Configurer votre application App Service ou Azure Functions pour utiliser une connexion Azure ADConfigure your App Service or Azure Functions app to use Azure AD login

Cet article vous montre comment configurer Azure App Service ou Azure Functions pour utiliser Azure Active Directory (Azure AD) comme fournisseur d’authentification.This article shows you how to configure Azure App Service or Azure Functions to use Azure Active Directory (Azure AD) as an authentication provider.

Notes

La configuration rapide configure une inscription d’application AAD V1.The express settings flow sets up an AAD V1 application registration. Si vous souhaitez utiliser Azure Active Directory v2.0 (notamment MSAL), suivez les instructions de configuration avancée.If you wish to use Azure Active Directory v2.0 (including MSAL), please follow the advanced configuration instructions.

Adoptez ces bonnes pratiques pour configurer votre application et l’authentification :Follow these best practices when setting up your app and authentication:

  • Donnez à chaque application App Service ses propres autorisations et son propre consentement.Give each App Service app its own permissions and consent.
  • Configurez chaque application App Service avec sa propre inscription.Configure each App Service app with its own registration.
  • Évitez de partager des autorisations entre des environnements en utilisant des inscriptions d’application distinctes pour des emplacements de déploiement distincts.Avoid permission sharing between environments by using separate app registrations for separate deployment slots. Dans le cadre des tests d’un nouveau code, cette pratique peut permettre d’éviter que des problèmes n’affectent l’application de production.When testing new code, this practice can help prevent issues from affecting the production app.

Notes

Cette fonctionnalité n’est pas disponible actuellement dans le plan de consommation Linux pour Azure FunctionsThis feature is currently not available on Linux Consumption plan for Azure Functions

Configurer avec des paramètres express Configure with express settings

Notes

L’option Express n’est pas disponible pour les clouds du secteur publique.The Express option is not available for government clouds.

  1. Dans le Azure portal, recherchez et sélectionnez App Services, puis sélectionnez votre application.In the Azure portal, search for and select App Services, and then select your app.

  2. Dans la barre de navigation gauche, sélectionnez Authentification/Autorisation > sur.From the left navigation, select Authentication / Authorization > On.

  3. Sélectionnez Azure Active Directory > Express.Select Azure Active Directory > Express.

    Si vous préférez choisir une inscription d’application existante :If you want to choose an existing app registration instead:

    1. Cliquez sur Sélectionner une application AD existante, puis sur Azure AD App.Choose Select Existing AD app, then click Azure AD App.
    2. Sélectionnez une inscription d’application existante et cliquez sur OK.Choose an existing app registration and click OK.
  4. Cliquez sur OK pour inscrire l'application App Service auprès d'Azure Active Directory.Select OK to register the App Service app in Azure Active Directory. Une nouvelle inscription d’application est créée.A new app registration is created.

    Paramètres Express d'Azure Active Directory

  5. (Facultatif) Par défaut, App Service fournit une authentification, mais ne restreint pas l’accès autorisé au contenu et aux API de votre site.(Optional) By default, App Service provides authentication but doesn't restrict authorized access to your site content and APIs. Vous devez autoriser les utilisateurs dans votre code d'application.You must authorize users in your app code. Pour restreindre l’accès à l’application aux seuls utilisateurs authentifiés par Azure Active Directory, définissez Action à exécuter quand une requête n’est pas authentifiée sur Se connecter avec Azure Active Directory.To restrict app access only to users authenticated by Azure Active Directory, set Action to take when request is not authenticated to Log in with Azure Active Directory. Quand vous définissez cette fonctionnalité, votre application exige que toutes les demandes soient authentifiées.When you set this functionality, your app requires all requests to be authenticated. Elle redirige également toutes les demandes non authentifiées vers Azure Active Directory à des fins d’authentification.It also redirects all unauthenticated to Azure Active Directory for authentication.

    Attention

    Cette manière de restreindre l’accès s’applique à tous les appels à votre application qui peuvent ne pas être souhaitables pour les applications qui ont une page d’accès publique disponible, comme dans de nombreuses applications monopages.Restricting access in this way applies to all calls to your app, which might not be desirable for apps that have a publicly available home page, as in many single-page applications. Pour de telles applications, préférez Autoriser les requêtes anonymes (aucune action) . L’application démarre alors elle-même manuellement la connexion.For such applications, Allow anonymous requests (no action) might be preferred, with the app manually starting login itself. Pour plus d’informations, consultez Flux d’authentification.For more information, see Authentication flow.

  6. Sélectionnez Enregistrer.Select Save.

Configurer avec des paramètres avancés Configure with advanced settings

Vous pouvez configurer les paramètres de l’application manuellement si vous souhaitez utiliser une inscription d’application à partir d’un locataire Azure AD différent.You can configure app settings manually if you want to use an app registration from a different Azure AD tenant. Pour effectuer cette configuration personnalisée :To complete this custom configuration:

  1. Créer une inscription dans Azure AD.Create a registration in Azure AD.
  2. Fournir certains des détails d’inscription à App Service.Provide some of the registration details to App Service.

