Obtenir l’accès au nom d’un utilisateurGet access on behalf of a user

Pour lire et écrire des ressources au nom d’un utilisateur avec Microsoft Graph, votre application doit obtenir un jeton d’accès auprès de la Plateforme d’identités Microsoft et joindre le jeton aux requêtes qu’il envoie à Microsoft Graph. Le flux d’authentification exact que vous utiliserez pour obtenir des jetons d’accès varie selon le type d’application que vous développez et selon que vous souhaitiez ou non utiliser OpenID Connect pour connecter l’utilisateur à votre application. Un flux courant utilisé par les applications natives et mobiles, et également par certaines applications web est le flux d’octroi de codes d’autorisation OAuth 2.0. Cette rubrique détaille un exemple d’utilisation de ce flux.To use Microsoft Graph to read and write resources on behalf of a user, your app must get an access token from the Microsoft identity platform and attach the token to requests that it sends to Microsoft Graph. The exact authentication flow that you will use to get access tokens will depend on the kind of app you are developing and whether you want to use OpenID Connect to sign the user in to your app. One common flow used by native and mobile apps and also by some Web apps is the OAuth 2.0 authorization code grant flow. This topic walks through an example using this flow.

Étapes relatives à l’autorisation et à l’authentificationAuthentication and Authorization steps

Les étapes de base nécessaires pour utiliser le flux d’octroi de codes d’autorisation OAuth 2.0 afin d’obtenir un jeton d’accès à partir du point de terminaison de la plateforme d’identités Microsoft sont les suivantes :The basic steps required to use the OAuth 2.0 authorization code grant flow to get an access token from the Microsoft identity platform endpoint are:

  1. Enregistrer votre application avec Azure AD.Register your app with Azure AD.
  2. Obtenir l’autorisation.Get authorization.
  3. Obtenir un jeton d’accès.Get an access token.
  4. Appeler Microsoft Graph avec le jeton d’accès.Call Microsoft Graph with the access token.
  5. Utiliser un jeton actualisé pour obtenir un nouveau jeton d’accès.Use a refresh token to get a new access token.

1. Inscrire votre application1. Register your app

Pour utiliser le point de terminaison de la plateforme d’identités Microsoft, vous devez inscrire votre application à l’aide du portail d’enregistrement d’application Azure. Pour inscrire une application, vous pouvez utiliser un compte Microsoft ou un compte scolaire ou professionnel.To use the Microsoft identity platform endpoint, you must register your app using the Azure app registration portal. You can use either a Microsoft account or a work or school account to register an app.

Pour configurer une application qui doit utiliser le flux d’octroi de codes d’autorisation OAuth 2.0, vous devez enregistrer les valeurs suivantes lors de l’inscription de l’application :To configure an app to use the OAuth 2.0 authorization code grant flow, you'll need to save the following values when registering the app:

  • L’ID de l’application (cliente) est attribué par le portail d’inscription des applications.The Application (client) ID assigned by the app registration portal.
  • Clé secrète du client (application) : mot de passe ou paire clé publique/clé privée (certificat).A Client (application) Secret, either a password or a public/private key pair (certificate). N’est pas nécessaire pour les applications natives.This is not required for native apps.
  • URI de redirection (ou URL de réponse) permettant à votre application de recevoir des réponses d’Azure AD.A Redirect URI (or reply URL) for your app to receive responses from Azure AD.

Pour savoir comment configurer une application dans le portail Azure, consultez Inscrire votre application.For steps on how to configure an app in the Azure portal, see Register your app.

2. Obtenir l’autorisation2. Get authorization

Pour obtenir un jeton d’accès pour plusieurs flux OpenID Connect et OAuth 2.0, la première étape consiste à rediriger l’utilisateur vers le point de terminaison /authorize de la plateforme d’identités Microsoft.The first step to getting an access token for many OpenID Connect and OAuth 2.0 flows is to redirect the user to the Microsoft identity platform /authorize endpoint. Azure AD connectera l’utilisateur et demandera son consentement pour les autorisations requises par votre application.Azure AD will sign the user in and ensure their consent for the permissions your app requests. Dans le flux d’octroi de codes d’autorisation, une fois le consentement obtenu, Azure AD renvoie à votre application un code d’autorisation qu’elle peut échanger au niveau du point de terminaison /token de la plateforme d’identités Microsoft contre un jeton d’accès.In the authorization code grant flow, after consent is obtained, Azure AD will return an authorization_code to your app that it can redeem at the Microsoft identity platform /token endpoint for an access token.

