Configurer votre application App Service pour utiliser une connexion Azure Active DirectoryConfigure your App Service app to use Azure Active Directory sign-in

Notes

Actuellement, AAD V2 (notamment MSAL) n’est pas pris en charge pour Azure App Service et Azure Functions.At this time, AAD V2 (including MSAL) is not supported for Azure App Service and Azure Functions.

Cet article montre comment configurer Azure App Service pour utiliser Azure Active Directory en tant que fournisseur d’authentification.This article shows you how to configure Azure App Service to use Azure Active Directory as an authentication provider.

Il vous est recommandé de configurer chaque instance d’App Service avec sa propre inscription. Ainsi, elle a ses propres autorisations et son propre consentement.It's recommended that you configure each App Service app with its own registration, so it has its own permissions and consent. Pensez également à utiliser des inscriptions d’applications distinctes pour des emplacements de déploiement distincts.Also, consider using separate app registrations for separate deployment slots. Cela permet d’éviter le partage des autorisations entre environnements. Ainsi, en cas de problème dans le nouveau code que vous testez, l’environnement de production n’est pas affecté.This avoids permission sharing between environments, so that an issue in new code you're testing does not affect production.

Configurer avec des paramètres express Configure with express settings

  1. Dans le portail Azure, accédez à votre application App Service.In the Azure portal, navigate to your App Service app. Dans la barre de navigation gauche, sélectionnez Authentification / Autorisation.In the left navigation, select Authentication / Authorization.

  2. Si l'option Authentification / Autorisation n'est pas activée, sélectionnez Activer.If Authentication / Authorization is not enabled, select On.

  3. Sélectionnez Azure Active Directory, puis Rapide sous Mode de gestion.Select Azure Active Directory, and then select Express under Management Mode.

  4. Cliquez sur OK pour inscrire l'application App Service auprès d'Azure Active Directory.Select OK to register the App Service app in Azure Active Directory. Une nouvelle inscription d’application est créée.This creates a new app registration. Si vous choisissez une inscription d'app existante à la place, cliquez sur Sélectionner une application existante et recherchez le nom d’une inscription d'app précédemment créée au sein de votre client.If you want to choose an existing app registration instead, click Select an existing app and then search for the name of a previously created app registration within your tenant. Cliquez sur l'inscription d'app pour la sélectionner, puis sur OK.Click the app registration to select it and click OK. Cliquez ensuite sur OK dans la page des paramètres Azure Active Directory.Then click OK on the Azure Active Directory settings page. Par défaut, App Service fournit une authentification, mais ne restreint pas l'accès autorisé à votre contenu et aux API de votre site.By default, App Service provides authentication but does not restrict authorized access to your site content and APIs. Vous devez autoriser les utilisateurs dans votre code d'application.You must authorize users in your app code.

  5. (Facultatif) Pour restreindre l’accès à votre application aux seuls utilisateurs authentifiés par Azure Active Directory, définissez Mesure à prendre quand une requête n’est pas authentifiée sur Se connecter avec Azure Active Directory.(Optional) To restrict access to your app to only users authenticated by Azure Active Directory, set Action to take when request is not authenticated to Log in with Azure Active Directory. Cela implique que toutes les demandes soient authentifiées. Toutes les demandes non authentifiées sont redirigées vers Azure Active Directory pour être authentifiées.This requires that all requests be authenticated, and all unauthenticated requests are redirected to Azure Active Directory for authentication.

    Notes

    Cette manière de restreindre l’accès s’applique à tous les appels à votre application qui peuvent ne pas être souhaitables pour les applications souhaitant une page d’accès publique disponible, comme dans de nombreuses applications à page unique.Restricting access in this way applies to all calls to your app, which may not be desirable for apps wanting a publicly available home page, as in many single-page applications. Pour de telles applications Autoriser les demandes anonymes (aucune action) peut être préféré. L’application démarre alors elle-même manuellement la connexion, comme décrit ici.For such applications, Allow anonymous requests (no action) may be preferred, with the app manually starting login itself, as described here.

  6. Cliquez sur Enregistrer.Click Save.

Configurer avec des paramètres avancés Configure with advanced settings

Vous pouvez également fournir manuellement des paramètres de configuration, si le locataire Azure Active Directory que vous souhaitez utiliser diffère de celui avec lequel vous vous connectez à Azure.You can also provide configuration settings manually, if the Azure Active Directory tenant you want to use is different from the tenant with which you sign into Azure. Pour terminer la configuration, vous devez d’abord créer une inscription dans Azure Active Directory, puis fournir des informations d’inscription à App Service.To complete the configuration, you must first create a registration in Azure Active Directory, and then you must provide some of the registration details to App Service.

Créer une inscription d’application dans Azure AD pour votre application App Service Create an app registration in Azure AD for your App Service app

Lorsque vous créez une inscription d’application manuellement, notez les trois informations suivantes dont vous aurez besoin au moment de la configuration de votre application App Service : ID client, ID de locataire et éventuellement, clé secrète client et URI d’ID d’application.When creating an app registration manually, note three pieces of information that you will need later when configuring your App Service app: the client ID, the tenant ID, and optionally the client secret and the application ID URI.

  1. Dans le portail Azure, accédez à votre application App Service et notez l’URL de votre application.In the Azure portal, navigate to your App Service app and note your app's URL. Elle vous permettra de configurer l'inscription de votre application Azure Active Directory.You will use it to configure your Azure Active Directory app registration.

  2. Dans le menu de gauche du portail Azure, sélectionnez Active Directory > Inscriptions d'applications > Nouvelle inscription.In the Azure portal, from the left menu, select Active Directory > App registrations > New registration.

  3. Sur la page Inscrire une application, entrez un Nom pour votre inscription d'application.In the Register an application page, enter a Name for your app registration.

  4. Dans URI de redirection, sélectionnez Web, entrez l'URL de votre application App Service, puis ajoutez le chemin d'accès /.auth/login/aad/callback.In Redirect URI, select Web and type the URL of your App Service app and append the path /.auth/login/aad/callback. Par exemple : https://contoso.azurewebsites.net/.auth/login/aad/callback.For example, https://contoso.azurewebsites.net/.auth/login/aad/callback. Sélectionnez ensuite Créer.Then select Create.

  5. Une fois l’inscription d'application créée, copiez l'ID de l'application (client) et l'ID de l'annuaire (locataire) pour plus tard.Once the app registration is created, copy the Application (client) ID and the Directory (tenant) ID for later.

  6. Sélectionnez Personnalisation.Select Branding. Dans URL de la page d’accueil, entrez l'URL de votre application App Service, puis sélectionnez Enregistrer.In Home page URL, type the URL of your App Service app and select Save.

  7. Sélectionnez Exposer une API > Définir.Select Expose an API > Set. Collez l’URL de votre application App Service, puis sélectionnez Enregistrer.Paste in the URL of your App Service app and select Save.

    Notes

    Cette valeur correspond à l'URI d'ID d'application de votre inscription d'application.This value is the Application ID URI of the app registration. Si vous souhaitez qu’une application web frontale accède à une API de serveur principal, par exemple, et que le serveur principal accorde explicitement l’accès au serveur frontal, vous avez besoin de l'URI d'ID d'application du serveur frontal lorsque vous configurez la ressource d’application App Service du serveur principal.If you want to have a front-end web app to access a back-end API, for example, and you want the back end to explicitly grant access to the front end, you need the Application ID URI of the front end when you configure the App Service app resource of the back end.

  8. sélectionner Ajouter une étendue.Select Add a scope. Dans Nom de l'étendue, entrez user_impersonation.In Scope name, type user_impersonation. Dans les zones de texte, entrez le nom et la description de l'étendue de consentement que vous voulez que les utilisateurs voient sur la page de consentement, comme Accéder à mon application.In the text boxes, type the consent scope name and description you want users to see on the consent page, such as Access my app. Lorsque vous avez terminé, cliquez sur Ajouter une étendue.When finished, click Add scope.

  9. (Facultatif) Pour créer une clé secrète client, sélectionnez Certificats et secrets > Nouvelle clé secrète client > Ajouter.(Optional) To create a client secret, select Certificates & secrets > New client secret > Add. Copiez la valeur de la clé secrète client qui s'affiche sur la page.Copy the client secret value shown in the page. Lorsque vous quittez cette page, cette valeur ne s'affiche plus.Once you navigate away, it won't be shown again.

  10. (Facultatif) Pour ajouter plusieurs URL de réponse, sélectionnez Authentification dans le menu.(Optional) To add multiple Reply URLs, select Authentication in the menu.

Ajout d'informations Azure Active Directory à votre application App Service Add Azure Active Directory information to your App Service app

  1. Dans le portail Azure, accédez à votre application App Service.In the Azure portal, navigate to your App Service app. Dans le menu de gauche, sélectionnez Authentification/Autorisation.From the left menu, select Authentication / Authorization. Si la fonctionnalité Authentification/Autorisation n’est pas activée, sélectionnez Activé.If the Authentication/Authorization feature is not enabled, select On.

  2. (Facultatif) Par défaut, l’authentification App Service autorise l’accès non authentifié à votre application.(Optional) By default, App Service authentication allows unauthenticated access to your app. Pour appliquer l'authentification utilisateur, définissez Mesure à prendre quand une requête n’est pas authentifiée, sur Se connecter avec Azure Active Directory.To enforce user authentication, set Action to take when request is not authenticated to Log in with Azure Active Directory.

  3. Sous Fournisseurs d’authentification, cliquez sur Azure Active Directory.Under Authentication Providers, select Azure Active Directory.

  4. Dans Mode d'administration, sélectionnez Avancé et configurez l'authentification App Service selon le tableau suivant :In Management mode, select Advanced and configure App Service authentication according to the following table:

    ChampField DescriptionDescription
    ID clientClient ID Utilisez l'ID d’application (client) de l’inscription de l’application.Use the Application (client) ID of the app registration.
    ID d'émetteurIssuer ID Utilisez https://login.microsoftonline.com/<tenant-id> et remplacez <tenant-id> par l'ID de l'annuaire (locataire) de l'inscription de l'application.Use https://login.microsoftonline.com/<tenant-id>, and replace <tenant-id> with the Directory (tenant) ID of the app registration.
    Clé secrète client (facultative)Client Secret (Optional) Utilisez la clé secrète client que vous avez générée lors de l’inscription de l’application.Use the client secret you generated in the app registration.
    Audiences de jeton autoriséesAllowed Token Audiences S’il s’agit d'une application back-end et que vous souhaitez autoriser les jetons d’authentification à partir d’une application frontale, ajoutez l'URI d'ID d'application du serveur frontal ici.If this is a back-end app and you want to allow authentication tokens from a front-end app, add the Application ID URI of the front end here.

    Notes

    L’ID client configuré est toujours implicitement considéré comme étant une audience autorisée, quelle que soit la façon dont vous avez configuré les audiences de jeton autorisées.The configured Client ID is always implicitly considered to be an allowed audience, regardless of how you configured the Allowed Token Audiences.

  5. Sélectionnez OK, puis cliquez sur Enregistrer.Select OK, then select Save.

Vous êtes maintenant prêt à utiliser Azure Active Directory pour l'authentification dans votre application App Service.You are now ready to use Azure Active Directory for authentication in your App Service app.

Configurer une application cliente nativeConfigure a native client application

Vous pouvez inscrire des clients natifs si vous souhaitez effectuer des connexions à l’aide d’une bibliothèque de client telle que Bibliothèque d'authentification Active Directory.You can register native clients if you wish to perform sign-ins using a client library such as the Active Directory Authentication Library.

  1. Dans le menu de gauche du portail Azure, sélectionnez Active Directory > Inscriptions d'applications > Nouvelle inscription.In the Azure portal, from the left menu, select Active Directory > App registrations > New registration.

  2. Sur la page Inscrire une application, entrez un Nom pour votre inscription d'application.In the Register an application page, enter a Name for your app registration.

  3. Dans URI de redirection, sélectionnez Client public (mobile et bureau) , entrez l’URL de votre application App Service, puis ajoutez le chemin d'accès /.auth/login/aad/callback.In Redirect URI, select Public client (mobile & desktop) and type the URL of your App Service app and append the path /.auth/login/aad/callback. Par exemple : https://contoso.azurewebsites.net/.auth/login/aad/callback.For example, https://contoso.azurewebsites.net/.auth/login/aad/callback. Sélectionnez ensuite Créer.Then select Create.

    Notes

    Pour une application Windows, utilisez plutôt le SID de package en tant qu’URI.For a Windows application, use the package SID as the URI instead.

  4. Une fois l’inscription de l’application créée, copiez la valeur de l'ID d’application (client) .Once the app registration is created, copy the value of Application (client) ID.

  5. Dans le menu de gauche, sélectionnez Autorisations des API > Ajouter une autorisation > Mes API.From the left menu, select API permissions > Add a permission > My APIs.

  6. Sélectionnez l’inscription d'application que vous avez créée précédemment pour votre application App Service.Select the app registration you created earlier for your App Service app. Si celle-ci n'apparaît pas, vérifiez que vous avez ajouté l'étendue user_impersonation dans Créer une inscription d’application dans Azure AD pour votre application App Service.If you don't see the app registration, check that you've added the user_impersonation scope in Create an app registration in Azure AD for your App Service app.

  7. Sélectionnez user_impersonation, puis cliquez sur Ajouter des autorisations.Select user_impersonation and click Add permissions.

Vous avez maintenant configuré une application cliente native qui peut accéder à votre application App Service.You have now configured a native client application that can access your App Service app.