Inscrire une application sur la Plateforme d’identités Microsoft

  • Article
  • 9 minutes de lecture

Commencez à utiliser le Plateforme d'identités Microsoft en inscrivant une application dans le Portail Azure.

Le Plateforme d'identités Microsoft effectue la gestion des identités et des accès (IAM) uniquement pour les applications inscrites. Qu’il s’agisse d’une application cliente comme une application web ou mobile, ou d’une API web qui sauvegarde une application cliente, son inscription établit une relation d’approbation entre votre application et le fournisseur d’identité, le Plateforme d'identités Microsoft.

Conseil

Pour inscrire une application pour Azure AD B2C, suivez les étapes décrites dans Tutoriel : Inscrire une application web dans Azure AD B2C.

Conditions préalables

Enregistrer une application

L’inscription de votre application établit une relation d’approbation entre votre application et le Plateforme d'identités Microsoft. L’approbation est unidirectionnelle : votre application approuve le Plateforme d'identités Microsoft, et non l’inverse.

Procédez comme suit pour créer l’inscription de l’application :

  1. Connectez-vous au Portail Azure.

  2. Si vous avez accès à plusieurs locataires, utilisez le filtre Répertoires + abonnements dans le menu supérieur pour basculer vers le locataire dans lequel vous souhaitez inscrire l’application.

  3. Recherchez et sélectionnez Azure Active Directory.

  4. Sous Gérer, sélectionnez inscriptions d'applications>Nouvelle inscription.

  5. Entrez un nom d’affichage pour votre application. Les utilisateurs de votre application peuvent voir le nom d’affichage lorsqu’ils utilisent l’application, par exemple lors de la connexion. Vous pouvez modifier le nom d’affichage à tout moment et plusieurs inscriptions d’applications peuvent partager le même nom. L’ID d’application (client) généré automatiquement par l’inscription de l’application, et non son nom d’affichage, identifie de manière unique votre application au sein de la plateforme d’identité.

  6. Spécifiez qui peut utiliser l’application, parfois appelée audience de connexion.

    Types de comptes pris en charge Description
    Comptes dans cet annuaire organisationnel uniquement Sélectionnez cette option si vous créez une application destinée uniquement aux utilisateurs (ou invités) de votre locataire.

    Souvent appelée application métier, cette application est une application monolocataire dans le Plateforme d'identités Microsoft.
    Comptes dans un annuaire organisationnel Sélectionnez cette option si vous souhaitez que les utilisateurs d’un locataire Azure Active Directory (Azure AD) puissent utiliser votre application. Cette option est appropriée si, par exemple, vous créez une application SaaS (Software-as-a-Service) que vous avez l’intention de fournir à plusieurs organisations.

    Ce type d’application est appelé application multilocataire dans le Plateforme d'identités Microsoft.
    Comptes dans un annuaire organisationnel et comptes personnels Microsoft Sélectionnez cette option pour cibler l’ensemble le plus large de clients.

    En sélectionnant cette option, vous inscrivez une application multilocataire qui peut également prendre en charge les utilisateurs qui ont des comptes Microsoft personnels.
    Comptes Microsoft personnels Sélectionnez cette option si vous créez une application uniquement pour les utilisateurs disposant de comptes Microsoft personnels. Les comptes Microsoft personnels incluent les comptes Skype, Xbox, Live et Hotmail.

  7. N’entrez rien pour URI de redirection (facultatif) . Vous allez configurer un URI de redirection dans la section suivante.

  8. Sélectionnez Inscrire pour terminer l’inscription initiale de l’application.

    Capture d’écran du Portail Azure dans un navigateur web, montrant le volet Inscrire une application.

Une fois l’inscription terminée, le Portail Azure affiche le volet Vue d’ensemble de l’inscription de l’application. Vous voyez l’ID d’application (client). Également appelée ID client, cette valeur identifie de manière unique votre application dans le Plateforme d'identités Microsoft.

Importante

Par défaut, les nouvelles inscriptions d’applications sont masquées pour les utilisateurs. Lorsque vous êtes prêt à voir l’application sur leur page d’Mes applications, vous pouvez l’activer. Pour activer l’application, dans le Portail Azure accédez àApplications d’entrepriseAzure Active Directory> et sélectionnez l’application. Ensuite, dans la page Propriétés , basculez Visible pour les utilisateurs ? sur Oui.