Demande d’autorisationAuthorization request

L’exemple suivant montre une demande au point de terminaison /authorize.The following shows an example request to the /authorize endpoint.

Avec le point de terminaison de la plateforme d’identités Microsoft, les autorisations sont demandées à l’aide du paramètre scope.With the Microsoft identity platform endpoint, permissions are requested using the scope parameter. Dans cet exemple, les autorisations Microsoft Graph demandées sont pour User.Read et Mail.Read, ce qui permettra à l’application de lire le profil et le courrier de l’utilisateur connecté.In this example, the Microsoft Graph permissions requested are for User.Read and Mail.Read, which will allow the app to read the profile and mail of the signed-in user. L’autorisation pour un offline_access est demandée pour permettre à l’application d’obtenir un jeton actualisé qu’elle peut utiliser afin d’obtenir un nouveau jeton d’accès une fois le précédent expiré.The offline_access permission is requested so that the app can get a refresh token, which it can use to get a new access token when the current one expires.

// Line breaks for legibility only

https://login.microsoftonline.com/{tenant}/oauth2/v2.0/authorize?
client_id=6731de76-14a6-49ae-97bc-6eba6914391e
&response_type=code
&redirect_uri=http%3A%2F%2Flocalhost%2Fmyapp%2F
&response_mode=query
&scope=offline_access%20user.read%20mail.read
&state=12345
ParameterParameter ObligatoireRequired DescriptionDescription
clienttenant obligatoirerequired La valeur {tenant} dans le chemin d’accès de la requête peut être utilisée pour contrôler les personnes qui peuvent se connecter à l’application. Les valeurs autorisées sont common pour les comptes Microsoft et les comptes professionnels ou scolaires, organizations pour les comptes professionnels ou scolaires uniquement, consumers pour les comptes Microsoft uniquement, et les identificateurs de client comme l’ID du client ou le nom du domaine. Pour plus de détails, reportez-vous à la rubrique Concepts de base du protocole.The {tenant} value in the path of the request can be used to control who can sign into the application. The allowed values are common for both Microsoft accounts and work or school accounts, organizations for work or school accounts only, consumers for Microsoft accounts only, and tenant identifiers such as the tenant ID or domain name. For more detail, see protocol basics.
client_idclient_id obligatoirerequired ID d’application attribué par le portail d’inscription à votre application.The Application ID that the registration portal assigned your app.
response_typeresponse_type obligatoirerequired Doit inclure code pour le flux de codes d’autorisation.Must include code for the authorization code flow.
redirect_uriredirect_uri recommandérecommended URI de redirection de votre application, où les réponses d’authentification peuvent être envoyées et reçues par votre application. Doit correspondre exactement à l’un des URI de redirection que vous avez enregistrés dans le portail d’enregistrement de l’application, sauf qu’il doit être codé au format URL. Pour les applications natives et mobiles, vous devez utiliser la valeur par défaut https://login.microsoftonline.com/common/oauth2/nativeclient.The redirect_uri of your app, where authentication responses can be sent and received by your app. It must exactly match one of the redirect_uris you registered in the app registration portal, except it must be URL encoded. For native and mobile apps, you should use the default value of https://login.microsoftonline.com/common/oauth2/nativeclient.
étenduescope obligatoirerequired Liste séparée par des espaces contenant des autorisations Microsoft Graph pour lesquelles vous souhaitez que l’utilisateur donne son accord. Il peut s’agir également d’étendues OpenID.A space-separated list of the Microsoft Graph permissions that you want the user to consent to. This may also include OpenID scopes.
response_moderesponse_mode recommandérecommended Spécifie la méthode qui doit être utilisée pour renvoyer le jeton généré à votre application. Peut être query ou form_post.Specifies the method that should be used to send the resulting token back to your app. Can be query or form_post.
étatstate recommandérecommended Valeur incluse dans la demande qui est également renvoyée dans la réponse du jeton. Il peut s’agir d’une chaîne de tout contenu de votre choix. Une valeur unique générée de façon aléatoire est généralement utilisée pour prévenir les attaques de falsification de requête intersites. L’état est également utilisé pour coder les informations sur l’état de l’utilisateur dans l’application avant la demande d’authentification, comme la page ou la vue.A value included in the request that will also be returned in the token response. It can be a string of any content that you wish. A randomly generated unique value is typically used for preventing cross-site request forgery attacks. The state is also used to encode information about the user's state in the app before the authentication request occurred, such as the page or view they were on.

