Intégration Microsoft Azure - Créer une application Azure AD avec des autorisations


La création d'une application Azure AD avec des permissions s'effectue en 3 étapes :

  • l'inscription d'une application Azure AD sur le portail Microsoft Azure ;
  • la déclaration des utilisateurs autorisés à utiliser l'application Azure AD ;
  • l'ajout d'autorisations permettant l'accès aux API.
     

Exemples d'utilisation

  • L'agent support technique (AST) se connecte au serveur de messagerie Microsoft en utilisant l'API Microsoft Graph Mail (authentification moderne OAUTH2.0).
    Note : Le consentement aux autorisations doit obligatoirement être donné par l'administrateur du locataire pour autoriser l'AST à consulter les e-mails.
  • Microsoft Bookings est une solution qui permet de planifier et gérer en ligne les rendez-vous clients d'une entreprise à l'aide d'un calendrier partagé. L'accès aux données s'effectue en utilisant l'API Microsoft Bookings dans Microsoft Graph  - Open url.png voir Intégration Microsoft Bookings 

Quelques définitions sur Microsoft Azure

  • Locataire (en anglais, Tenant)
    • Un locataire identifie un environnement Azure d'un client dans lequel sont conservées ses applications Azure AD.
    • Cet environnement est identifié de façon unique via un identifiant (Directory ou Tenant ID).
    • Chaque client peut disposer de plusieurs locataires.
  • Applications Azure AD
    • Une application Azure AD identifie une application inscrite dans le portail Azure afin de permettre à la plateforme Microsoft de gérer les identités et les autorisations d'accès.
    • Chaque application est définie dans un locataire (environnement Azure) donné, et est identifiée de façon unique via un identifiant (Client ID).
    • Par défaut, une application Azure AD inscrite dans un locataire est disponible pour tous les utilisateurs de ce locataire qui parviennent à s’authentifier. Une fonctionnalité du portail Azure permet de limiter l'application à un ensemble spécifique d’utilisateurs dans le locataire.
  • Autorisations d'accès à une API nécessaires pour permettre à l'application Azure AD d'accéder aux ressources de cette API
    • Autorisations à droit applicatif, ou mode Login sans mot de passe (CC ou Client Credentials en anglais) : Permettent à un produit d'accéder à l'API en s'authentifiant de façon autonome (via ses propres informations d’identification), sans interaction ou consentement d'un utilisateur.
    • Autorisations à droit délégué, ou mode Login avec mot de passe (ROPC ou Resource Owner Password Credentials en anglais) : Permettent à un produit tiers d'accéder à l'API au travers du consentement donné par l’utilisateur au moment où il se connecte.

Processus d'intégration pas à pas

Prérequis

Remarques

  • Tout au long de la procédure, des identifiants doivent être sauvegardés. Ils sont demandés pour configurer l'utilisation de l'application Azure AD dans le produit tiers.

Inscription d'une application dans le portail Azure

RegisterApp_Procedure

Étape 1 : Accès au portail Azure

1. Connectez-vous au portail Azure avec les informations d’identification de votre compte Azure.

2. (optionnel) Sélectionnez votre environnement si vous disposez de plusieurs locataires.
 

Étape 2 : Inscription d'une nouvelle application dans le portail Azure et récupération de l'identifiant

1. Recherchez le service Inscriptions des applications (App registrations) dans la liste des services Azure, ou cliquez sur le lien ci-dessous pour un accès direct.
         Microsoft Azure : Inscriptions des applications

La liste de vos applications Azure AD déjà inscrites sur le portail Azure est affichée.
         App registrations.png

2. Cliquez sur + Nouvelle inscription.

La fenêtre de propriétés est affichée.
         App registration - Creation.png

3. Renseignez les informations nécessaires à l'inscription de l'application.

  • Nom : Nom de l'application. Note : Ce nom n'est pas utilisé par le produit tiers.

    Best Practice icon.png  Saisissez un nom vous permettant de retrouver facilement l'application dans le tableau de bord des applications du portail Azure.

  • Types de compte pris en charge : Indique qui peut utiliser la nouvelle application.
    • Sélectionnez l'option Comptes dans cet annuaire organisationnel uniquement qui indique que seuls les comptes de votre organisation peuvent accéder à l'application (Application monolocataire ou Single tenant).

Best Practice icon.png  Sélectionnez l'option Comptes dans un annuaire organisationnel uniquement si vous envisagez de fournir l'application à plusieurs organisations (par exemple en tant que service SaaS - Application multilocataire ou Multi tenant).

  • Redirect URI : Type d'application et adresse de redirection sur laquelle le portail Azure envoie des jetons de sécurité après authentification.
    Note : Dans le cadre de l'agent support technique (AST), sélectionnez le type d'application Public client / Native client.

4. Cliquez sur Inscrire.

  • L’application Azure AD est créée et inscrite dans le portail Azure.
  • Ses identifiants sont affichés.
    App registration - App with IDs created.png

5. Récupérez les identifiants nécessaires pour configurer votre produit tiers.

  • Survolez chaque identifiant avec la souris puis cliquez sur Copy icon.png pour le copier.
    • Identifiant de la nouvelle application Azure AD : valeur Application (client) ID
    • Identifiant de votre locataire : valeur Directory (tenant) ID)
  • Vous pouvez le coller dans votre éditeur de texte pour une utilisation ultérieure.
    ou
  • Vous pouvez aller directement sur votre produit tiers et renseigner les identifiants demandés.
     

Étape 3 : Création et récupération du secret client de l'application Azure AD

Préquis Vérifiez que votre nouvelle application Azure AD est déclarée en tant que client privé.

  • Cliquez sur Authentification dans le menu latéral.
  • Vérifiez que l'option Paramètres avancés > Traiter l'application comme un client public est positionnée sur Non.
     

1. Cliquez sur Certificats & secrets dans le menu latéral, puis sur + Nouveau client secret.
         Certificates and secrets - Creation.png

La fenêtre de propriétés est affichée.
         Certificates and secrets - Properties.png

2. Renseignez les informations nécessaires à la création du secret client.

  • Description : Description du secret client. Note : Une valeur par défaut est fournie si le champ n'est pas renseigné.
  • Expires : Sélectionnez la date de fin de validité du secret client.

    Best Practice icon.png  Sélectionnez l'option Jamais pour éviter de renouveler régulièrement le secret client, au risque de l'oublier.

3. Cliquez sur Ajouter.

  • Le secret client est généré.
  • Sa valeur est affichée.
    Certificates and secrets - Secret client created.png

4. Récupérez le secret client de l'application nécessaire pour configurer votre produit tiers. Attention : La valeur du nouveau secret client peut être récupérée uniquement à cette étape ; elle est ensuite masquée par des *. Vous devrez alors regénérer un secret client si vous le perdez.

  • Cliquez sur Copy icon.png dans la section Secrets client > Valeur pour copier l'identifiant.
  • Vous pouvez le coller dans votre éditeur de texte pour une utilisation ultérieure.
    ou
  • Vous pouvez aller directement sur votre produit tiers pour le renseigner.
EndRegisterApp_Procedure

Déclaration des utilisateurs autorisés à utiliser l'application Azure AD

Note : Par défaut, la nouvelle application Azure AD est disponible pour tous les utilisateurs de votre locataire qui parviennent à s’authentifier.

exemple  Agent support technique ==>  Déclarez l'adresse e-mail de l'utilisateur autorisé à accéder à la boîte aux lettres de l'AST, renseignée dans le champ Login de l'écran Agent Support Technique.
         User management - Add user - Add assignment - AST example.png

Étape 1 : Activation de l'affectation d’utilisateurs pour l'application Azure AD

1. Cliquez sur Vue d'ensemble dans le menu latéral, puis cliquez sur le nom de votre application Azure AD dans la section Essentiels > Application managée dans l’annuaire local.
         User management - Managed application in local directory option.png

Les propriétés locales de l’application sont affichées.

2. Cliquez sur Propriétés dans le menu latéral.

          User management - Managed application in local directory properties.png

3. Sélectionnez la valeur Oui pour le champ Affectation utilisateur requise ?.

4. Cliquez sur Enregistrer.

          User management - User assignment required property.png
 

Étape 2 : Déclaration des utilisateurs autorisés à utiliser l'application Azure AD

1. Cliquez sur Utilisateurs et groupes dans le menu latéral, puis sur + Ajouter un utilisateur.
         User management - Add user.png

  • La fenêtre d'ajout d'une attribution est affichée.
  • La liste des utilisateurs déclarés sur votre locataire est affichée.
    User management - Add user - Add assignment.png

2. Sélectionnez les utilisateurs autorisés à utiliser votre application, puis cliquez sur Sélectionner.
Les utilisateurs sont affichés dans la liste du bas Éléments sélectionnés.

Best Practice icon.png  Utilisez la zone de recherche pour trouver les utilisateurs souhaités.

3. Cliquez sur Attribuer.
La liste des utilisateurs et groupes autorisés à utiliser votre application Azure AD est réactualisée.
         User management - Add user - Assignment added.png

Ajout des autorisations pour l'utilisation d'une API par l'application Azure AD

Notes

  • Des autorisations d'accès aux API sont nécessaires pour permettre à l'application Azure AD d'accéder aux ressources de celles-ci. Microsoft propose une liste d'API pour lesquelles la configuration diffère suivant que l'autorisation accordée nécessite, ou non, la saisie d'un mot de passe.

Étape 1 : Sélection de l'API utilisée par l'application Azure AD

1. Allez sur la page d'accueil de votre application Azure AD via le fil d'Ariane en haut de page, puis cliquez sur Autorisations de l’API dans le menu latéral.

          API permissions.png

2. Cliquez sur + Ajouter une autorisation.

La liste des API pour lesquelles des autorisations peuvent être demandée est affichée.
         API permissions - Creation.png

3. Cliquez sur l'API souhaitée.

exemple  Agent support technique ==> API Microsoft Graph Mail

API permissions - Selection MS Graph API.png

Étape 2 : Sélection du type d'autorisations

exemple  Type d'autorisations pour l'utilisation de l'API Microsoft Graph Mail avec l'agent support technique

  • Protocole Office 365 (IMAP) : Uniquement autorisations à droit délégué 
  • Protocole Microsoft Graph : Autorisations à droit applicatif ou autorisations à droit délégué

exemple  Type d'autorisations pour l'utilisation de l'API Microsoft Bookings pour accéder aux calendriers clients des entreprises  - Open url.png voir Intégration Microsoft Bookings

  • Autorisations à droit délégué

Note : Le type d'autorisations diffère suivant qu'un mot de passe est requis, ou non.

1. Cliquez sur Autorisations de l'application pour le mode Login sans mot de passe (CC ou Client Credentials en anglais).
         API permissions - Selection MS Graph API - Application permissions.png

ou

1. Cliquez sur Autorisations déléguées pour le mode Login avec mot de passe (ROPC ou Resource Owner Password Credentials en anglais).

          API permissions - Selection MS Graph API - Delegated permissions.png

La liste des autorisations disponibles pour l'API / Type d'autorisations sélectionnés est affichée.
         API permissions - List.png

Étape 3 : Sélection des autorisations

exemple  Autorisations pour l'utilisation de l'API Microsoft Graph Mail avec l'agent support technique  - Open url Liste des autorisations pour l'API Microsoft Graph Mail

  • Protocole Office 365 (IMAP) : User.Read ; IMAP.AccessAsUser.All ; offline.access
  • Protocole Microsoft Graph : User.Read ; Mail.ReadWrite

exemple  Autorisations Bookings... pour l'utilisation de l'API Microsoft Bookings pour accéder aux calendriers clients des entreprises  - Open url.png voir Intégration Microsoft Bookings

1. Cochez les autorisations souhaitées.

Best Practice icon.png  Utilisez la zone de recherche pour filtrer les autorisations.

exemple  Recherchez les autorisations de type mail nécessaires à l'AST

API permissions - MS Graph with Application permission - Permission readwrite selected.png

2. Cliquez sur Ajouter autorisation.
La liste des autorisations pour l'utilisation de l'API par votre application Azure AD est réactualisée.
         API permissions - MS Graph with Application permission - Permission readwrite added.png

Étape 4 : Octroi du consentement administrateur aux autorisations

1. Cliquez sur Accorder un consentement d’administrateur pour <votre locataire>.

Note : Le bouton apparaît grisé si vous ne disposez pas des droits suffisants pour réaliser cette étape. Dans ce cas, vous devez demander à l'administrateur de votre locataire d'accorder le consentement.

  • La liste des autorisations accordées à votre application Azure AD est réactualisée.
    API permissions - MS Graph with Application permission - API permissions granted.png
  • Le produit tiers peut maintenant obtenir un jeton d'accès à l'API et utiliser ses ressources.

    exemple


AccountFreeCreation

Comment créer un compte Azure gratuitement

1. Accédez au site Microsoft Azure.

2. Cliquez sur Démarrer gratuitement.

          Microsoft Flow - Free account.png

3. Connectez-vous à votre compte Microsoft professionnel.
         Microsoft Flow - Login account.png

4. Renseignez les informations d'identification.
         Microsoft Flow - Account creation - Identification 1.png

5. Cliquez sur Suivant.

6. Cochez la case d'acceptation du contrat d’abonnement.
         Microsoft Flow - Account creation - Identification 2.png

7. Cliquez sur Inscription.

Tags :

Raccourcis

Portail client

Tous les changements
•  Service Manager
•  Service Apps
•  Self Help
•  Service Bots

Powered by XWiki © EasyVista 2022