VENTES: 1-800-867-1389

Ajout, mise à jour et suppression d'une application

Mis à jour: octobre 2014

Cette rubrique montre comment ajouter, mettre à jour ou supprimer une application dans Azure Active Directory (Azure AD). Elle décrit les différents types d'applications qui peuvent être intégrées à Azure AD, comment configurer vos applications pour accéder à d'autres ressources telles que des API web, et bien plus encore. Pour plus d'informations sur les propriétés de l'application, consultez Application Objects and Service Principal Objects.

Toute application devant utiliser les fonctionnalités d'Azure AD doit d'abord être inscrite dans un annuaire. Le processus d'inscription implique la fourniture à Azure AD de détails sur l'application, tels que l'URL de son emplacement, l'URL à laquelle envoyer une réponse après authentification d'un utilisateur, l'URI identifiant l'application, etc.

Si vous créez une application web qui doit juste se connecter pour des utilisateurs dans Azure AD, vous pouvez simplement suivre les instructions ci-dessous. Si votre application doit accéder à une API web, vous créez une application native qui doit accéder à une API web. Si vous souhaitez que votre application soit mutualisée, la section Mise à jour d'une application explique comment poursuivre la configuration.

Si vous souhaitez que votre application soit accessible à d'autres organisations, vous devez également activer l'accès externe après avoir ajouté l'application.

  1. Connectez-vous au portail de gestion Azure.

  2. Cliquez sur l'icône Active Directory dans le menu de gauche, puis cliquez sur l'annuaire souhaité.

  3. Dans le menu supérieur, cliquez sur Applications. Si aucune application n'a été ajoutée à votre annuaire, cette page affiche uniquement le lien Ajouter une application. Cliquez sur le lien ou sur le bouton Ajouter dans la barre de commandes.

  4. Dans la page Que voulez-vous faire, cliquez sur le lien Ajouter une application développée par mon organisation.

  5. Dans la page Parlez-nous de votre application, spécifiez un nom pour votre application, et indiquez le type d'application que vous inscrivez auprès d'Azure AD. Vous pouvez choisir entre une application web et/ou API web (par défaut) ou une application cliente native, c'est-à-dire une application installée sur un appareil tel qu'un téléphone ou un ordinateur.

    Lorsque vous avez terminé, cliquez sur la flèche située dans l'angle inférieur droit de la page.

  6. Dans la page Propriétés de l'application, indiquez l'URL de connexion et l'URI ID d'application de votre application web (ou simplement l'URI de redirection pour une application cliente native), puis cliquez sur la case à cocher dans l'angle inférieur droit de la page.

  7. Votre application est ajoutée, et vous accédez à la page de démarrage rapide de votre application. Selon que votre application est une application native ou web, différentes options sont disponibles pour l'ajout de fonctionnalités à votre application. Une fois votre application ajoutée, vous pouvez commencer à mettre à jour votre application pour permettre aux utilisateurs de se connecter, d'accéder à des API web dans d'autres applications, ou de configurer une application mutualisée (ce qui permet à d'autres organisations d'accéder à votre application).

    noteRemarque
    Par défaut, l'inscription de l'application que vous venez de créer est configurée pour autoriser les utilisateurs de votre annuaire à se connecter à votre application.

Une fois votre application inscrite auprès d'Azure AD, elle peut nécessiter une mise à jour pour offrir l'accès à des API web, être disponible dans d'autres organisations, et bien plus encore. Cette section décrit comment configurer davantage votre application. Pour plus d'informations sur le fonctionnement de l'authentification dans Azure AD, consultez Scénarios d'authentification pour Azure AD.

Avant de mettre à jour votre application, vous devez avoir compris quelques concepts importants concernant l'infrastructure de consentement dans Azure AD.

