Connecter des utilisateurs dans un exemple d’application web Flask Python
Dans cet article, vous explorez une application web Python Flask sécurisée par ID externe Microsoft Entra. Cet exemple vous guide tout au long de l’expérience de connexion des clients qui s’authentifient dans une application web Flask Python. L’exemple d’application web utilise la bibliothèque d’authentification Microsoft pour Python (MSAL Python) pour gérer l’authentification de l’utilisateur.
Prérequis
- Visual Studio Code ou un autre éditeur de code.
- Python 3+.
- Un client externe. Pour en créer un, choisissez l’une des méthodes suivantes :
- (Recommandé) Utilisez l’extension ID externe Microsoft Entra pour configurer un locataire externe directement dans Visual Studio Code.
- Créez un locataire externe dans le centre d’administration Microsoft Entra.
Inscrire l’application web
ID externe Microsoft Entra doit être informé de l’existence de l’application que vous créez pour permettre à votre application de connecter des utilisateurs avec Microsoft Entra. L’inscription d’application établit une relation de confiance entre l’application et Microsoft Entra. Lorsque vous enregistrez une application, l'ID externe génère un identifiant unique appelé ID d'application (client), une valeur utilisée pour identifier votre application lors de la création de demandes d'authentification.
Les étapes suivantes vous montrent comment inscrire votre application dans le centre d’administration Microsoft Entra :
Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant que Développeur d’application.
Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
Accédez à Identité>Applications>Inscriptions d’applications.
Sélectionnez + Nouvelle inscription.
Dans la page Inscrire une application qui s’affiche ;
- Dans Nom, entrez un nom d’application explicite qui va être présenté aux utilisateurs de l’application, par exemple ciam-client-app.
- Sous Types de comptes pris en charge, sélectionnez Comptes dans cet annuaire organisationnel uniquement.
Sélectionnez Inscription.
Le volet Vue d’ensemble de l’application s’affiche après une inscription réussie. Enregistrez l’ID d’application (client) à utiliser dans le code source de votre application.
Pour spécifier le type de votre application dans votre inscription d’application, suivez ces étapes :
- Sous Gérer, sélectionnez Authentification
- Dans la page Configurations de plateforme, sélectionnez Ajouter une plateforme, puis sélectionnez l’option Web.
- Pour les URI de redirection, entrez
http://localhost:3000/getAToken
. Cet URI de redirection est l’emplacement où le serveur d’autorisation envoie le jeton d’accès. Vous pouvez le personnaliser en fonction de votre cas d’usage. - Sélectionnez Configurer pour enregistrer vos modifications.
Ajouter une clé secrète client d’application
Créez un secret client pour l’application inscrite. L’application utilise la clé secrète client pour prouver son identité quand elle demande des jetons.
- Dans la page inscriptions d’applications, sélectionnez l’application que vous avez créée (par exemple, ciam-client-app) pour ouvrir sa page Vue d’ensemble.
- Sous Gérer, sélectionnez Certificats et secrets.
- Sélectionnez Nouveau secret client.
- Entrez une description pour la clé secrète client dans la zone Description (par exemple clé secrète client ciam).
- Sous Expire, sélectionnez la durée de validité de la clé secrète (en fonction des règles de sécurité de votre organisation), puis sélectionnez Ajouter.
- Enregistrez la Valeur du secret. Vous utiliserez cette valeur pour la configuration dans une étape ultérieure. La valeur du secret ne sera plus affichée et sera irrécupérable une fois que vous quittez les Certificats et secrets. Veillez à l’enregistrer.
Accorder un consentement d’administrateur
Une fois que vous avez inscrit votre application, celle-ci reçoit l’autorisation User.Read. Toutefois, comme le locataire est un locataire externe, les utilisateurs clients ne peuvent pas eux-mêmes consentir à cette autorisation. En qualité d’administrateur, vous devez consentir à ces autorisations au nom de tous les utilisateurs du client :
Dans la page inscriptions d’applications, sélectionnez l’application que vous avez créée (par exemple ciam-client-app) pour ouvrir sa page Vue d’ensemble.
Sous Gérer, sélectionnez Autorisations de l’API.
- Sélectionnez Accorder le consentement administrateur pour <nom de votre client>, puis sélectionnez Oui.