Important : Microsoft Graph expose deux types d’autorisations : d’application et déléguée. Pour les applications qui s’exécutent avec un utilisateur connecté, effectuez une demande d’autorisation déléguée dans le paramètre scope. Ces autorisations délèguent les droits de l’utilisateur connecté à votre application, lui permettant d’agir en tant qu’utilisateur connecté lorsque vous faites appel à Microsoft Graph. Pour plus d’informations sur les autorisations disponibles via Microsoft Graph, reportez-vous à la rubrique Référence d’autorisations.Important: Microsoft Graph exposes two kinds of permissions: application and delegated. For apps that run with a signed-in user, you request delegated permissions in the scope parameter. These permissions delegate the privileges of the signed-in user to your app, allowing it to act as the signed-in user when making calls to Microsoft Graph. For more detailed information about the permissions available through Microsoft Graph, see the Permissions reference.

À ce stade, l’utilisateur est invité à entrer ses informations d’identification pour s’authentifier auprès de Microsoft.At this point, the user will be asked to enter their credentials to authenticate with Microsoft. Le point de terminaison de la Plateforme d’identités Microsoft v2.0 permet également de s’assurer que l’utilisateur ait accepté les autorisations indiquées dans le paramètre de requête scope.The Microsoft identity platform v2.0 endpoint will also ensure that the user has consented to the permissions indicated in the scope query parameter. Si l’utilisateur n’a pas accepté l’une de ces autorisations et si un administrateur n’a pas préalablement donné son accord au nom de tous les utilisateurs de l’organisation, ils devront donner leur accord pour les autorisations requises.If the user has not consented to any of those permissions and if an administrator has not previously consented on behalf of all users in the organization, they will be asked to consent to the required permissions.

Voici un exemple de boîte de dialogue de consentement affichée pour un utilisateur de compte Microsoft.The following is an example of the consent dialog box presented for a Microsoft account user.

Boîte de dialogue de consentement pour un compte Microsoft

Essayez Si vous avez un compte Microsoft ou un compte professionnel ou scolaire Azure AD, vous pouvez essayer ceci en cliquant sur le lien suivant. Une fois la connexion effectuée, votre navigateur devrait être redirigé vers https://localhost/myapp/ avec un code dans la barre d’adresse.Try If you have a Microsoft account or an Azure AD work or school account, you can try this for yourself by clicking the following link. After signing in, your browser should be redirected to https://localhost/myapp/ with a code in the address bar.

https://login.microsoftonline.com/common/oauth2/v2.0/authorize...https://login.microsoftonline.com/common/oauth2/v2.0/authorize...

Réponse relative à l’autorisationAuthorization response

Si l’utilisateur accepte les autorisations requises par votre application, la réponse contient le code d’autorisation dans le paramètre code. Voici un exemple de réponse correcte à la requête précédente. Étant donné que le paramètre response_mode dans la demande a été défini sur query, la réponse est renvoyée dans la chaîne de requête de l’URL de redirection.If the user consents to the permissions your app requested, the response will contain the authorization code in the code parameter. Here is an example of a successful response to the previous request. Because the response_mode parameter in the request was set to query, the response is returned in the query string of the redirect URL.

GET https://localhost/myapp/?
code=M0ab92efe-b6fd-df08-87dc-2c6500a7f84d
&state=12345
ParamètreParameter DescriptionDescription
codecode Code d’autorisation requis par l’application. L’application peut utiliser le code d’autorisation pour demander un jeton d’accès pour la ressource cible. Les codes d’autorisation ont une durée de vie très courte. En général, ils expirent au bout de 10 minutes environ.The authorization_code that the app requested. The app can use the authorization code to request an access token for the target resource. Authorization_codes are very short lived, typically they expire after about 10 minutes.
étatstate Si un paramètre d’état est inclus dans la demande, la même valeur doit apparaître dans la réponse. L’application doit vérifier que les valeurs d’état dans la demande et la réponse sont identiques.If a state parameter is included in the request, the same value should appear in the response. The app should verify that the state values in the request and response are identical.

