Application démon qui appelle des API web - inscription d'application

Voici ce que vous devez savoir lors de l’inscription d’une application démon.

Types de comptes pris en charge

Les applications démon n’ont de sens que dans des locataires Azure Active Directory (Azure AD). Ainsi, quand vous créez l’application, choisissez l’une des options suivantes :

  • Comptes dans cet annuaire organisationnel uniquement. Ce choix est le plus fréquent car les applications démon sont écrites par des développeurs métier.
  • Comptes dans un annuaire organisationnel. Ce choix s'applique aux éditeurs de logiciels indépendants qui fournissent un utilitaire à leurs clients. Les administrateurs de locataires de vos clients doivent l’approuver.

Authentification : aucun URI de réponse nécessaire

Si votre application cliente confidentielle utilise uniquement le flux d’informations d’identification du client, l’URI de réponse n’a pas besoin d’être inscrit. Il n’est pas nécessaire pour la configuration ou la construction de l’application. Le flux d'informations d'identification du client ne l'utilise pas.

Une application démon peut uniquement demander des permissions d’application (et non des autorisations déléguées) aux APIs. Dans la page Autorisation d’API de l’inscription d’application, après avoir sélectionné Ajouter une autorisation et choisi la famille d’API, choisissez Autorisations d’application, puis sélectionnez vos autorisations.

App permissions and admin consent

L’API web que vous souhaitez appeler doit définir des Autorisations d’application (rôles d’application), non des autorisations déléguées. Pour plus d’informations sur la façon d’exposer une telle API, voir API web protégée : Inscription d’application : quand votre API web est appelée par une application démon.

Avec les applications démon, un administrateur de locataire doit accorder un consentement préalable à l’application qui appelle l’API web. Les administrateurs de locataires fournissent ce consentement dans la même page Autorisation d’API en sélectionnant Accorder le consentement administrateur à notre organisation .

Si vous êtes un éditeur de logiciels indépendant qui génère une application multilocataire, nous vous recommandons de lire la section Déploiement : cas d’applications démon multilocataires.

Ajouter un certificat ou une clé secrète client

Comme pour toute application cliente confidentielle, vous devez ajouter un secret ou un certificat pour servir d’informations d’identification à l’application afin qu’elle puisse s’authentifier elle-même, sans intervention de l’utilisateur.

Vous pouvez ajouter des informations d’identification à l’inscription de votre application cliente à l’aide du portail Azure ou en utilisant un outil en ligne de commande comme PowerShell.

Ajouter les informations d’identification du client à l’aide du portail Azure

Pour ajouter des informations d’identification à l’inscription de votre application cliente confidentielle, suivez les étapes décrites dans Démarrage rapide : Inscrire une application avec la plateforme d’identités Microsoft pour le type d’informations d’identification que vous souhaitez ajouter :

Ajouter les informations d’identification du client à l’aide de PowerShell

Vous pouvez également ajouter des informations d’identification lorsque vous inscrivez votre application auprès de la plateforme d’identités Microsoft à l’aide de PowerShell.

L’exemple de code active-directory-dotnetcore-daemon-v2 sur le site de GitHub montre comment ajouter un certificat ou un secret d’application lors de l’inscription d’une application :

Étapes suivantes

Passez à l’article suivant de ce scénario, Configuration du code de l’application.