- Sélectionnez Actualiser, puis vérifiez que Accordé pour <votre nom de votre locataire> s’affiche sous État pour l’autorisation.
Créez un flux utilisateur
Suivez ces étapes pour créer un flux utilisateur qu’un client peut utiliser pour se connecter ou s’inscrire à une application.
Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur de flux d’utilisateurs ID externe.
Si vous avez accès à plusieurs tenants, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre tenant externe depuis le menu Répertoires + abonnements.
Accédez à Identité>Identités externes>Flux utilisateur.
Sélectionnez + Nouveau flux utilisateur.
Dans la page Créer :
Entrez un nom pour le flux utilisateur, par exemple, SignInSignUpSample.
Dans la liste Fournisseurs d’identité, sélectionnez Comptes de messagerie. Ce fournisseur d’identité permet aux utilisateurs de se connecter ou de s’inscrire avec leur adresse e-mail.
Sous Comptes de messagerie, vous pouvez sélectionner une des deux options. Pour ce tutoriel, sélectionnez E-mail avec mot de passe.
- E-mail avec mot de passe : permet aux nouveaux utilisateurs de s’inscrire et de se connecter en utilisant une adresse e-mail comme nom de connexion et un mot de passe comme informations d’identification de premier facteur.
- Code secret à usage unique par e-mail : permet aux nouveaux utilisateurs de s’inscrire et de se connecter en utilisant une adresse e-mail comme nom de connexion et un code secret à usage unique par e-mail comme informations d’identification de premier facteur. Le code secret à usage unique par e-mail doit être activé au niveau du locataire (Tous les fournisseurs d’identité>Code secret à usage unique par e-mail) pour que cette option soit disponible au niveau du flux utilisateur.
Sous Attributs utilisateur, choisissez les attributs à collecter auprès de l’utilisateur lors de l’inscription. Sélectionnez Afficher plus afin de choisir des attributs et des revendications pour Pays/région, Nom d’affichage et Code postal. Sélectionnez OK. (Les utilisateurs sont invités à fournir ces attributs que lors de leur première inscription.)
Sélectionnez Create (Créer). Le nouveau flux d’utilisateurs apparaît dans la liste Flux d’utilisateurs. Si nécessaire, actualisez la page.
Pour activer la réinitialisation de mot de passe en libre-service, suivez les étapes décrites dans l’article Activer la réinitialisation de mot de passe en libre-service.
Associer l’application web au flux utilisateur
Pour que les utilisateurs du client voient l’expérience d’inscription ou de connexion lorsqu’ils utilisent votre application, vous devez associer votre application à un flux utilisateur. Bien que de nombreuses applications puissent être associées à votre flux utilisateur, chaque application peut être associée à un seul flux utilisateur.
Dans le menu de la barre latérale, sélectionnez Identité.
Sélectionnez External Identities, puis Flux utilisateur.
Dans la page Flux utilisateur, sélectionnez le nom du flux utilisateur que vous avez créé précédemment, par exemple SignInSignUpSample.
Sous Utiliser, sélectionnez Applications.
Sélectionnez Ajouter une application.
Sélectionnez l’application dans la liste, par exemple, ciam-client-app, ou utilisez la barre de recherche pour la trouver, puis sélectionnez-la.
Choisissez Sélectionner.
Une fois que vous avez associé votre application à un flux utilisateur, vous pouvez le tester en simulant l’expérience d’inscription ou de connexion d’un utilisateur avec votre application à partir du Centre d’administration Microsoft Entra. Pour ce faire, suivez les étapes décrites dans Tester votre flux utilisateur d’inscription et de connexion.
Cloner ou télécharger un exemple d’application web
Pour obtenir l’exemple d’application, vous pouvez le cloner à partir de GitHub ou le télécharger sous la forme d’un fichier .zip.
Pour cloner l’exemple, ouvrez une invite de commandes, accédez à l’emplacement où vous souhaitez créer le projet, puis entrez la commande suivante :
git clone https://github.com/Azure-Samples/ms-identity-docs-code-python.git
Téléchargez le fichier .zip. Extrayez-la dans un chemin d’accès de fichier où la longueur du nom est inférieure à 260 caractères.
