous pouvez afficher votre ID de locataire dans l’interpréteur de commandes à l’aide de la commande az account tenant list.
Notes
Ce groupe de commandes est expérimental et en cours de développement.
Collecter le secret client
Configurez une clé secrète client pour votre inscription d’application, que d’autres applications peuvent utiliser pour s’authentifier.
Démarrez sur la page d’inscription de votre application dans le portail Azure.
Sélectionnez Certificats et secrets dans le menu de l’inscription, puis + Nouveau secret client.
Entrez les valeurs de votre choix pour Description et Expire le, puis sélectionnez Ajouter.
Vérifiez que le secret client est visible dans la page Certificats et secrets avec les champs Expire et Valeur.
Notez l’ID du secret et la Valeur en vue de les utiliser plus tard (vous pouvez également les copier dans le Presse-papiers avec les icônes Copier).
Important
Veillez à copier les valeurs tout de suite et à les stocker en lieu sûr, car vous ne pourrez plus y accéder par la suite. Si vous ne les retrouvez pas, vous devrez créer un autre secret.
Pour créer un secret client pour votre inscription d’application, vous avez besoin de la valeur d’ID client de votre inscription d’application récupérée lors de l’étape précédente. Utilisez la valeur de la commande CLI suivante pour créer un nouveau secret :
az ad app credential reset --id <client-ID> --append
Vous pouvez également ajouter des paramètres facultatifs à cette commande pour spécifier une description des informations d’identification, une date de fin et d’autres détails. Pour plus d’informations sur la commande et ses paramètres, consultez la documentation sur az ad app credential reset.
Les informations générées par cette commande décrivent le secret client que vous avez créé.
Copiez la valeur de password à utiliser lorsque vous avez besoin du secret client pour l’authentification.
Important
Veillez à copier la valeur maintenant et à la stocker en lieu sûr, car vous ne pourrez plus y accéder par la suite. Si vous perdez cette valeur, vous devrez recréer un nouveau secret.
Fournir des autorisations Azure Digital Twins
Configurez ensuite l’inscription d’application que vous avez créée avec les autorisations pour accéder à Azure Digital Twins. Il existe deux types d’autorisations nécessaires :
Une attribution de rôle pour l’inscription d’application dans l’instance Azure Digital Twins
Des autorisations d’API pour permettre à l’application de lire et d’écrire dans les API Azure Digital Twins
Créer une attribution de rôle
Dans cette section, vous allez créer une attribution de rôle pour l’inscription d’application sur l’instance Azure Digital Twins. Ce rôle déterminera les autorisations que l’inscription d’application détient sur l’instance. Vous devez donc sélectionner le rôle qui correspond au niveau d’autorisation approprié pour votre situation. Propriétaire des données Azure Digital Twins est un rôle possible. Pour obtenir la liste complète des rôles et leurs descriptions, consultez Rôles intégrés Azure.
+ Sélectionner des membres, puis recherchez le nom de l’inscription de l’application
Une fois le rôle sélectionné, passez-le en revue et attribuez-le.
Vérifier l'attribution de rôle
Vous pouvez afficher l’attribution de rôle que vous avez configurée sous Contrôle d’accès (IAM) > Attributions de rôle.
L’inscription d’application doit apparaître dans la liste, ainsi que le rôle que vous lui avez attribué.
Utilisez la commande az dt role-assignment create pour attribuer le rôle (doit être exécutée par un utilisateur avec les autorisations suffisantes dans l’abonnement Azure). La commande vous oblige à passer le nom du rôle que vous souhaitez attribuer, le nom de votre instance Azure Digital Twins et le nom ou l’ID d’objet de l’inscription d’application.
az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<name-or-ID-of-app-registration>" --role "<appropriate-role-name>"
Les résultats de cette commande décrivent l’attribution de rôle qui a été créée pour l’inscription de l’application.
Pour vérifier davantage l’attribution du rôle, vous pouvez le rechercher dans le portail Azure (passez à l’onglet Instructions du portail).
Fournir des autorisations d’API
Dans cette section, vous allez accorder les autorisations de lecture/écriture de base de votre application aux API Azure Digital Twins.
Si vous utilisez Azure CLI et que vous avez déjà configuré l’inscription de votre application avec un fichier manifeste, cette étape est déjà effectuée. Si vous utilisez le portail Azure pour créer votre inscription d’application, passez par le reste de cette section pour configurer des autorisations d’API.
À partir de la page du portail pour l’inscription de votre application, sélectionnez Autorisations des API dans le menu. Sur la page d’autorisations suivantes, sélectionnez le bouton +Ajouter une autorisation.