La nouvelle infrastructure de consentement d'Azure AD facilite le développement d'applications web et natives qui doivent accéder à des API web sécurisées par Azure AD. Ces API web incluent l'API graphique, Office 365 et autres services Microsoft, en plus de vos propres API web. L'infrastructure est basée sur un utilisateur ou un administrateur consentant à ce qu'une application soit inscrite dans son annuaire, ce qui peut impliquer l'accès à des données d'annuaire. Par exemple, si une application web doit appeler l'API web d'Office 365 pour lire les informations de calendrier de l'utilisateur, celui-ci doit donner son consentement à l'application. Une fois ce consentement reçu, l'application web est en mesure d'appeler l'API web d'Office 365 au nom de l'utilisateur, et d'utiliser les informations de calendrier nécessaires.

L'infrastructure de consentement est basée sur OAuth 2.0 et ses différents flux, tel que l'octroi d'un code d'autorisation et d'informations d'identification de client, en utilisant des clients publics ou confidentiels. En utilisant OAuth 2.0, Azure AD permet de créer de nombreux types différents d'applications clientes, par exemple, sur un téléphone, une tablette, un serveur ou une application web, et d'avoir accès aux ressources requises.

Pour plus d'informations sur l'infrastructure de consentement, consultez OAuth 2.0 dans Azure AD, Scénarios d'authentification pour Azure AD et la rubrique d'Office 365 Authentification et autorisation à l'aide d'une infrastructure de consentement commune.

Les étapes suivantes montrent le fonctionnement de l'expérience de consentement tant pour le développeur que pour l'utilisateur d'une application.

  1. Sur la page de configuration de votre application dans le portail de gestion Azure, définissez les autorisations que votre application requiert à l'aide des menus déroulants du contrôle Autorisations pour d'autres applications.



    Autorisations sur les autres applications

  2. Considérez que les autorisations de votre application ont été mises à jour, que l'application est en cours d'exécution, et qu'un utilisateur s'apprête à l'utiliser pour la première fois. Si l'application n'a pas encore acquis de jeton d'accès ou d'actualisation, elle doit accéder au point de terminaison d'autorisation d'Azure AD pour obtenir un code d'autorisation permettant d'acquérir un nouveau jeton d'accès et d'actualisation.

  3. Si l'utilisateur n'est pas encore authentifié, il est invité à se connecter à Azure AD.



    Connexion de l'utilisateur ou de l'administrateur à Azure AD

  4. Une fois l'utilisateur connecté, Azure AD détermine s'il est nécessaire d'afficher une page de consentement. Il s'agit de déterminer si l'utilisateur (ou un administrateur de son organisation) a déjà donné son consentement à l'application. À défaut, Azure AD invite l'utilisateur à donner son consentement et affiche les autorisations requises pour fonctionner. Les autorisations qui figurent dans la boîte de dialogue de consentement sont identiques à celles sélectionnées dans le contrôle Autorisations pour d'autres applications du portail de gestion Azure.



    Expérience de consentement de l'utilisateur

  5. Une fois que l'utilisateur donne son consentement, un code d'autorisation est renvoyé à votre application, qui permet d'acquérir un jeton d'accès et un jeton d'actualisation. Pour plus d'informations sur ce flux, consultez la section Web Application to Web API de la rubrique Scénarios d'authentification pour Azure AD.

L'infrastructure de consentement décrite ci-dessus vous permet de configurer votre application afin qu'elle exige des autorisations pour accéder aux données exposées par des API web dans votre annuaire. Par défaut, toutes les applications peuvent choisir des autorisations d'Azure Active Directory (API graphique) et de l'API de gestion des services Azure, car l'autorisation Azure AD « Activer le profil de connexion et de lecture de l'utilisateur » est pré-sélectionnée. Si votre annuaire comporte également un abonnement à Office 365, les API et autorisations web pour SharePoint et Exchange Online peuvent également être sélectionnées. Vous pouvez sélectionner deux types d'autorisations dans les menus déroulants en regard de l'API web souhaitée :

  • Autorisations d'application : Votre application doit accéder à l'API web directement en tant que telle (sans contexte utilisateur). Ce type d'autorisation requiert le consentement d'un administrateur, et n'est pas disponible pour des applications clientes natives.

