Configurer l'authentification dans une application Android exemple en utilisant Azure AD B2C

  • Article

Cet article utilise un exemple d’application Android (Kotlin et Java) pour illustrer l’ajout de l’authentification Azure Active Directory B2C (Azure AD B2C) à vos applications mobiles.

Vue d'ensemble

OpenID Connect (OIDC) est un protocole d’authentification basé sur OAuth 2.0. Vous pouvez utiliser OIDC pour connecter de façon sécurisée des utilisateurs à une application. Cet exemple d’application mobile utilise la bibliothèque d’authentification Microsoft (MSAL) avec le flux PKCE du code d’autorisation OIDC. MSAL est une bibliothèque fournie par Microsoft qui simplifie l’ajout d’une prise en charge de l’authentification et de l’autorisation dans les applications mobiles.

Le flux de connexion implique les étapes suivantes :

  1. Les utilisateurs ouvrent l’application et sélectionnent Se connecter.
  2. L’application ouvre le navigateur système de l’appareil mobile et lance une demande d’authentification auprès d’Azure AD B2C.
  3. Les utilisateurs s’inscrivent ou se connectent, réinitialisent le mot de passe ou se connectent à l’aide d’un compte social.
  4. Une fois les utilisateurs connectés, Azure AD B2C retourne un code d’autorisation à l’application.
  5. L’application :
    1. Elle échange le code d’autorisation contre un jeton d’ID, un jeton d’accès et un jeton d’actualisation.
    2. Elle lit les revendications du jeton d’ID.
    3. Elle stocke les jetons dans un cache en mémoire pour une utilisation ultérieure.

Vue d’ensemble de l’inscription de l’application

Pour permettre à votre application de se connecter avec Azure AD B2C et d’appeler une API web, inscrivez deux applications dans le répertoire d’Azure AD B2C.

  • L’inscription de l’application mobile permet à votre application de se connecter grâce à Azure AD B2C. Lors de l’inscription de l’application, spécifiez l’URI de redirection. L’URI de redirection est le point de terminaison vers lequel les utilisateurs sont redirigés par Azure AD B2C après qu’ils se sont authentifiés avec Azure AD B2C. Le processus d’inscription d’application génère un ID d’application, également appelé ID client, qui identifie de façon univoque votre application mobile (par exemple ID d’application : 1).

  • L’inscription de l’API web permet à votre application d’appeler une API web protégée. Elle expose les autorisations de l’API web (étendues). Ce processus génère un ID d’application, qui sert d’identificateur unique de l’API web (par exemple ID d’application : 2). Accordez à votre application mobile (ID d’application : 1) des autorisations sur les étendues de l’API web (ID d’application : 2).

L’architecture et l’inscription des applications sont illustrées dans les diagrammes suivants :

Diagram of the mobile app with web API call registrations and tokens.

Appel à une API web

Une fois l’authentification terminée, les utilisateurs interagissent avec l’application, qui appelle une API web protégée. L’API web utilise l’authentification par jeton du porteur. Le jeton du porteur est le jeton d’accès obtenu par l’application auprès d’Azure AD B2C. L’application transmet le jeton dans l’en-tête d’autorisation de la requête HTTPS.

Authorization: Bearer <access token>

Si l’étendue du jeton d’accès ne correspond pas aux étendues de l’API web, la bibliothèque d’authentification obtient un nouveau jeton d’accès avec les étendues appropriées.

Flux de déconnexion

Le flux de déconnexion implique les étapes suivantes :

  1. Dans l’application, les utilisateurs se déconnectent.
  2. L’application efface ses objets de session, et la bibliothèque d’authentification efface son cache de jeton.
  3. L’application dirige les utilisateurs vers le point de terminaison de déconnexion Azure AD B2C pour mettre fin à la session Azure AD B2C.
  4. Les utilisateurs sont redirigés vers l’application.

Prérequis

Un ordinateur qui exécute :

Étape 1 : Configurer votre flux d’utilisateurs

Lorsqu’un utilisateur tente de se connecter à votre application, l’application lance une requête d’authentification auprès du point de terminaison d’autorisation via un flux d’utilisateur. Le flux d’utilisateur définit et contrôle l’expérience de l’utilisateur. Une fois que l’utilisateur a terminé le flux d’utilisateur, Azure AD B2C génère un jeton, puis redirige l’utilisateur vers votre application.

Si vous ne l’avez pas déjà fait, créez un flux d’utilisateur ou une stratégie personnalisée. Répétez les étapes pour créer trois flux utilisateur distincts comme suit :

  • Un flux d’utilisateur Inscription et connexion combiné, par exemple susi. Ce flux utilisateur prend également en charge l’expérience Mot de passe oublié.
  • Un flux utilisateur Modification de profil, tel que edit_profile.
  • Un flux utilisateur Réinitialisation du mot de passe, tel que reset_password.