Créer une inscription d’application dans Azure AD pour votre application App Service Create an app registration in Azure AD for your App Service app

Vous avez besoin des informations suivantes quand vous configurez votre application App Service :You'll need the following information when you configure your App Service app:

  • ID clientClient ID
  • ID clientTenant ID
  • Clé secrète client (facultative)Client secret (optional)
  • URI d’ID d’applicationApplication ID URI

Procédez comme suit :Perform the following steps:

  1. Connectez-vous au Azure portal, recherchez et sélectionnez App Services, puis sélectionnez votre application.Sign in to the Azure portal, search for and select App Services, and then select your app. Notez l’URL de votre application.Note your app's URL. Vous allez l’utiliser pour configurer l’inscription de votre application Azure Active Directory.You'll use it to configure your Azure Active Directory app registration.

  2. Sélectionnez Azure Active Directory > Inscriptions d’applications > Nouvelle inscription.Select Azure Active Directory > App registrations > New registration.

  3. Sur la page Inscrire une application, entrez un Nom pour votre inscription d'application.In the Register an application page, enter a Name for your app registration.

  4. Sous URI de redirection, sélectionnez Web, puis entrez <app-url>/.auth/login/aad/callback.In Redirect URI, select Web and type <app-url>/.auth/login/aad/callback. Par exemple : https://contoso.azurewebsites.net/.auth/login/aad/callback.For example, https://contoso.azurewebsites.net/.auth/login/aad/callback.

  5. Sélectionnez Create (Créer).Select Create.

  6. Une fois l’inscription d’application créée, copiez l’ID de l’application (client) et l’ID de l’annuaire (locataire) pour plus tard.After the app registration is created, copy the Application (client) ID and the Directory (tenant) ID for later.

  7. Sélectionnez Authentification.Select Authentication. Sous Octroi implicite, activez Jetons d’ID pour autoriser les connexions utilisateur OpenID Connect à partir d’App Service.Under Implicit grant, enable ID tokens to allow OpenID Connect user sign-ins from App Service.

  8. (Facultatif) Sélectionnez Personnalisation.(Optional) Select Branding. Dans URL de la page d’accueil, entrez l’URL de votre application App Service, puis sélectionnez Enregistrer.In Home page URL, enter the URL of your App Service app and select Save.

  9. Sélectionnez Exposer une API > Définir.Select Expose an API > Set. Pour une application monolocataire, collez l’URL de votre application App Service et sélectionnez Enregistrer. Pour une application multilocataire, collez l’URL, qui est basée sur l’un des domaines vérifiés par un locataire, puis sélectionnez Enregistrer.For single-tenant app, paste in the URL of your App Service app and select Save and for multi-tenant app, paste in the URL which is based on one of tenant verified domains and then select Save.

    Notes

    Cette valeur correspond à l'URI d'ID d'application de votre inscription d'application.This value is the Application ID URI of the app registration. Si votre application web nécessite un accès à une API dans le cloud, vous avez besoin de l’URI d’ID d’application de l’application web lorsque vous configurez la ressource App Service cloud.If your web app requires access to an API in the cloud, you need the Application ID URI of the web app when you configure the cloud App Service resource. Vous pouvez utiliser cette valeur, par exemple, si vous souhaitez que le service cloud accorde explicitement l’accès à l’application web.You can use this, for example, if you want the cloud service to explicitly grant access to the web app.

  10. sélectionner Ajouter une étendue.Select Add a scope.

    1. Dans Nom de l’étendue, entrez user_impersonation.In Scope name, enter user_impersonation.
    2. Dans les zones de texte, entrez le nom et la description de l’étendue de consentement que vous voulez que les utilisateurs voient dans la page de consentement.In the text boxes, enter the consent scope name and description you want users to see on the consent page. Par exemple, entrez Accéder à mon application.For example, enter Access my app.
    3. Sélectionnez Ajouter une étendue.Select Add scope.
  11. (Facultatif) Pour créer une clé secrète client, sélectionnez Certificats et secrets > Nouvelle clé secrète client > Ajouter.(Optional) To create a client secret, select Certificates & secrets > New client secret > Add. Copiez la valeur de la clé secrète client qui s'affiche sur la page.Copy the client secret value shown in the page. Elle ne s’affichera plus.It won't be shown again.

  12. (Facultatif) Pour ajouter plusieurs URL de réponse, sélectionnez Authentification.(Optional) To add multiple Reply URLs, select Authentication.

Activez Azure Active Directory dans votre Azure App Service Enable Azure Active Directory in your App Service app

  1. Dans le Azure portal, recherchez et sélectionnez App Services, puis sélectionnez votre application.In the Azure portal, search for and select App Services, and then select your app.

  2. Dans le volet gauche, sous Paramètres, sélectionnez Authentification/Autorisation > sur.In the left pane, under Settings, select Authentication / Authorization > On.

  3. (Facultatif) Par défaut, l’authentification App Service autorise l’accès non authentifié à votre application.(Optional) By default, App Service authentication allows unauthenticated access to your app. Pour appliquer l'authentification utilisateur, définissez Mesure à prendre quand une requête n’est pas authentifiée, sur Se connecter avec Azure Active Directory.To enforce user authentication, set Action to take when request is not authenticated to Log in with Azure Active Directory.