  • Autorisations de délégation : Votre application doit accéder à l'API web en tant qu'utilisateur connecté, mais avec un accès limité par l'autorisation sélectionnée. Une autorisation de ce type peut être octroyée par un utilisateur, sauf si elle est configurée comme nécessitant le consentement d'un administrateur.

  1. Connectez-vous au portail de gestion Azure.

  2. Cliquez sur l'icône Active Directory dans le menu de gauche, puis cliquez sur l'annuaire souhaité.

  3. Dans le menu supérieur, cliquez sur Applications, puis sur l'application que vous souhaitez configurer. La page de démarrage rapide affiche une authentification unique et d'autres informations de configuration.

  4. Développez la section Accéder aux API web dans d'autres applications du démarrage rapide, puis, dans la section Sélectionner des autorisations, cliquez sur le lien Configurer maintenant. La page de propriétés de l'application s'affiche.

  5. Faites défiler jusqu'à la section Autorisations pour d'autres applications. La première colonne vous permet d'opérer une sélection parmi les applications disponibles dans votre annuaire qui exposent une API web. Une fois la sélection faite, vous pouvez sélectionner les autorisations d'application et de délégation que l'API web expose.

  6. Une fois les autorisations sélectionnées, cliquez sur le bouton Enregistrer dans la barre de commandes.

    noteRemarque
    En cliquant sur le bouton Enregistrer, vous définissez automatiquement les autorisations pour votre application dans votre annuaire, sur la base des Autorisations pour d'autres applications que vous avez configurées. Vous pouvez consulter ces autorisations d'application sous l'onglet Propriétés de l'application.

Vous pouvez développer une API web et la mettre à la disposition d'autres organisations, en exposant les étendues de vos autorisations à d'autres développeurs d'applications. Une API web correctement configurée est rendue disponible comme les autres API web Microsoft, dont l'API graphique et l'API Office 365. Vous pouvez rendre votre API web disponible en configurant un manifeste de l'application, qui est un fichier JSON représentant la configuration d'identité de votre application. Vous pouvez exposer les étendues de vos autorisations en accédant à votre application dans le portail de gestion Azure, puis en cliquant sur le bouton Manifeste de l'application dans la barre de commandes.

  1. Connectez-vous au portail de gestion Azure.

  2. Cliquez sur l'icône Active Directory dans le menu de gauche, puis cliquez sur l'annuaire souhaité.

  3. Dans le menu supérieur, cliquez sur Applications, puis sur l'application que vous souhaitez configurer. La page de démarrage rapide affiche une authentification unique et d'autres informations de configuration.

  4. Cliquez sur le bouton Gérer le manifeste dans la barre de commandes, puis sélectionnez Télécharger le manifeste.

  5. Ouvrez le fichier JSON du manifeste de l'application, puis remplacez le nœud “oauth2Permissions” par l'extrait de code JSON suivant. Cet extrait de code est un exemple de la manière d'exposer une étendue des autorisations, appelée emprunt d'identité d'utilisateur. Veillez à modifier le texte et les valeurs en fonction de votre propre application :

    "oauth2Permissions": [
        {
          "adminConsentDescription": "Allow the application full access to the Todo List service on behalf of the signed-in user",
          "adminConsentDisplayName": "Have full access to the Todo List service",
          "id": "b69ee3c9-c40d-4f2a-ac80-961cd1534e40",
          "isEnabled": true,
          “origin”: “Application”
          "type": "User",
          "userConsentDescription": "Allow the application full access to the todo service on your behalf",
          "userConsentDisplayName": "Have full access to the todo service",
          "value": "user_impersonation"
        }
      ],
    

    La valeur id doit être un nouveau GUID généré que vous créez à l'aide d'un outil de génération de GUID ou par programme. Il représente un identificateur unique pour l'autorisation exposée par l'API web. Une fois votre client correctement configuré pour demander l'accès à votre API web et aux appels de celle-ci, il présente un jeton OAuth 2.0 JWT dont la revendication d'étendue (scp) est définie sur la valeur ci-dessus, en l'occurrence user_impersonation.

    noteRemarque
    Vous pouvez exposer des étendues d'autorisations supplémentaires ultérieurement si nécessaire. Considérez que votre API web peut exposer plusieurs autorisations associées à un éventail de fonctions différentes. Vous pouvez désormais contrôler l'accès à l'API web en utilisant la revendication d'étendue (scp) dans le jeton OAuth 2.0 JWT reçu.