Azure AD B2C ajoute B2C_1_ devant le nom du flux utilisateur. Par exemple, susi devient B2C_1_susi.

Étape 2 : Inscrire des applications mobiles

Créez l’inscription de l’application mobile et de l’application d’API web, puis spécifiez les étendues de votre API web.

Étape 2.1 : Inscrire l’application API web

Pour créer l’inscription d’application API web (ID d’application : 2), suivez les étapes suivantes :

  1. Connectez-vous au portail Azure.

  2. Veillez à bien utiliser l’annuaire qui contient votre locataire Azure AD B2C. Sélectionnez l’icône Répertoires + abonnements dans la barre d’outils du portail.

  3. Sur la page Paramètres du portail | Répertoires + abonnements, recherchez votre répertoire AD B2C Azure dans la liste Nom de répertoire, puis sélectionnez Basculer.

  4. Dans le portail Azure, recherchez et sélectionnez Azure AD B2C.

  5. Sélectionnez Inscriptions d’applications, puis Nouvelle inscription.

  6. Dans le champ Nom, entrez un nom pour l’application (par exemple my-api1). Laissez les valeurs par défaut pour l'URI de redirection et les Types de comptes pris en charge.

  7. Sélectionnez Inscription.

  8. Une fois l’inscription de l’application terminée, sélectionnez Vue d’ensemble.

  9. Enregistrez l’ID d’application (client) que vous utiliserez ultérieurement pour configurer l’application web.

    Screenshot that demonstrates how to get a web A P I application I D.

Étape 2.2 : Configurer les étendues de l’application API web

  1. Sélectionnez l’application my-api1 que vous avez créée (ID d’application : 2) pour ouvrir sa page Vue d’ensemble.

  2. Sous Gérer, sélectionnez Exposer une API.

  3. A côté d’URI d’ID d’application, sélectionnez le lien Définir. Remplacez la valeur par défaut (GUID) par un nom unique (par exemple, tasks-api), puis sélectionnez Enregistrer.

    Lorsque votre application web demande un jeton d’accès pour l’API web, elle doit ajouter cet URI en tant que préfixe de chaque étendue que vous définissez pour l’API.

  4. Sous Étendues définies par cette API, sélectionnez Ajouter une étendue.

  5. Pour créer une étendue qui définit l’accès en lecture à l’API :

    1. Pour Nom de l’étendue, entrez tâches.lecture.
    2. Pour Nom d’affichage du consentement administrateur, entrez Accès en lecture à l’API de tâches.
    3. Pour Description du consentement administrateur, entrez Autorise l’accès en lecture à l’API de tâches.

  6. Sélectionnez Ajouter une étendue.

  7. Sélectionnez Ajouter une étendue, puis ajoutez une étendue qui définit l’accès en écriture à l’API :

    1. Pour Nom de l’étendue, entrez tâches.écriture.
    2. Pour Nom d’affichage du consentement administrateur, entrez Accès en écriture à l’API de tâches.
    3. Pour Description du consentement administrateur, entrez Autorise l’accès en écriture à l’API de tâches.

  8. Sélectionnez Ajouter une étendue.

Étape 2.3 : Inscrire l’application mobile

Pour créer l’inscription de l’application mobile, procédez comme suit :

  1. Connectez-vous au portail Azure.

  2. Sélectionnez Inscriptions d’applications, puis Nouvelle inscription.

  3. Sous Nom, entrez un nom pour l’application (par exemple, android-app1).

  4. Sous Types de comptes pris en charge, sélectionnez Comptes dans un fournisseur d’identité ou annuaire organisationnel (pour authentifier les utilisateurs avec des flux d’utilisateurs) .

  5. Sous URI de redirection, sélectionnez Client public/natif (mobile et bureau), puis, dans la zone URL, entrez l’un des URI suivants :

    • Pour l’exemple Kotlin : msauth://com.azuresamples.msalandroidkotlinapp/1wIqXSqBj7w%2Bh11ZifsnqwgyKrY%3D
    • Pour l’exemple Java : msauth://com.azuresamples.msalandroidapp/1wIqXSqBj7w%2Bh11ZifsnqwgyKrY%3D

  6. Sélectionnez Inscription.

  7. Une fois l’inscription de l’application terminée, sélectionnez Vue d’ensemble.

  8. Enregistrez l’ID d’application (client) que vous utiliserez ultérieurement pour configurer l’application mobile.

    Screenshot highlighting the Android application ID

Étape 2.4 : Accorder à l’application mobile des autorisations pour l’API web

Pour accorder des autorisations à votre application (ID d’application : 1), procédez comme suit :

  1. Sélectionnez Inscriptions d’applications, puis l’application que vous avez créée (ID d’application : 1).

  2. Sous Gérer, sélectionnez Autorisations de l’API.

  3. Sous Autorisations configurées, sélectionnez Ajouter une autorisation.

  4. Sélectionnez l’onglet Mes API.

  5. Sélectionnez l’API (ID d’application : 2) à laquelle l’application web doit être autorisée à accéder. Par exemple, saisissez my-api1.

