Démarrage rapide : Inscrire une application avec la plateforme d’identités Microsoft

Dans ce guide de démarrage rapide, vous allez inscrire une application dans le portail Azure afin que la plateforme d’identités Microsoft puisse fournir des services d’authentification et d’autorisation pour votre application et ses utilisateurs.

La plateforme d’identités Microsoft assure la gestion des identités et des accès (IAM) uniquement pour les applications inscrites. Qu’il s’agisse d’une application cliente telle qu’une application web ou mobile, ou d’une API web sur laquelle repose une application cliente, son inscription établit une relation d’approbation entre votre application et le fournisseur d’identité, à savoir la plateforme d’identités Microsoft.

Conseil

Pour inscrire une application à Azure AD B2C, suivez les étapes décrites dans Tutoriel : Inscrire une application web dans Azure AD B2C.

Prérequis

Inscrire une application

L’inscription de votre application établit une relation d’approbation entre votre application et la plateforme d’identités Microsoft. L’approbation est unidirectionnelle : votre application approuve la plateforme d’identités Microsoft, et non le contraire.

Effectuez les étapes suivantes pour créer l’inscription d’application :

  1. Connectez-vous au portail Azure.

  2. Si vous avez accès à plusieurs locataires, dans le menu supérieur, utilisez le filtre Annuaire + abonnement pour sélectionner le locataire dans lequel vous voulez inscrire une application.

  3. Recherchez et sélectionnez Azure Active Directory.

  4. Sous Gérer, sélectionnez Inscriptions d’applications > Nouvelle inscription.

  5. Entrez un nom d’affichage pour votre application. Les utilisateurs de votre application peuvent voir le nom d’affichage lorsqu’ils l’utilisent, par exemple lors de la connexion. Vous pouvez modifier le nom d’affichage à tout moment, et plusieurs inscriptions d’applications peuvent partager le même nom. L’ID d’application (client) généré automatiquement par l’inscription de l’application, et non son nom d’affichage, identifie de manière unique votre application au sein de la plateforme d’identités.

  6. Spécifiez les personnes qui peuvent utiliser l’application ; elles sont parfois appelées audience de connexion.

    Types de comptes pris en charge Description
    Comptes dans cet annuaire organisationnel uniquement Sélectionnez cette option si vous générez une application destinée à être utilisée uniquement par des utilisateurs (ou des invités) dans votre locataire.

    Souvent appelée application métier (LOB), cette application est une application monolocataire dans la plateforme d’identités Microsoft.
    Comptes dans un annuaire organisationnel Sélectionnez cette option si vous voulez que les utilisateurs de n’importe quel locataire Azure Active Directory (Azure AD) puisse utiliser votre application. Cette option est appropriée si, par exemple, vous générez une application Logiciel en tant que service (SaaS) que vous envisagez de fournir à plusieurs organisations.

    Ce type d’application est dit multilocataire dans la plateforme d’identités Microsoft.
    Comptes dans un annuaire organisationnel et comptes personnels Microsoft Sélectionnez cette option pour cibler l’ensemble le plus large de clients.

    En sélectionnant cette option, vous inscrivez une application multilocataire qui peut également prendre en charge les utilisateurs disposant de comptes Microsoft personnels.
    Comptes Microsoft personnels Sélectionnez cette option si vous générez une application destinée uniquement aux utilisateurs disposant de comptes Microsoft personnels. Les comptes Microsoft personnels incluent les comptes Skype, Xbox, Live et Hotmail.
  7. N’entrez rien pour URI de redirection (facultatif) . Vous allez configurer un URI de redirection à la section suivante.

  8. Sélectionnez Inscrire pour procéder à l’inscription d’application initiale.

    Capture d’écran du portail Azure dans un navigateur web : le volet Inscrire une application.

Une fois l’inscription terminée, le portail Azure affiche le volet Vue d’ensemble de l’inscription de l’application. Vous voyez l’ID d’application (client) . Aussi appelée ID client, cette valeur identifie de manière unique votre application dans la plateforme d’identités Microsoft.

Important

Par défaut, les inscriptions de nouvelles applications sont masquées aux utilisateurs. Quand vous êtes prêt pour rendre l’application visible aux utilisateurs dans la page Mes applications, vous pouvez l’activer. Pour activer l’application, dans le portail Azure, accédez à Azure Active Directory > Applications d’entreprise, puis sélectionnez l’application. Puis, dans la page Propriétés, basculez Visible pour les utilisateurs ? sur Oui.

Le code de votre application, ou plus généralement une bibliothèque d’authentification servant dans votre application, utilise également l’ID client. L’ID est utilisé dans le cadre de la validation des jetons de sécurité reçus de la plateforme d’identités.

Capture d’écran du portail Azure dans un navigateur web : le volet Vue d’ensemble d’une inscription d’application.

Ajouter un URI de redirection

Un URI de redirection est l’emplacement où la plateforme d’identités Microsoft redirige le client d’un utilisateur et envoie des jetons de sécurité après authentification.

Dans une application web de production, par exemple, l’URI de redirection est souvent un point de terminaison public sur lequel votre application s’exécute, comme https://contoso.com/auth-response. Pendant le développement, il est courant d’ajouter également le point de terminaison où vous exécutez votre application localement, comme https://127.0.0.1/auth-response ou http://localhost/auth-response.

Pour ajouter et modifier des URI de redirection pour vos applications inscrites, vous devez configurer leurs paramètres de plateforme.

Configurer des paramètres de plateforme

Les paramètres de chaque type d’application, dont les URI de redirection, sont configurés dans Configurations de plateforme dans le portail Azure. Certaines plateformes, comme le web et les applications monopages, nécessitent de spécifier manuellement un URI de redirection. Pour les autres plateformes, comme les plateformes mobiles et de bureau, vous pouvez sélectionner des URI de redirection générés automatiquement quand vous configurez leurs autres paramètres.

