Tutoriel : Inscrire une application web dans Azure Active Directory B2C

Pour que vos applications puissent interagir avec Azure Active Directory B2C (Azure AD B2C), elles doivent être inscrites dans un locataire que vous gérez. Ce tutoriel vous montre comment inscrire une application web à l’aide du portail Azure.

Une « application web » fait référence à une application web classique exécutant la majeure partie de la logique d’application sur le serveur. Ces applications peuvent être créées au moyen de frameworks, tels que ASP.NET Core, Spring (Java), Flask (Python) et Express (Node.js).

Important

Si vous utilisez une application monopage (« SPA ») à la place (par exemple, en utilisant Angular, Vue ou React), consultez le Guide pratique pour inscrire une application monopage.

Si vous utilisez une application native (par exemple, iOS, Android, mobile et de bureau), découvrez comment inscrire une application cliente native.

Prérequis

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Si vous n’avez pas encore créé votre propre locataire Azure AD B2C, créez-en un maintenant. Vous pouvez utiliser un locataire Azure AD B2C existant.

Inscrire une application web

Pour inscrire une application web dans votre locataire Azure AD B2C, vous pouvez utiliser notre nouvelle expérience unifiée Inscriptions d’applications ou notre expérience héritée Applications (héritées). En savoir plus sur la nouvelle expérience.

Inscriptions des applications

1. Connectez-vous au portail Azure.

2. Si vous avez accès à plusieurs locataires, sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre locataire Azure AD B2C à partir du menu Annuaires + abonnements.

3. Dans le portail Azure, recherchez et sélectionnez Azure AD B2C.

4. Sélectionnez Inscriptions d’applications, puis Nouvelle inscription.

5. Entrez un Nom pour l’application. Par exemple, webapp1.

6. Sous Types de comptes pris en charge, sélectionnez Comptes dans un fournisseur d’identité ou annuaire organisationnel (pour authentifier les utilisateurs avec des flux d’utilisateurs) .

7. Sous URI de redirection, sélectionnez Web, puis entrez https://jwt.ms dans la zone de texte de l’URL.

   L’URI de redirection est le point de terminaison auquel l’utilisateur est envoyé par le serveur d’autorisation (dans ce cas, Azure AD B2C) après avoir terminé son interaction avec l’utilisateur, et auquel un jeton d’accès ou un code d’autorisation est envoyé en cas d’autorisation réussie. Dans une application de production, il s’agit généralement d’un point de terminaison accessible publiquement dans lequel votre application s’exécute, comme https://contoso.com/auth-response. À des fins de test comme dans ce didacticiel, vous pouvez le définir sur https://jwt.ms, une application web Microsoft qui affiche le contenu décodé d’un jeton (le contenu du jeton ne quitte jamais votre navigateur). Pendant le développement d’une application, vous pouvez ajouter le point de terminaison sur lequel votre application écoute localement, comme https://localhost:5000. Vous pouvez ajouter des URI de redirection à vos applications inscrites à tout moment et les modifier.

   Les restrictions suivantes s’appliquent aux URI de redirection :

   • L’URL de réponse doit commencer par le schéma https, sauf si vous utilisez une URL de redirection localhost.
   • L’URL de réponse respecte la casse. Sa casse doit correspondre à celle du chemin d’URL de votre application en cours d’exécution. Par exemple, si votre application comprend .../abc/response-oidc dans son chemin, ne spécifiez pas .../ABC/response-oidc dans l’URL de réponse. Étant donné que le navigateur web considère que les chemins respectent la casse, les cookies associés à .../abc/response-oidc peuvent être exclus s’ils sont redirigés vers l’URL .../ABC/response-oidc qui ne correspond pas à la casse.
   • L’URL de réponse doit inclure ou exclure la barre oblique de fin, car votre application l’attend. Par exemple, les chemins d’accès https://contoso.com/auth-response et https://contoso.com/auth-response/ pourraient être traités comme des URL sans correspondance pas dans votre application.

8. Sous Autorisations, activez la case à cocher Accorder le consentement administrateur aux autorisations openid et offline_access.

9. Sélectionnez Inscription.

Applications (héritées)

1. Connectez-vous au portail Azure.

2. Si vous avez accès à plusieurs locataires, sélectionnez l’icône Paramètres dans le menu supérieur pour basculer vers votre locataire Azure AD B2C à partir du menu Annuaires + abonnements.

3. Dans le portail Azure, recherchez et sélectionnez Azure AD B2C.

4. Sélectionnez Applications (héritées) , puis Ajouter.

5. Entrez un nom pour l’application. Par exemple, webapp1.

6. Pour Inclure une application/API web, sélectionnez Oui.

7. Pour l’URL de réponse, entrez un point de terminaison où Azure AD B2C doit retourner les jetons demandés par votre application. Par exemple, vous pouvez le définir pour qu’il écoute localement sur http://localhost:5000. Vous pouvez ajouter des URI de redirection à vos applications inscrites à tout moment et les modifier.

   Les restrictions suivantes s’appliquent aux URI de redirection :

   • L’URL de réponse doit commencer par le schéma https, sauf en cas d’utilisation de localhost.
   • L’URL de réponse respecte la casse. Sa casse doit correspondre à celle du chemin d’URL de votre application en cours d’exécution. Par exemple, si votre application comprend .../abc/response-oidc dans son chemin, ne spécifiez pas .../ABC/response-oidc dans l’URL de réponse. Étant donné que le navigateur web considère que les chemins respectent la casse, les cookies associés à .../abc/response-oidc peuvent être exclus s’ils sont redirigés vers l’URL .../ABC/response-oidc qui ne correspond pas à la casse.
   • L’URL de réponse doit inclure ou exclure la barre oblique de fin, car votre application l’attend. Par exemple, les chemins d’accès https://contoso.com/auth-response et https://contoso.com/auth-response/ pourraient être traités comme des URL sans correspondance pas dans votre application.

8. Sélectionnez Créer pour terminer l’inscription de l’application.

Conseil

Si vous ne voyez pas la ou les applications que vous avez créées sous Inscriptions d’applications, actualisez le portail.

Créer une clé secrète client

Pour une application web, vous devez créer un secret d’application. Le secret client est également appelé mot de passe d’application. Ce secret sera utilisé par votre application afin d’échanger un code d’autorisation pour un jeton d’accès.

Inscriptions des applications

1. Dans la page Azure AD B2C – Inscriptions d’applications, sélectionnez l’application que vous avez créée, par exemple webapp1.
2. Dans le menu de gauche, sous Gérer, sélectionnez Certificats et secrets.
3. Sélectionnez Nouveau secret client.
4. Entrez une description pour la clé secrète client dans la zone Description. Par exemple, clientsecret1.
5. Sous Expire, sélectionnez une durée pendant laquelle le secret est valide, puis sélectionnez Ajouter.
6. Enregistrez la valeur du secret en prévision d’une utilisation dans le code de votre application cliente. Cette valeur secrète ne sera plus jamais affichée lorsque vous aurez quitté cette page. Vous utiliserez cette valeur comme secret d’application dans le code de votre application.

Applications (héritées)

1. Dans la page Azure AD B2C – Applications, sélectionnez l’application que vous avez créée, par exemple webapp1.
2. Sélectionnez Clés, puis Générer la clé.
3. Sélectionnez Enregistrer pour afficher la clé. Prenez note de la valeur Clé d’application . Vous utiliserez cette valeur comme secret d’application dans le code de votre application.

Notes

Pour des raisons de sécurité, vous pouvez substituer le secret d’application régulièrement, ou immédiatement en cas d’urgence. Toute application intégré à Azure AD B2C doit être préparée à gérer un événement de substitution de secret, quelle que soit sa fréquence. Vous pouvez définir deux secrets d’application, ce qui permet à votre application de continuer à utiliser l’ancien secret pendant un événement de permutation de secret d’application. Pour ajouter une autre clé secrète client, répétez les étapes de cette section.

Activer l’octroi implicite du jeton d’ID

Si vous inscrivez cette application et la configurez avec l’application https://jwt.ms/ pour tester un flux utilisateur ou une stratégie personnalisée, vous devez activer le flux d’octroi implicite dans l’inscription de l’application :

1. Dans le menu de gauche, sous Gérer, sélectionnez Authentification.

2. Sous Flux d’octroi implicite et hybrides, activez les cases à cocher Jetons d’accès (utilisés pour les flux implicites) et Jetons d’ID (utilisés pour les flux implicites et hybrides).

3. Sélectionnez Enregistrer.

Étapes suivantes

Dans cet article, vous avez appris à effectuer les opérations suivantes :

• Inscrire une application web
• Créer une clé secrète client

Découvrez comment Créer des flux utilisateur dans Azure Active Directory B2C