Dans la page Demander des autorisations d’API qui suit, basculez vers l’onglet API utilisées par mon organisation et recherchez Azure Digital Twins. Sélectionnez Azure Digital Twins dans les résultats de la recherche pour continuer à attribuer des autorisations pour les API Azure Digital Twins.
Ensuite, vous allez sélectionner les autorisations à accorder pour ces API. Développez l’autorisation Lecture (1), et activez la case lecture.Écriture pour accorder cette inscription d’application et les autorisations de lecture et d’écriture.
Lorsque vous avez terminé, sélectionnez Ajouter des autorisations.
Vérifier les autorisations d’API
Dans la page Autorisations des API, vérifiez qu’il existe désormais une entrée pour Azure Digital Twins reflétant les autorisations Lecture/Écriture :
Vous pouvez également vérifier la connexion à Azure Digital Twins dans le fichier manifest.json de l’inscription de l’application, qui a été automatiquement mise à jour avec les informations Azure Digital Twins lorsque vous avez ajouté les autorisations des API.
Pour ce faire, sélectionnez Manifeste dans le menu pour afficher le code du manifeste de l’inscription de l’application. Faites défiler la fenêtre de code vers le bas et recherchez les champs et valeurs suivants sous requiredResourceAccess :
"resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0" (Il s’agit de l’ID de ressource du point de terminaison de service Azure Digital Twins.)
"resourceAccess">"id": "4589bd03-58cb-4e6c-b17f-b580e39652f8" (Il s’agit de l’ID d’autorisation de l’autorisation déléguée Read.Write dans Azure Digital Twins.)
Ces valeurs sont indiquées dans la capture d’écran ci-dessous :
Il est possible que votre organisation exige des actions supplémentaires de la part des propriétaires ou administrateurs d’abonnement pour finir de configurer l’inscription d’application. Les étapes requises peuvent varier en fonction des paramètres spécifiques de votre organisation. Choisissez un onglet ci-dessous pour afficher les informations adaptées à votre interface préférée.
Voici quelques activités courantes qu’un propriétaire ou administrateur de l’abonnement peuvent devoir effectuer. Ces opérations et d’autres peuvent être effectuées à partir de la page Inscriptions d’applications Microsoft Entra dans le portail Azure.
Accordez le consentement administrateur pour l’inscription d’application. Votre organisation peut avoir activé globalement l’option Consentement administrateur requis dans Microsoft Entra ID pour toutes les inscriptions d’applications au sein de votre abonnement. Si c’est le cas, le propriétaire/l’administrateur devra sélectionner ce bouton pour votre société dans la page Autorisations de l’API de l’inscription d’application pour que celle-ci soit valide :
Si le consentement a été accordé avec succès, l’entrée pour Azure Digital Twins doit alors indiquer une valeur d’ÉtatAccordé pour (votre société)
Activer l’accès client public
Définir des URL de réponse spécifiques pour l’accès web et au bureau
Autoriser les flux d’authentification OAuth2 implicites
Voici quelques activités courantes qu’un propriétaire ou administrateur de l’abonnement peuvent devoir effectuer.
Accordez le consentement administrateur pour l’inscription d’application. Votre organisation peut avoir activé globalement l’option Consentement administrateur requis dans Microsoft Entra ID pour toutes les inscriptions d’applications au sein de votre abonnement. Dans ce cas, le propriétaire/administrateur peut avoir besoin d’accorder des autorisations d’application ou déléguées supplémentaires.
Activez l’accès client public en ajoutant --set publicClient=true à une commande de création ou de mise à jour pour l’inscription.
Définissez des URL de réponse spécifiques pour l’accès web et au bureau à l’aide du paramètre --reply-urls. Pour plus d’informations sur l’utilisation de ce paramètre avec des commandes az ad, consultez la documentation sur az ad app.
Autorisez les flux d’authentification OAuth2 implicites à l’aide du paramètre --oauth2-allow-implicit-flow. Pour plus d’informations sur l’utilisation de ce paramètre avec des commandes az ad, consultez la documentation sur az ad app.
Dans cet article, vous configurez une inscription d’application Microsoft Entra qui peut être utilisée pour authentifier des applications clientes avec les API Azure Digital Twins.
Vous lirez ensuite des informations sur les mécanismes d’authentification, y compris ceux qui utilisent les inscriptions d’applications et d’autres qui ne le font pas :
Le métier développé en interne doit être inscrit dans Microsoft Entra ID et attribué à des utilisateurs pour une solution Azure sécurisée. Découvrez comment implémenter l’inscription des applications.
Expliquez les fonctionnalités de Microsoft Entra ID pour moderniser des solutions d’identité, implémenter des solutions hybrides et une gouvernance des identités.