Le code de votre application, ou plus généralement une bibliothèque d’authentification utilisée dans votre application, utilise également l’ID client. L’ID est utilisé dans le cadre de la validation des jetons de sécurité qu’il reçoit de la plateforme d’identité.

Capture d’écran du Portail Azure dans un navigateur web, montrant le volet Vue d’ensemble d’une inscription d’application.

Ajouter un URI de redirection

Un URI de redirection est l’emplacement où le Plateforme d'identités Microsoft redirige le client d’un utilisateur et envoie des jetons de sécurité après l’authentification.

Dans une application web de production, par exemple, l’URI de redirection est souvent un point de terminaison public où votre application s’exécute, comme https://contoso.com/auth-response. Pendant le développement, il est courant d’ajouter également le point de terminaison sur lequel vous exécutez votre application localement, comme https://127.0.0.1/auth-response ou http://localhost/auth-response.

Vous ajoutez et modifiez des URI de redirection pour vos applications inscrites en configurant leurs paramètres de plateforme.

Configurer les paramètres de plateforme

Les paramètres de chaque type d’application, y compris les URI de redirection, sont configurés dans Configurations de plateforme dans le Portail Azure. Certaines plateformes, telles que les applications web et monopage, nécessitent que vous spécifiiez manuellement un URI de redirection. Pour d’autres plateformes, comme les appareils mobiles et les ordinateurs de bureau, vous pouvez sélectionner parmi les URI de redirection générés pour vous lorsque vous configurez leurs autres paramètres.

Pour configurer les paramètres d’application en fonction de la plateforme ou de l’appareil que vous ciblez, procédez comme suit :

  1. Dans le Portail Azure, dans inscriptions d'applications, sélectionnez votre application.

  2. Sous Gérer, sélectionnez Authentification.

  3. Sous Configurations de plateforme, sélectionnez Ajouter une plateforme.

  4. Sous Configurer les plateformes, sélectionnez la vignette de votre type d’application (plateforme) pour configurer ses paramètres.

    Capture d’écran du volet de configuration de la plateforme dans le Portail Azure.

    Plateforme les paramètres de configuration ;
    Web Entrez un URI de redirection pour votre application. Cet URI est l’emplacement vers lequel la plateforme d’identités Microsoft redirige le client d’un utilisateur et envoie des jetons de sécurité après l’authentification.

    Sélectionnez cette plateforme pour les applications web standard qui s’exécutent sur un serveur.
    Application monopage Entrez un URI de redirection pour votre application. Cet URI est l’emplacement vers lequel la plateforme d’identités Microsoft redirige le client d’un utilisateur et envoie des jetons de sécurité après l’authentification.

    Sélectionnez cette plateforme si vous créez une application web côté client à l’aide de JavaScript ou d’une infrastructure comme Angular, Vue.js, React.js ou Blazor WebAssembly.
    iOS / macOS Entrez l’ID d’offre groupée de l’application. Recherchez-le dans Paramètres de build ou dans Xcode dans Info.plist.

    Un URI de redirection est généré pour vous lorsque vous spécifiez un ID de bundle.
    Android Entrez le nom du package de l’application. Recherchez-le dans le fichier AndroidManifest.xml . Générez également et entrez le hachage de signature.

    Un URI de redirection est généré pour vous lorsque vous spécifiez ces paramètres.
    Applications mobiles et de bureau Sélectionnez l’un des URI de redirection suggérés. Vous pouvez également spécifier un URI de redirection personnalisé.

    Pour les applications de bureau utilisant un navigateur incorporé, nous vous recommandons
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Pour les applications de bureau utilisant le navigateur système, nous vous recommandons
    http://localhost

    Sélectionnez cette plateforme pour les applications mobiles qui n’utilisent pas la dernière bibliothèque d’authentification Microsoft (MSAL) ou qui n’utilisent pas de répartiteur. Sélectionnez également cette plateforme pour les applications de bureau.

  5. Sélectionnez Configurer pour terminer la configuration de la plateforme.

Restrictions d’URI de redirection

Certaines restrictions s’appliquent au format des URI de redirection que vous ajoutez à une inscription d’application. Pour plus d’informations sur ces restrictions, consultez Restrictions et limitations de l’URI de redirection (URL de réponse).

Ajouter des informations d’identification

Les informations d’identification sont utilisées par les applications clientes confidentielles qui accèdent à une API web. Les applications web, d’autres API web ou les applications de type service et de type démon sont des exemples de clients confidentiels. Les informations d’identification permettent à votre application de s’authentifier en tant que telle, sans aucune interaction de la part d’un utilisateur au moment de l’exécution.