  6. Enregistrez le fichier JSON mis à jour et téléchargez-le en cliquant sur le bouton Gérer le manifeste dans la barre de commandes, en sélectionnant Télécharger le manifeste, en accédant à votre fichier manifeste mis à jour, puis en sélectionnant celui-ci. Une fois téléchargée, votre API web est configurée pour être utilisée par d'autres applications répertoriées dans votre annuaire.

  1. Dans le menu supérieur, cliquez sur Applications, sélectionnez l'application pour laquelle vous souhaitez configurer l'accès à l'API web, puis cliquez sur Configurer.

  2. Faites défiler jusqu'à la section Autorisations pour d'autres applications. Cliquez sur le menu déroulant Sélectionner une application afin de pouvoir sélectionner l'API web pour laquelle vous venez d'exposer une autorisation. Dans le menu déroulant Autorisations de délégation, sélectionnez la nouvelle autorisation.

    Affichage des autorisations sur la liste des opérations

Le tableau suivant répertorie les valeurs possibles pour la portion oauth2Permissions du fichier JSON manifeste de l'application.

 

Élément Description

adminConsentDescription

Description d'aide qui s'affiche en cas de pointage dans la boîte de dialogue de consentement de l'administrateur et dans la page de propriétés de l'application ayant reçu le consentement.

adminConsentDisplayName

Nom convivial de l'autorisation, affiché dans les listes déroulantes d'étendue des autorisations d'application et/ou de délégation, aux administrateurs durant le consentement, et dans la page de propriétés de l'application.

id

Représente un identificateur interne unique pour l'étendue des autorisations. Il doit être unique parmi toutes les autorisations relatives à l'application, et doit également être un GUID.

isEnabled

Lors de la création ou de la mise à jour d'une autorisation OAuth2, cette valeur est toujours définie sur true. Si vous souhaitez supprimer une autorisation, vous devez définir cette valeur sur false, puis télécharger le manifeste. Ensuite, vous pouvez supprimer l'autorisation dans un téléchargement de manifeste suivant.

origin

Réservé pour un usage ultérieur. La valeur est toujours définie sur « application ».

type

Il peut s'agir de l'une des valeurs suivantes :

  • “User” : peut être consentie par des utilisateurs finaux

  • “Admin” : doit être consentie par un administrateur d'entreprise

userConsentDescription

Description d'aide qui s'affiche en cas de pointage dans la boîte de dialogue de consentement de l'utilisateur.

userConsentDisplayName

Nom convivial de l'autorisation, affiché aux utilisateurs finaux pendant le consentement, et dans la page de propriétés de l'application dans le volet d'accès à l'application.

value

Cette valeur est placée dans la revendication scp du jeton d'accès OAuth 2.0 si l'utilisateur a donné son consentement à cette autorisation. L'API web peut utiliser cette valeur pour définir l'étendue du niveau d'accès de l'application en cas d'emprunt de l'identité de l'utilisateur. Elle ne peut pas contenir d'espaces et doit être unique parmi toutes les autorisations de l'application.

Cette section décrit comment mettre à jour votre application pour accéder à l'API graphique, appelée « Azure Active Directory », dans la liste Autorisations pour d'autres applications. Elle est disponible par défaut pour toutes les applications inscrites auprès d'Azure AD. L'API graphique vous permet d'opérer une sélection parmi les autorisations suivantes :

 

Nom de l'autorisation Description Type

Activer les profils de connexion et de lecture des utilisateurs

Autoriser les utilisateurs à se connecter à l'application avec leurs comptes d'organisation, et laisser l'application lire les profils des utilisateurs connectés, par exemple, leur adresse de messagerie et leurs informations de contact.