3. Obtenir un jeton3. Get a token

L’application utilise l’autorisation code reçue dans l’étape précédente pour demander un jeton d’accès en envoyant une demande POST au point de terminaison /token.Your app uses the authorization code received in the previous step to request an access token by sending a POST request to the /token endpoint.

Demande de jetonToken request

// Line breaks for legibility only

POST /{tenant}/oauth2/v2.0/token HTTP/1.1
Host: https://login.microsoftonline.com
Content-Type: application/x-www-form-urlencoded

client_id=6731de76-14a6-49ae-97bc-6eba6914391e
&scope=user.read%20mail.read
&code=OAAABAAAAiL9Kn2Z27UubvWFPbm0gLWQJVzCTE9UkP3pSx1aXxUjq3n8b2JRLk4OxVXr...
&redirect_uri=http%3A%2F%2Flocalhost%2Fmyapp%2F
&grant_type=authorization_code
&client_secret=JqQX2PNo9bpM0uEihUPzyrh    // NOTE: Only required for web apps
ParameterParameter ObligatoireRequired DescriptionDescription
clienttenant obligatoirerequired La valeur {tenant} dans le chemin d’accès de la requête peut être utilisée pour contrôler les personnes qui peuvent se connecter à l’application. Les valeurs autorisées sont common pour les comptes Microsoft et les comptes professionnels ou scolaires, organizations pour les comptes professionnels ou scolaires uniquement, consumers pour les comptes Microsoft uniquement, et les identificateurs de client comme l’ID du client ou le nom du domaine. Pour plus de détails, reportez-vous à la rubrique Concepts de base du protocole.The {tenant} value in the path of the request can be used to control who can sign into the application. The allowed values are common for both Microsoft accounts and work or school accounts, organizations for work or school accounts only, consumers for Microsoft accounts only, and tenant identifiers such as the tenant ID or domain name. For more detail, see protocol basics.
client_idclient_id obligatoirerequired ID d’application attribué par le portail d’inscription à votre application.The Application ID that the registration portal) assigned your app.
grant_typegrant_type obligatoirerequired Doit être authorization_code pour le flux de code d’autorisation.Must be authorization_code for the authorization code flow.
portéescope obligatoirerequired Liste d’étendues séparée par des espaces. Les étendues demandées dans cette étape doivent être équivalentes ou être un sous-ensemble d’étendues demandées dans la première étape (autorisation). Si les étendues spécifiées dans cette demande couvrent plusieurs serveurs de ressources, le point de terminaison v2.0 renvoie un jeton pour la ressource spécifiée dans la première étendue.A space-separated list of scopes. The scopes requested in this leg must be equivalent to or a subset of the scopes requested in the first (authorization) leg. If the scopes specified in this request span multiple resource servers, then the v2.0 endpoint will return a token for the resource specified in the first scope.
codecode obligatoirerequired Code d’autorisation acquis dans la première étape du flux.The authorization_code that you acquired in the first leg of the flow.
redirect_uriredirect_uri obligatoirerequired Même valeur d’URI de redirection qui a été utilisée pour acquérir le code d’autorisation.The same redirect_uri value that was used to acquire the authorization_code.
client_secretclient_secret obligatoire pour les applications webrequired for web apps Clé secrète de l’application que vous avez créée dans le portail d’enregistrement de l’application pour votre application. Elle ne doit pas être utilisée dans une application native, car les clés secrètes des clients ne peuvent pas être stockées en toute sécurité sur les appareils. Obligatoire pour les applications web et les API web qui ont la possibilité de stocker la clé secrète du client en toute sécurité sur le serveur web.The application secret that you created in the app registration portal for your app. It should not be used in a native app, because client_secrets cannot be reliably stored on devices. It is required for web apps and web APIs, which have the ability to store the client_secret securely on the server side.

Réponse du jetonToken response

Même si le jeton d’accès est opaque dans votre application, la réponse contient une liste des autorisations pour lesquelles le jeton d’accès convient dans le paramètre scope.Although the access token is opaque to your app, the response contains a list of the permissions that the access token is good for in the scope parameter.

{
    "token_type": "Bearer",
    "scope": "user.read%20Fmail.read",
    "expires_in": 3600,
    "access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik5HVEZ2ZEstZnl0aEV1Q...",
    "refresh_token": "AwABAAAAvPM1KaPlrEqdFSBzjqfTGAMxZGUTdM0t4B4..."
}
ParamètreParameter DescriptionDescription
token_typetoken_type Indique la valeur du type de jeton. Azure AD prend uniquement en charge le type Porteur.Indicates the token type value. The only type that Azure AD supports is Bearer.
étenduescope Liste séparée par des espaces contenant des autorisations Microsoft Graph pour lesquelles le jeton d’accès est valide.A space separated list of the Microsoft Graph permissions that the access_token is valid for.
expires_inexpires_in Validité du jeton d’accès (en secondes).How long the access token is valid (in seconds).
access_tokenaccess_token Jeton d’accès requis. Votre application peut utiliser ce jeton pour appeler Microsoft Graph.The requested access token. Your app can use this token to call Microsoft Graph.
refresh_tokenrefresh_token Jeton d’actualisation OAuth 2.0.An OAuth 2.0 refresh token. Votre application peut utiliser ce jeton pour acquérir des jetons d’accès supplémentaires après l’expiration du jeton d’accès en cours.Your app can use this token to acquire additional access tokens after the current access token expires. Les jetons d’actualisation ont une longue durée de vie. Ils peuvent être utilisés pour conserver l’accès à des ressources pour une période prolongée.Refresh tokens are long-lived, and can be used to retain access to resources for extended periods of time. Pour plus de détails, reportez-vous à la rubrique Référence au jeton v2.0.For more detail, refer to the v2.0 token reference.

4. Utiliser le jeton d’accès pour appeler Microsoft Graph4. Use the access token to call Microsoft Graph

Après avoir obtenu un jeton d’accès, vous pouvez l’utiliser pour appeler Microsoft Graph en l’incluant dans l’en-tête Authorization d’une requête. La requête suivante obtient le profil de l’utilisateur connecté.After you have an access token, you can use it to call Microsoft Graph by including it in the Authorization header of a request. The following request gets the profile of the signed-in user.

GET https://graph.microsoft.com/v1.0/me
Authorization: Bearer eyJ0eXAiO ... 0X2tnSQLEANnSPHY0gKcgw
Host: graph.microsoft.com

Une réponse correcte est semblable à celle-ci (certains en-têtes de réponse ont été supprimés).A successful response will look similar to the following (some response headers have been removed).

HTTP/1.1 200 OK
Content-Type: application/json;odata.metadata=minimal;odata.streaming=true;IEEE754Compatible=false;charset=utf-8
request-id: f45d08c0-6901-473a-90f5-7867287de97f
client-request-id: f45d08c0-6901-473a-90f5-7867287de97f
OData-Version: 4.0
Duration: 727.0022
Date: Thu, 20 Apr 2017 05:21:18 GMT
Content-Length: 407

{
    "@odata.context":"https://graph.microsoft.com/v1.0/$metadata#users/$entity",
    "id":"12345678-73a6-4952-a53a-e9916737ff7f",
    "businessPhones":[
        "+1 555555555"
    ],
    "displayName":"Chris Green",
    "givenName":"Chris",
    "jobTitle":"Software Engineer",
    "mail":null,
    "mobilePhone":"+1 5555555555",
    "officeLocation":"Seattle Office",
    "preferredLanguage":null,
    "surname":"Green",
    "userPrincipalName":"ChrisG@contoso.onmicrosoft.com"
}

5. Utiliser le jeton actualisé pour obtenir un nouveau jeton d’accès5. Use the refresh token to get a new access token

Les jetons d’accès ont une durée de vie courte. Une fois expirés, vous devez les actualiser pour continuer à accéder aux ressources. Pour ce faire, envoyez une autre demande POST au point de terminaison /token, en fournissant cette fois le refresh_token à la place du code.Access tokens are short lived, and you must refresh them after they expire to continue accessing resources. You can do so by submitting another POST request to the /token endpoint, this time providing the refresh_token instead of the code.