Pour configurer des paramètres d’application en fonction de la plateforme ou de l’appareil ciblé :

  1. Dans Inscriptions d’applications du portail Azure, sélectionnez votre application.

  2. Sous Gérer, sélectionnez Authentification.

  3. Sous Configurations de plateformes, sélectionnez Ajouter une plateforme.

  4. Sous Configurer des plateformes, sélectionnez la vignette correspondant à votre type d’application (plateforme) pour configurer ses paramètres.

    Capture d’écran du volet de configuration de la plateforme dans le portail Azure.

    Plateforme Paramètres de configuration
    Web Entrez un URI de redirection pour votre application. Cet URI est l’emplacement où la plateforme d’identités Microsoft redirige le client d’un utilisateur et envoie des jetons de sécurité après authentification.

    Sélectionnez cette plateforme pour les applications web standard qui s’exécutent sur un serveur.
    Application monopage Entrez un URI de redirection pour votre application. Cet URI est l’emplacement où la plateforme d’identités Microsoft redirige le client d’un utilisateur et envoie des jetons de sécurité après authentification.

    Sélectionnez cette plateforme si vous générez une application web côté client en utilisant JavaScript ou un framework comme Angular, Vue.js, React.js ou Blazor WebAssembly.
    iOS / macOS Entrez l’ID de bundle d’applications. Recherchez-le dans Paramètres de build ou dans Xcode, dans info.plist.

    Un URI de redirection est automatiquement généré quand vous spécifiez un ID de bundle.
    Android Entrez le Nom du package d’applications. Recherchez-le dans le fichier AndroidManifest.xml. Générez et entrez également le Hachage de signature.

    Un URI de redirection est automatiquement généré quand vous spécifiez ces paramètres.
    Applications de bureau et mobiles Sélectionnez l’un des URI de redirection suggérés. Ou spécifiez un URI de redirection personnalisé.

    Pour les applications de bureau utilisant un navigateur incorporé, nous vous recommandons
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Pour les applications de bureau utilisant un navigateur système, nous vous recommandons
    http://localhost

    Sélectionnez cette plateforme pour les applications mobiles qui n’utilisent pas la toute dernière bibliothèque d’authentification Microsoft (MSAL), ou qui n’utilisent pas de répartiteur. Sélectionnez également cette plateforme pour les applications de bureau.
  5. Sélectionnez Configurer pour effectuer la configuration de la plateforme.

Restrictions applicables aux URI de redirection

Plusieurs restrictions s’appliquent au format des URI de redirection que vous ajoutez à une inscription d’application. Pour plus d’informations sur ces restrictions, consultez Limitations et restrictions des URI de redirection (URL de réponse).

Ajouter les informations d’identification

Les informations d’identification sont utilisées par les applications clientes confidentielles qui accèdent à une API web. Les applications web, les autres API web ou les applications de type service et démon sont des exemples de clients confidentiels. Les informations d’identification permettent à votre application de s’authentifier de façon autonome, sans qu’aucune interaction utilisateur ne soit nécessaire au moment de l’exécution.

Vous pouvez ajouter des certificats et des secrets clients (une chaîne) en tant qu’informations d’identification à votre inscription d’application cliente confidentielle.

Capture d’écran du portail Azure : le volet Certificats et secrets dans une inscription d’application.

Ajouter un certificat

Parfois appelé clé publique, un certificat représente le type d’informations d’identification recommandé. Il offre une meilleure assurance qu’un secret client. Pour plus d’informations sur l’utilisation d’un certificat comme méthode d’authentification dans votre application, consultez Informations d’identification de certificat d’authentification d’application de la plateforme d’identités Microsoft.

  1. Dans Inscriptions d’applications du portail Azure, sélectionnez votre application.
  2. Sélectionnez Certificats et secrets > Charger le certificat.
  3. Sélectionnez les fichiers à charger. Il doit s’agir d’un fichier de type .cer, .pem ou .crt.
  4. Sélectionnez Ajouter.

Ajouter un secret client

Le secret client est également appelé mot de passe d’application. Il s’agit d’une valeur de chaîne que votre application peut utiliser à la place d’un certificat pour s’identifier. Le secret client est le plus facile des deux types d’informations d’identification à utiliser. Il est souvent utilisé pendant le développement, mais il est considéré comme moins sécurisé qu’un certificat. Utilisez des certificats dans vos applications qui s’exécutent en production.

Pour plus d’informations sur les recommandations de sécurité des applications, consultez Bonnes pratiques et recommandations relatives à la plateforme d’identités Microsoft.

  1. Dans Inscriptions d’applications du portail Azure, sélectionnez votre application.
  2. Sélectionnez Certificats et secrets > Nouveau secret client.
  3. Ajoutez une description pour votre clé secrète client.
  4. Sélectionnez une durée.
  5. Sélectionnez Ajouter.
  6. Enregistrez la valeur du secret en prévision d’une utilisation dans le code de votre application cliente. Cette valeur secrète ne sera plus jamais affichée lorsque vous aurez quitté cette page.

Pour des raisons de sécurité, Microsoft limite la création de secrets client de plus de 24 mois et recommande vivement de définir une valeur inférieure à 12 mois.

Étapes suivantes

Les applications clientes doivent généralement accéder aux ressources d’une API web. Vous pouvez protéger votre application cliente en utilisant la plateforme d’identités Microsoft. Vous pouvez également utiliser la plateforme pour autoriser un accès délimité, basé sur les autorisations, à votre API web.

Passez au guide de démarrage rapide suivant de la série, afin de créer une autre inscription d’application pour votre API web et d’exposer ses étendues.