Autorisation de délégation uniquement. Les utilisateurs peuvent y consentir.

Accéder à l'annuaire de votre organisation

Autoriser l'application à accéder à l'annuaire de votre organisation au nom de l'utilisateur connecté.

Autorisation de délégation uniquement. Les utilisateurs peuvent y consentir dans un client natif, et seul un administrateur peut le faire pour des applications web.

Lire des données d'annuaire

Autoriser l'application à lire les données de l'annuaire de votre organisation, par exemple, sur les utilisateurs, les groupes et les applications.

Autorisation de délégation et d'application. Un administrateur doit y consentir.

Lire et écrire des données d'annuaire

Autoriser l'application à lire et à écrire des données dans l'annuaire de votre organisation, par exemple, sur les utilisateurs et les groupes.

Autorisation de délégation et d'application. Un administrateur doit y consentir.

Pour des utilisateurs du portail de gestion Azure, définir les autorisations d'application Lire les données de l'annuaire et Lire et écrire les données de l'annuaire via le nouveau contrôle Autorisations pour d'autres applications équivaut à utiliser l'ancien Assistant Gérer l'accès. Pour afficher les étendues des autorisations exposées par Office 365, consultez la rubrique Authentification et autorisation à l'aide de l'infrastructure commune de consentement.

noteRemarque
En raison d'une limitation actuelle, les applications clientes natives ne peuvent appeler l'API Azure AD graphique que si elles utilisent l'autorisation « Accéder à l'annuaire de votre organisation ». Cette restriction ne s'applique pas aux applications web.

Lors de l'ajout d'une application à Azure AD, vous pouvez décider de rendre votre application accessible uniquement aux utilisateurs de votre organisation. Vous pouvez également décider de la rendre accessible à des utilisateurs d'organisations externes. Ces deux types d'applications sont appelées applications à locataire unique et applications mutualisées. Vous pouvez modifier la configuration d'une application à locataire unique afin de la convertir en application mutualisée en procédant de la manière décrite ci-dessous.

Il est important de noter les différences entre une application à locataire unique et une application mutualisée. Une application à locataire unique est destinée à être utilisée au sein d'une seule organisation. Il s'agit généralement d'une application métier écrite par un développeur d'entreprise. Une application à locataire unique ne doit être accessible qu'aux utilisateurs d'un seul annuaire et, en conséquence, être mise en service dans un seul annuaire. Une application mutualisée est destinée à être utilisée dans plusieurs organisations. Il s'agit généralement d'une application SaaS écrite par un éditeur de logiciels indépendant. Les applications à plusieurs locataires doivent être mises en service dans chaque annuaire où elles seront utilisées, ce qui nécessite que l'utilisateur ou l'administrateur consente à les inscrire.

Si vous écrivez une application que vous souhaitez mettre à la disposition de clients ou de partenaires extérieurs à votre organisation, vous devez mettre à jour la définition d'application dans le portail de gestion Azure.

noteRemarque
Lorsque vous activez l'accès externe, vous devez veiller à ce que l'URI ID d'application de votre application appartienne à un domaine vérifié. En outre, l'URL de renvoi doit commencer par https://. Pour plus d'informations, consultez Application Objects and Service Principal Objects.

  1. Connectez-vous au portail de gestion Azure.

  2. Cliquez sur l'icône Active Directory dans le menu de gauche, puis cliquez sur l'annuaire souhaité.

  3. Dans le menu supérieur, cliquez sur Applications, puis sur l'application que vous souhaitez configurer. La page de démarrage rapide affiche une authentification unique et d'autres informations de configuration.

  4. Développez la section Configurer une application mutualisée de la page de démarrage rapide, puis, dans la section Activer l'accès, cliquez sur le lien Configurer maintenant. La page de propriétés de l'application s'affiche.

  5. Cliquez sur le Oui en regard de Application mutualisée, puis cliquez sur le bouton Enregistrer dans la barre de commandes.

Une fois la modification ci-dessus apportée, les utilisateurs et administrateurs d'autres organisations peuvent octroyer à votre application l'accès à leur annuaire et à d'autres données.