  4. Sous Fournisseurs d’authentification, cliquez sur Azure Active Directory.Under Authentication Providers, select Azure Active Directory.

  5. Dans Mode d'administration, sélectionnez Avancé et configurez l'authentification App Service selon le tableau suivant :In Management mode, select Advanced and configure App Service authentication according to the following table:

    ChampField DescriptionDescription
    ID clientClient ID Utilisez l'ID d’application (client) de l’inscription de l’application.Use the Application (client) ID of the app registration.
    URL de l’émetteurIssuer Url Utilisez <authentication-endpoint>/<tenant-id>/v2.0, puis remplacez <authentication-endpoint> par le point de terminaison d’authentification pour votre environnement cloud (par exemple, « https://login.microsoft.com  » pour Azure global), puis < tenant-id> par l’ID du répertoire (locataire) dans lequel l’inscription de l’application a été créée.Use <authentication-endpoint>/<tenant-id>/v2.0, and replace <authentication-endpoint> with the authentication endpoint for your cloud environment (e.g., "https://login.microsoft.com" for global Azure), also replacing <tenant-id> with the Directory (tenant) ID in which the app registration was created. Cette valeur sert à rediriger les utilisateurs vers le bon locataire Azure AD, mais aussi à télécharger les métadonnées appropriées pour déterminer les clés de signature de jetons et la valeur de revendication de l’émetteur de jeton qui conviennent, par exemple.This value is used to redirect users to the correct Azure AD tenant, as well as to download the appropriate metadata to determine the appropriate token signing keys and token issuer claim value for example. La section /v2.0 peut être omise pour les applications utilisant AAD v1.The /v2.0 section may be omitted for applications using AAD v1.
    Clé secrète client (facultative)Client Secret (Optional) Utilisez la clé secrète client que vous avez générée lors de l’inscription de l’application.Use the client secret you generated in the app registration.
    Audiences de jeton autoriséesAllowed Token Audiences S’il s’agit d’une application cloud ou serveur et que vous souhaitez autoriser les jetons d’authentification d’une application web, ajoutez l’URI d’ID d’application de l’application web ici.If this is a cloud or server app and you want to allow authentication tokens from a web app, add the Application ID URI of the web app here. L’ID client configuré est toujours implicitement considéré comme une audience autorisée.The configured Client ID is always implicitly considered to be an allowed audience.
  6. Sélectionnez OK, puis cliquez sur Enregistrer.Select OK, and then select Save.

Vous êtes maintenant prêt à utiliser Azure Active Directory à des fins d’authentification dans votre application App Service.You're now ready to use Azure Active Directory for authentication in your App Service app.

Configurer une application cliente nativeConfigure a native client application

Vous pouvez inscrire des clients natifs pour permettre une authentification au niveau des API Web hébergées dans votre application en utilisant une bibliothèque de client comme la Bibliothèque d’authentification Active Directory.You can register native clients to allow authentication to Web API's hosted in your app using a client library such as the Active Directory Authentication Library.

  1. Dans le Azure portal, sélectionnez Active Directory > Inscriptions d’applications > Nouvelle inscription.In the Azure portal, select Active Directory > App registrations > New registration.

  2. Sur la page Inscrire une application, entrez un Nom pour votre inscription d'application.In the Register an application page, enter a Name for your app registration.

  3. Dans URI de redirection, sélectionnez Client public (mobile et bureau) et entrez l’URL <app-url>/.auth/login/aad/callback.In Redirect URI, select Public client (mobile & desktop) and type the URL <app-url>/.auth/login/aad/callback. Par exemple : https://contoso.azurewebsites.net/.auth/login/aad/callback.For example, https://contoso.azurewebsites.net/.auth/login/aad/callback.

    Notes

    Pour une application Microsoft Store, utilisez plutôt le SID de package en guise d’URI.For a Microsoft Store application, use the package SID as the URI instead.

  4. Sélectionnez Create (Créer).Select Create.

  5. Une fois l’inscription d’application créée, copiez la valeur de l’ID d’application (client) .After the app registration is created, copy the value of Application (client) ID.

  6. Sélectionnez Autorisations des API > Ajouter une autorisation > Mes API.Select API permissions > Add a permission > My APIs.

  7. Sélectionnez l’inscription d'application que vous avez créée précédemment pour votre application App Service.Select the app registration you created earlier for your App Service app. Si celle-ci n’apparaît pas, vérifiez que vous avez ajouté l’étendue user_impersonation dans Créer une inscription d’application dans Azure AD pour votre application App Service.If you don't see the app registration, make sure that you've added the user_impersonation scope in Create an app registration in Azure AD for your App Service app.

  8. Sélectionnez user_impersonation, puis Ajouter des autorisations.Select user_impersonation, and then select Add permissions.

Vous avez maintenant configuré une application cliente native qui peut accéder à votre application App Service au nom d’un utilisateur.You have now configured a native client application that can access your App Service app on behalf of a user.

Étapes suivantes Next steps