Installer les dépendances du projet
Ouvrez une fenêtre de console et passez au répertoire qui contient l’exemple d’application web Flask :
cd flask-web-app
Configurer un environnement virtuel
py -m venv .venv .venv\scripts\activate
Exécutez les commandes suivantes pour installer les dépendances d’applications :
python3 -m pip install -r requirements.txt
Configurer l’exemple d’application web
Ouvrez vos fichiers projet dans Visual Studio Code ou dans l’éditeur que vous utilisez.
Créez un fichier .env dans le dossier racine du projet en vous servant du fichier .env.sample comme guide.
Dans votre fichier .env, fournissez les variables d’environnement suivantes :
CLIENT_ID
, qui est l’ID d’application (client) de l’application que vous avez inscrite précédemment.CLIENT_SECRET
, qui est la valeur du secret d’application que vous avez copiée précédemment.AUTHORITY
, qui est l’URL identifiant une autorité de jeton. Elle doit être au format https://{subdomain}.ciamlogin.com/{subdomain}.onmicrosoft.com. Remplacez subdomain par le sous-domaine de l’annuaire (locataire). Par exemple, si votre domaine principal du locataire estcontoso.onmicrosoft.com
, utilisezcontoso
. Si vous n’avez pas votre sous-domaine de locataire, découvrez comment lire les détails de votre locataire.
Vérifiez que l’URI de redirection est bien configuré. L’URI de redirection que vous avez inscrit précédemment doit correspondre à votre configuration. Cet exemple définit par défaut le chemin d’URI de redirection sur
/getAToken
. Cela est configuré dans le fichier app_config.py sous REDIRECT_PATH.
Exécuter et tester l’exemple d’application web
Exécutez l’application pour voir l’expérience de connexion en action.
Remarque
Cet exemple utilise la bibliothèque tierce d’identité Python. La bibliothèque n’est pas officiellement gérée par Microsoft, mais elle est recommandée pour votre utilisation. Cette bibliothèque facilite l’ajout de l’authentification à votre application web, car elle reprend beaucoup de détails de MSAL Python.
Dans votre terminal, exécutez la commande suivante :
python3 -m flask run --debug --host=localhost --port=3000
Vous pouvez utiliser le port de votre choix. Il doit s’agir du port de l’URI de redirection que vous avez inscrit précédemment.
Ouvrez votre navigateur, puis accédez à
http://localhost:3000
. Vous devez voir une page similaire à la capture d’écran suivante :Une fois le chargement de la page terminé, sélectionnez le lien Se connecter. Vous êtes invité à vous connecter.
Dans la page de connexion, tapez votre Adresse e-mail, sélectionnez Suivant, tapez votre Mot de passe, puis sélectionnez Se connecter. Si vous n’avez pas de compte, sélectionnez le lien Pas de compte ? En créer un, qui démarre le flux d’inscription.
Si vous choisissez l’option d’inscription, vous suivez le flux d’inscription. Renseignez votre e-mail, le code secret à usage unique, le nouveau mot de passe et d’autres détails de compte pour effectuer l’ensemble du processus d’inscription.
Après la connexion ou l’inscription, vous êtes redirigé vers l’application web. Vous devez voir une page similaire à la capture d’écran suivante :
Sélectionnez Se déconnecter pour déconnecter l’utilisateur de l’application web ou sélectionnez Appeler une API en aval pour effectuer un appel à un point de terminaison Microsoft Graph.
Fonctionnement
Lorsque les utilisateurs sélectionnent le lien Se connecter, l’application lance une requête d’authentification et redirige les utilisateurs vers ID externe Microsoft Entra. Ensuite, un utilisateur se connecte ou s’inscrit dans la page qui s’affiche. Après avoir fourni les informations d’identification demandées et consenti aux étendues nécessaires, ID externe Microsoft Entra redirige l’utilisateur vers l’application web avec un code d’autorisation. L’application web utilise ensuite ce code d’autorisation pour acquérir un jeton auprès d’ID externe Microsoft Entra.
Quand l’utilisateur sélectionne le lien Déconnexion, l’application efface sa session et redirige l’utilisateur vers le point de terminaison de déconnexion ID externe Microsoft Entra pour l’informer que l’utilisateur s’est déconnecté. L’utilisateur est ensuite redirigé vers l’application web.