DemandeRequest

// Line breaks for legibility only

POST /common/oauth2/v2.0/token HTTP/1.1
Host: https://login.microsoftonline.com
Content-Type: application/x-www-form-urlencoded

client_id=6731de76-14a6-49ae-97bc-6eba6914391e
&scope=user.read%20mail.read
&refresh_token=OAAABAAAAiL9Kn2Z27UubvWFPbm0gLWQJVzCTE9UkP3pSx1aXxUjq...
&redirect_uri=http%3A%2F%2Flocalhost%2Fmyapp%2F
&grant_type=refresh_token
&client_secret=JqQX2PNo9bpM0uEihUPzyrh      // NOTE: Only required for web apps
ParameterParameter ObligatoireRequired DescriptionDescription
client_idclient_id obligatoirerequired ID d’application attribué par le portail d’inscription à votre application.The Application ID that the registration portal assigned your app.
grant_typegrant_type obligatoirerequired Doit être refresh_token.Must be refresh_token.
portéescope obligatoirerequired Liste séparée par des espaces contenant des autorisations (étendues). Les autorisations requises doivent être équivalentes ou être un sous-ensemble d’autorisations requises dans la demande du code d’autorisation.A space-separated list of permissions (scopes). The permissions requested must be equivalent to or a subset of the permissions requested in the original authorization_code request.
refresh_tokenrefresh_token obligatoirerequired Jeton actualisé acquis lors de la demande de jeton.The refresh_token that you acquired during the token request.
redirect_uriredirect_uri obligatoirerequired Même valeur d’URI de redirection qui a été utilisée pour acquérir le code d’autorisation.The same redirect_uri value that was used to acquire the authorization_code.
client_secretclient_secret obligatoire pour les applications webrequired for web apps Clé secrète de l’application que vous avez créée dans le portail d’enregistrement de l’application pour votre application. Elle ne doit pas être utilisée dans une application native, car les clés secrètes des clients ne peuvent pas être stockées en toute sécurité sur les appareils. Obligatoire pour les applications web et les API web qui ont la possibilité de stocker la clé secrète du client en toute sécurité sur le serveur web.The application secret that you created in the app registration portal for your app. It should not be used in a native app, because client_secrets cannot be reliably stored on devices. It is required for web apps and web APIs, which have the ability to store the client_secret securely on the server side.

RéponseResponse

Une réponse correcte relative au jeton doit se présenter comme suit.A successful token response will look similar to the following.

{
    "access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik5HVEZ2ZEstZnl0aEV1Q...",
    "token_type": "Bearer",
    "expires_in": 3599,
    "scope": "user.read%20mail.read",
    "refresh_token": "AwABAAAAvPM1KaPlrEqdFSBzjqfTGAMxZGUTdM0t4B4...",
}
ParamètreParameter DescriptionDescription
access_tokenaccess_token Jeton d’accès requis. L’application peut utiliser ce jeton pour appeler Microsoft Graph.The requested access token. The app can use this token in calls to Microsoft Graph.
token_typetoken_type Indique la valeur du type de jeton. Le seul type qui prend en charge Azure AD est porteurIndicates the token type value. The only type that Azure AD supports is Bearer
expires_inexpires_in Validité du jeton d’accès (en secondes).How long the access token is valid (in seconds).
portéescope Autorisations (étendues) pour lesquelles le jeton actualisé est valide.The permissions (scopes) that the access_token is valid for.
refresh_tokenrefresh_token Nouveau jeton actualisé OAuth 2.0. Vous devez remplacer l’ancien jeton actualisé par ce nouveau jeton actualisé pour garantir que vos jetons actualisés restent valides le plus longtemps possible.A new OAuth 2.0 refresh token. You should replace the old refresh token with this newly acquired refresh token to ensure your refresh tokens remain valid for as long as possible.

Scénarios de l’application pris en charge et ressources supplémentairesSupported app scenarios and additional resources

Vous pouvez appeler Microsoft Graph au nom d’un utilisateur à partir des types d’applications suivants :You can call Microsoft Graph on behalf of a user from the following kinds of apps:

Pour plus d’informations sur les scénarios d’applications prises en charge avec le point de terminaison de la Plateforme d’identités Microsoft, consultez la page Flux d’authentification et scénarios d’applications.For more information about supported app scenarios with the Microsoft identity platform endpoint, see App scenarios and authentication flows.