  6. Sous Autorisation, développez tâches, puis sélectionnez les étendues que vous avez définies auparavant (par exemple, tasks.read et tasks.write).

  7. Sélectionnez Ajouter des autorisations.

  8. Sélectionnez Accorder le consentement de l’administrateur pour <nom de votre locataire>.

  9. Sélectionnez Oui.

  10. Sélectionnez Actualiser, puis vérifiez que la mention Accordé pour ... apparaît sous État pour les deux étendues.

  11. Dans la liste Autorisations configurées, sélectionnez votre étendue, puis copiez le nom complet de celle-ci.

    Screenshot of the configured permissions pane, showing that read access permissions are granted.

Étape 3 : Obtenir l’exemple d’application mobile Android

Effectuez l'une des opérations suivantes :

  • Téléchargez l’un des exemples suivants :

    Extrayez l’exemple de fichier .zip dans votre dossier de travail.

  • Clonez l’exemple d’application mobile Android à partir de GitHub.

    git clone https://github.com/Azure-Samples/ms-identity-android-kotlin

Étape 4 : Configurer l’exemple d’API web

Cet exemple acquiert un jeton d’accès avec les étendues appropriées que l’application mobile peut utiliser pour une API web. Pour appeler une API web à partir du code, procédez comme suit :

  1. Utilisez une API web existante ou créez-en une nouvelle. Pour plus d’informations, consultez Activer l’authentification dans votre propre API web à l’aide d’Azure AD B2C.
  2. Modifiez l’exemple de code pour appeler une API web.

Étape 5 : Configurer l’exemple d’application mobile

Ouvrez l’exemple de projet avec Android Studio ou un autre éditeur de code, puis ouvrez le fichier /app/src/main/res/raw/auth_config_b2c.json.

Le fichier de configuration auth_config_b2c.json contient des informations sur votre fournisseur d’identité Azure AD B2C. L’application mobile utilise ces informations pour établir une relation de confiance avec Azure AD B2C, connecter et déconnecter les utilisateurs et acquérir des jetons et les valider.

Mettez à jour les propriétés suivantes des paramètres de l’application :

Clé Valeur
client_id L’ID d’application mobile de l’étape 2.3.
redirect_uri L’URI de redirection de l’application mobile de l’étape 2.3.
autorités L’autorité est une URL qui indique un répertoire auprès duquel la bibliothèque d’authentification Microsoft peut demander des jetons. Utilisez le format suivant : https://<your-tenant-name>.b2clogin.com/<your-tenant-name>.onmicrosoft.com/<your-sign-in-sign-up-policy>. Remplacez <your-tenant-name> par le nom de votre locataire Azure AD B2C. Ensuite, remplacez <your-sign-in-sign-up-policy> par les flux d’utilisateur ou la stratégie personnalisée que vous avez créés à l’étape 1.

Ouvrez la classe B2CConfiguration et mettez à jour les membres de classe suivants :

Clé Valeur
Stratégies Liste des flux d’utilisateur ou des stratégies personnalisées que vous avez créés à l’étape 1.
azureAdB2CHostName La première partie du nom de locataire Azure AD B2C (par exemple https://contoso.b2clogin.com).
tenantName Nom du locataire complet Azure AD B2C (par exemple contoso.onmicrosoft.com).
étendues Étendues d’API web que vous avez créées à l’étape 2.4.

Étape 6 : Exécuter et tester l’application mobile

  1. Générez et exécutez le projet.

  2. En haut à gauche, sélectionnez l’icône de menu latéral (également appelée icône de menu à tiroir), comme illustré ici :

    Screenshot highlighting the hamburger, or collapsed menu, icon.

  3. Dans le volet gauche, sélectionnez Mode B2C.

    Screenshot highlighting the

  4. Sélectionnez Exécuter le flux d’utilisateur.

    Screenshot highlighting the

  5. Inscrivez-vous ou connectez-vous avec votre compte social ou votre compte local Azure AD B2C.

  6. Une fois l’authentification réussie, votre nom d’affichage apparaît dans le volet Mode B2C.

    Screenshot showing a successful authentication, with signed-in user and policy displayed.

Étapes suivantes

Découvrez comment :