Pour pouvoir octroyer l'accès à l'aide de l'infrastructure de consentement, l'application cliente doit demander une autorisation à l'aide d'OAuth 2.0. Des exemples de code sont disponibles pour vous montrer comment une application web, une application native ou une application démon/serveur demandent des codes d'autorisation et des jetons d'accès pour appeler des API web.

Votre application web peut offrir une expérience d'inscription aux utilisateurs. Si vous offrez une expérience d'inscription, l'utilisateur est supposé cliquer sur un bouton d'inscription (ou de connexion) qui redirige le navigateur vers le point de terminaison authorize d'OAuth2.0 AD Azure, ou vers un point de terminaison userinfo d'OpenID Connect. Ces points de terminaison autorisent l'application à obtenir des informations sur le nouvel utilisateur en examinant la valeur d'id_token.

Sinon, votre application web peut également offrir une expérience permettant aux administrateurs d'inscrire leur société. Cette expérience redirige également l'utilisateur vers le point de terminaison authorize d'OAuth 2.0 Azure AD. Dans ce cas, vous pouvez aussi passer un paramètre prompt=admin_consent pour déclencher l'expérience de consentement d'administrateur, où l'administrateur donne son consentement pour le compte de son organisation. Si le consentement est correct, la réponse contient admin_consent=true. En échangeant un jeton d'accès, vous recevez également un id_token qui fournit des informations sur l'organisation et l'administrateur qui s'est inscrit pour votre application.

Cette section décrit l'expérience de consentement héritée antérieure au 12 mars 2014. Cette expérience toujours prise en charge est décrite ci-dessous. Avant la nouvelle fonctionnalité, vous pouviez uniquement octroyer les autorisations suivantes :

  • connexion d'utilisateurs à partir de leur organisation ;

  • connexion d'utilisateurs et lecture des données d'annuaire de leur organisation (uniquement en tant qu'application) ;

  • connexion d'utilisateurs et lecture-écriture des données d'annuaire de leur organisation (uniquement en tant qu'application).

Vous pouvez suivre les étapes décrites dans Développement d'applications web multi-locataires avec Azure AD afin d'accorder l'accès pour de nouvelles applications inscrites dans Azure AD. Il est important de noter que la nouvelle infrastructure de consentement peut autoriser des applications beaucoup plus puissantes, et permet à des utilisateurs plutôt qu'aux seuls administrateurs de consentir à ces applications.

Pour que des utilisateurs externes puissent s'inscrire à votre application à l'aide de leurs comptes d'organisation, vous devez mettre à jour votre application de façon à afficher un bouton établissant un lien vers la page d'Azure AD, qui leur permet d'octroyer l'accès. La rubrique Instructions pour la personnalisation des applications intégrées contient des conseils de personnalisation pour ce bouton d'inscription . Après que l'utilisateur a octroyé ou refusé l'accès, la page d'octroi d'accès d'Azure AD redirige le navigateur vers votre application avec une réponse. Pour plus d'informations sur les propriétés d'application, consultez Application Object.

La page d'octroi d'accès est créée par Azure AD, et vous pouvez trouver un lien vers celle-ci sur la page Configuration de votre application, dans le portail de gestion. Pour accéder à la page Configuration, cliquez sur le lien Applications dans le menu supérieur de votre locataire Azure AD, cliquez sur l'application que vous souhaitez configurer, puis sur Configurer dans le menu supérieur de la page de démarrage rapide.

Le lien vers votre application doit ressembler à ceci : http://account.activedirectory.windowsazure.com/Consent.aspx?ClientID=058eb9b2-4f49-4850-9b78-469e3176e247&RequestedPermissions=DirectoryReaders&ConsentReturnURL= https%3A%2F%2Fadatum.com%2FExpenseReport.aspx%3FContextId%3D123456. Le tableau suivant décrit les parties du lien :

 

Paramètre Description

ClientId

Obligatoire. ID de client que vous avez obtenu dans le cadre de l'ajout de votre application.