Remarque : le fait d’appeler Microsoft Graph à partir d’une API web autonome n’est actuellement pas pris en charge par le point de terminaison de plateforme d’identités Microsoft.Note: Calling Microsoft Graph from a standalone web API is not currently supported by the Microsoft identity platform endpoint. Dans ce scénario, vous devez utiliser le point de terminaison Azure AD.For this scenario, you need to use the Azure AD endpoint.

Pour plus d’informations sur l’accès à Microsoft Graph au nom d’un utilisateur à partir du point de terminaison de plateforme d’identités Microsoft :For more information about getting access to Microsoft Graph on behalf of a user from the Microsoft identity platform endpoint:

Remarques relatives au point de terminaisonEndpoint considerations

Microsoft continue de prendre en charge le point de terminaison Azure AD.Microsoft continues to support the Azure AD endpoint. Plusieurs différences existent entre le point de terminaison de la Plateforme d’identités Microsoft et le point de terminaison Azure AD.There are several differences between using the Microsoft identity platform endpoint and the Azure AD endpoint. Lorsque vous utilisez le point de terminaison Azure AD :When using the Azure AD endpoint:

  • Votre application requiert un ID d’application (ID client) différent pour chaque plateforme.Your app will require a different application ID (client ID) for each platform.
  • Si votre application est une application multi-clients, vous devez la configurer explicitement pour qu’elle soit multi-clients au niveau du portail Azure.If your app is a multi-tenant app, you must explicitly configure it to be multi-tenant at the Azure portal.
  • Toutes les autorisations requises par votre application doivent être configurées par le développeur.All permissions that your app needs must be configured by the developer. Le point de terminaison Azure AD ne prend pas en charge le consentement dynamique (incrémentiel).The Azure AD endpoint does not support dynamic (incremental) consent.
  • Le point de terminaison Azure AD utilise un paramètre resource dans les demandes d’autorisation et de jeton pour spécifier la ressource, comme Microsoft Graph, pour lesquels il souhaite des autorisations. Le point de terminaison ne prend pas en charge le paramètre scope.The Azure AD endpoint uses a resource parameter in authorization and token requests to specify the resource, such as Microsoft Graph, for which it wants permissions. The endpoint does not support the scope parameter.
  • Le point de terminaison Azure AD ne présente pas de point de terminaison spécifique pour le consentement de l’administrateur. Au lieu d’utiliser des applications, utilisez le paramètre prompt=admin_consent dans la demande d’autorisation pour obtenir le consentement de l’administrateur pour une organisation. Pour plus d’informations, reportez-vous à la rubrique Déclenchement de l’infrastructure de consentement Azure AD lors de l’exécution dans Intégration des applications avec Azure Active Directory.The Azure AD endpoint does not expose a specific endpoint for administrator consent. Instead apps use the prompt=admin_consent parameter in the authorization request to obtain administrator consent for an organization. For more information, see Triggering the Azure AD consent framework at runtime in Integrating applications with Azure Active Directory.

Pour plus d’informations sur l’accès à Microsoft Graph au nom d’un utilisateur à partir du point de terminaison Azure AD :For more information about getting access to Microsoft Graph on behalf of a user from the Azure AD endpoint:

  • Pour plus d’informations sur l’utilisation du point de terminaison de la Plateforme d’identités Microsoft avec différents types d’applications, consultez les liens Prise en main de la documentation dédiée aux développeurs de la Plateforme d’identités Microsoft.For information about using the Microsoft identity platform endpoint with different kinds of apps, see the Get Started links in the Microsoft identity platform developer documentation. La documentation contient des liens vers des rubriques de présentation, des guides de démarrage rapide, des exemples de code et une documentation relative au protocole pour différents types d’applications prises en charge par le point de terminaison de la Plateforme d’identités Microsoft.The documentation contains links to overview topics, quickstarts, tutorials, code samples and protocol documentation for different kinds of apps supported by the Microsoft identity platform endpoint.
  • Pour plus d’informations sur la bibliothèque d’authentification Microsoft (MSAL) et le middleware serveur disponibles pour une utilisation avec le point de terminaison de la Plateforme d’identités Microsoft, consultez la page Bibliothèques d’authentification Microsoft.For information about the Microsoft Authentication Library (MSAL) and server middleware available for use with the Microsoft identity platform endpoint, see Microsoft Authentication Libraries.