Vous pouvez ajouter des certificats et des clés secrètes client (une chaîne) en tant qu’informations d’identification à votre inscription d’application cliente confidentielle.

Capture d’écran du Portail Azure, montrant le volet Certificats et secrets dans une inscription d’application.

Option 1 : Ajouter un certificat

Parfois appelé clé publique, un certificat est le type d’informations d’identification recommandé, car ils sont considérés comme plus sécurisés que les secrets client. Pour plus d’informations sur l’utilisation d’un certificat comme méthode d’authentification dans votre application, consultez Plateforme d'identités Microsoft informations d’identification du certificat d’authentification d’application.

  1. Dans le Portail Azure, dans inscriptions d'applications, sélectionnez votre application.
  2. Sélectionnez Certificats & secrets>Certificats>Charger un certificat.
  3. Sélectionnez le fichier que vous souhaitez charger. Il doit s’agir de l’un des types de fichiers suivants : .cer, .pem, .crt.
  4. Sélectionnez Ajouter.

Option 2 : Ajouter une clé secrète client

Parfois appelé mot de passe d’application, une clé secrète client est une valeur de chaîne que votre application peut utiliser à la place d’un certificat pour s’identifier elle-même.

Les secrets client sont considérés comme moins sécurisés que les informations d’identification de certificat. Les développeurs d’applications utilisent parfois des secrets client pendant le développement d’applications locales en raison de leur facilité d’utilisation. Toutefois, vous devez utiliser les informations d’identification de certificat pour toutes vos applications qui s’exécutent en production.

  1. Dans le Portail Azure, dans inscriptions d'applications, sélectionnez votre application.
  2. Sélectionnez Certificats & secrets>Secrets> clientNouvelle clé secrète client.
  3. Ajoutez une description pour votre clé secrète client.
  4. Sélectionnez une expiration pour le secret ou spécifiez une durée de vie personnalisée.
    • La durée de vie de la clé secrète client est limitée à deux ans (24 mois) ou moins. Vous ne pouvez pas spécifier une durée de vie personnalisée supérieure à 24 mois.
    • Microsoft vous recommande de définir une valeur d’expiration inférieure à 12 mois.
  5. Sélectionnez Ajouter.
  6. Enregistrez la valeur du secret à utiliser dans le code de votre application cliente. Cette valeur de secret n’est plus jamais affichée une fois que vous avez quitté cette page.

Pour obtenir des recommandations en matière de sécurité des applications, consultez Plateforme d'identités Microsoft bonnes pratiques et recommandations.

Option 3 : Ajouter des informations d’identification fédérées

Les informations d’identification d’identité fédérée sont un type d’informations d’identification qui permet aux charges de travail, telles que les GitHub Actions, les charges de travail s’exécutant sur Kubernetes ou les charges de travail s’exécutant sur des plateformes de calcul en dehors d’Azure d’accéder à des ressources protégées Azure AD sans avoir à gérer les secrets à l’aide de la fédération d’identité de charge de travail.

Pour ajouter des informations d’identification fédérées, procédez comme suit :

  1. Dans le Portail Azure, dans inscriptions d'applications, sélectionnez votre application.

  2. Sélectionnez Certificats & secrets>Informations d’identification> fédéréesAjouter des informations d’identification.

  3. Dans la zone de liste déroulante Scénario d’informations d’identification fédérées , sélectionnez l’un des scénarios pris en charge, puis suivez les instructions correspondantes pour terminer la configuration.

    • Clés gérées par le client pour chiffrer les données de votre locataire à l’aide d’Azure Key Vault dans un autre locataire.
    • GitHub actions déployant des ressources Azure pour configurer un workflow GitHub afin d’obtenir des jetons pour votre application et déployer des ressources sur Azure.
    • Kubernetes accédant aux ressources Azure pour configurer un compte de service Kubernetes afin d’obtenir des jetons pour votre application et accéder aux ressources Azure.
    • Autre émetteur pour configurer une identité gérée par un fournisseur OpenID Connect externe afin d’obtenir des jetons pour votre application et d’accéder aux ressources Azure.

Pour plus d’informations, découvrez comment obtenir un jeton d’accès avec des informations d’identification fédérées, case activée l’article Plateforme d'identités Microsoft et le flux des informations d’identification du client OAuth 2.0.

Prochaines étapes