RequestedPermissions

Facultatif. Niveau d'accès que votre application demande, qui sera affiché à l'utilisateur octroyant l'accès à votre application. Si non spécifié, le niveau d'accès demandé est par défaut une authentification unique. Les autres options sont DirectoryReaders et DirectoryWriters. Pour plus d'informations sur ces niveaux d'accès, consultez Application Access Levels.

ConsentReturnUrl

Facultatif. URL à laquelle que vous voulez que la réponse d'octroi d'accès soit renvoyée. Cette valeur doit être codée URL et figurer dans le même domaine que le paramètre Reply URL configuré dans votre définition d'application. Si elle n'est pas fournie, la réponse d'octroi d'accès sera redirigée vers votre Reply URL configurée.

La spécification d'une ConsentReturnUrl distincte de l'Reply URL autorise votre application à implémenter une logique distincte qui peut traiter la réponse sur une URL autre que l'Reply URL (qui traite normalement les jetons SAML pour la connexion). Vous pouvez également spécifier des paramètres supplémentaires dans l'URL encodée ConsentReturnURL. Ceux -ci seront retransmis comme paramètres de chaîne de requête à votre application lors de la redirection. Ce mécanisme permet de conserver des informations supplémentaires ou de lier la demande d'octroi d'accès à la réponse d'Azure AD effectuée par votre application.

Les images suivantes illustrent ce que qui se passe pour l'utilisateur quand une application redirige vers le lien d'octroi d'accès.

Si l'utilisateur n'est pas encore connecté, il est invité à le faire :

Se connecter à AAD

Une fois l'utilisateur authentifié, Azure AD le redirige vers la page d'octroi d'accès :

Accorder l'accès

noteRemarque
Seul l'administrateur d'entreprise de l'organisation externe peut octroyer l'accès à votre application. Si l'utilisateur n'est pas un administrateur d'entreprise, il a la possibilité d'envoyer un courrier électronique à son administrateur d'entreprise pour demander que l'accès soit octroyé à cette application.

Une fois que le client a octroyé l'accès pour votre application en cliquant sur Accorder l'accès, ou s'il a refusé l'accès en cliquant sur Annuler, Azure AD envoie une réponse à l'ConsentReturnUrl ou à votre Reply URL configurée. Cette réponse contient les paramètres suivants :

 

Paramètre Description

TenantId

ID unique de l'organisation dans Azure AD, qui a accordé l'accès pour votre application. Ce paramètre est spécifié uniquement si le client a octroyé l'accès.

Consent

La valeur est définie sur Accordé si l'accès a été octroyé à l'application, ou sur Refusé si la demande a été rejetée.

Des paramètres supplémentaires sont renvoyés à l'application s'ils ont été spécifiés dans le cadre de l'URL encodée ConsentReturnUrl. Voici un exemple de réponse à une demande d'octroi d'accès, qui indique que l'application a été autorisée, et qui inclut un ContextID fourni dans la demande d'octroi d'accès : https://adatum.com/ExpenseReport.aspx?ContextID=123456&Consent=Granted&TenantId=f03dcba3-d693-47ad-9983-011650e64134

noteRemarque
La réponse d'octroi d'accès ne contient pas de jeton de sécurité pour l'utilisateur. L'application doit connecter l'utilisateur séparément.

Voici un exemple de réponse à une demande d'octroi d'accès refusée : https://adatum.com/ExpenseReport.aspx?ContextID=123456&Consent=Denied

Pendant la durée de vie de votre application, il se peut que vous deviez modifier les clés que vous utilisez lorsque vous faites appel à Azure AD afin d'acquérir un jeton d'accès pour appeler l'API graphique. Généralement, la modification les clés se divise en deux catégories : un remplacement d'urgence quand votre clé a été compromise, ou un remplacement intervenant quand votre clé actuelle est sur le point d'expirer. Pour fournir à votre application un accès ininterrompu pendant l'actualisation de vos clés (principalement dans le second cas), il est recommandé de procéder comme suit.

  1. Dans le portail de gestion Azure, cliquez sur votre locataire d'annuaire, sur Applications dans le menu supérieur, puis sur l'application que vous souhaitez configurer. La page de démarrage rapide affiche une authentification unique et d'autres informations de configuration.

  2. Cliquez sur Configurer dans le menu supérieur pour consulter la liste de propriétés de votre application. La liste de vos clés s'affiche.

  3. Sous Clés, cliquez sur la liste déroulante Sélectionner une durée, choisissez 1 ou 2 ans, puis cliquez sur Enregistrer dans la barre de commandes. Cette action génère une nouvelle clé de mot de passe pour votre application. Copiez cette clé. À ce stade, votre application peut utiliser tant la nouvelle clé que la clé existante pour obtenir un jeton d'accès d'Azure AD.

  4. Revenez à votre application et mettez à jour la configuration pour commencer à utiliser la nouvelle clé de mot de passe. Pour obtenir un exemple d'où cette mise à jour doit se produire, consultez Utilisation de l'API Graph pour interroger Azure AD.

  5. Vous devez à présent déployer cette modification dans votre environnement de production, en commençant par la vérifier sur un nœud de service, avant de la déployer entièrement.

  6. Une fois la mise à jour complète dans votre déploiement de production, vous êtes libre de revenir au portail de gestion Azure afin de supprimer l'ancienne clé.

Après avoir activé l'accès d'utilisateurs externes à votre application, vous pouvez continuer à apporter des modifications aux propriétés de votre application dans le portail de gestion Azure. Toutefois, les clients qui ont octroyé l'accès à votre application before l'apport des modifications ne voient pas celles-ci lorsqu'ils consultent les détails de votre application dans le portail de gestion Azure. Une fois l'application disponible pour les clients, vous devez être très prudent lorsque vous apportez certaines modifications. Par exemple, si vous mettez à jour l'App ID URI, vos clients existants qui ont octroyé l'accès avant cette modification ne peuvent plus se connecter à votre application à l'aide de leurs comptes professionnels ou scolaires.

Si vous modifiez la valeur de RequestedPermissions pour demander un niveau d'accès supérieur, les clients existants utilisant une fonctionnalité d'application qui tire désormais parti de nouveaux appels d'API à l'aide de ce niveau d'accès accru peuvent obtenir de l'API graphique une réponse de refus d'accès. Votre application doit gérer ces situations, et demander au client d'octroyer l'accès à votre application avec la demande d'un niveau d'accès accru.

Cette section décrit comment supprimer une application de votre annuaire, qu'il s'agisse d'une application à locataire unique ou mutualisée.

  1. Connectez-vous au portail de gestion Azure.

  2. Cliquez sur l'icône Active Directory dans le menu de gauche, puis cliquez sur l'annuaire souhaité.

  3. Dans le menu supérieur, cliquez sur Applications, puis sur l'application que vous souhaitez configurer. La page de démarrage rapide affiche une authentification unique et d'autres informations de configuration.

  4. Cliquez sur le bouton Supprimer dans la barre de commandes.

  5. Cliquez sur Oui dans le message de confirmation.

  1. Connectez-vous au portail de gestion Azure.

  2. Cliquez sur l'icône Active Directory dans le menu de gauche, puis cliquez sur l'annuaire souhaité.

  3. Dans le menu supérieur, cliquez sur Applications, puis sur l'application que vous souhaitez configurer. La page de démarrage rapide affiche une authentification unique et d'autres informations de configuration.

  4. Dans la section Application mutualisée, cliquez sur Non. Cela convertit votre application en application à locataire unique, mais elle reste dans une organisation qui y a déjà consenti.

  5. Cliquez sur le bouton Supprimer dans la barre de commandes.

  6. Cliquez sur Oui dans le message de confirmation.

Pour pouvoir supprimer l'accès d'une application à son annuaire (après avoir donné son consentement), un administrateur d'entreprise doit avoir un abonnement Azure afin de supprimer l'accès via le portail de gestion Azure. L'administrateur d'entreprise peut également utiliser les applets de commande PowerShell Azure AD pour supprimer l'accès.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft