Microsoft Azure offre une multitude de services pour aider les développeurs et les professionnels de l'informatique à gérer leurs applications basées sur le cloud.
Parmi ces services on trouve les inscriptions d'application et les applications d'entreprise. Nous allons étudier dans cet article comment ces services s'intègrent dans l'écosystème Azure.
A quoi servent les inscriptions d'application dans Azure ?
L'inscription d'application Azure est une fonctionnalité au sein de Azure Active Directory (Azure AD) qui permet aux développeurs de configurer leurs applications pour l'authentification et l'autorisation. Lorsque vous inscrivez une application, Azure AD fournit un identifiant d'application (client) unique, utilisé pour identifier l'application lors de l'authentification.
Caractéristiques clés:
- ID d’application : Identifiant unique pour votre application.
- Authentification : Configuration des plateformes, des URI de redirection et des URL de déconnexion.
- Permissions API : Définition des API auxquelles votre application pourra avoir accès.
Qu'est-ce qu'une application d'entreprise ?
Une application d'entreprise dans Azure représente une instance de l'application que vous avez enregistrée et ses configurations associées. Vous pouvez voir cela comme la version 'runtime' de votre inscription d'application. Elle fournit des informations sur les utilisateurs, les groupes et les politiques d'accès conditionnel associées à l'application.
Caractéristiques clés :
- Utilisateurs et groupes : Affichez et gérez les utilisateurs et les groupes ayant accès à l'application.
- Authentification unique : Configurez le SSO pour votre application.
- Accès conditionnel : Établissez des politiques pour contrôler l'accès en fonction des conditions.
Scénarios : Utilisation des inscriptions d'application et des applications d'entreprise
1. Authentification d’une application Web :
Imaginez avoir développé une application web et vouloir utiliser Microsoft Entra ID (Azure AD) pour l'authentification.
- Inscription d'application : Inscrivez votre application web dans Azure AD. Notez l'ID d'application.
- Authentification : Configurez l'URI de redirection pour renvoyer à votre application web.
- Permissions API : Accordez les permissions nécessaires, par exemple, Microsoft Graph pour lire les profils des utilisateurs.
- Application d'entreprise : Attribuez des utilisateurs ou des groupes pouvant accéder à l'application web. Configurez le SSO.
2. Accès à l'API Microsoft Graph:
Supposons que vous ayez un service en arrière-plan qui doit lire les calendriers des utilisateurs.
- Inscription d'application : Inscrivez votre service dans Azure AD.
- Permissions API : Accordez la permission de lire les calendriers.
- Application d'entreprise : Pas besoin d'attributions d'utilisateurs puisque c'est un service en arrière-plan. Cependant, assurez-vous que les permissions d’API nécessaires sont accordées.
3. Accès conditionnel pour une application SaaS :
Vous êtes abonné à une application SaaS et souhaitez vous assurer que seuls les utilisateurs de départements spécifiques peuvent y accéder pendant les heures de travail.
- Inscription d'application : Le fournisseur SaaS aura déjà effectué cette étape.
- Application d'entreprise : Utilisez l'application d'entreprise existante créée par le fournisseur SaaS.
- Accès conditionnel : Créez une politique ciblant les départements spécifiques et définissez des conditions basées sur le temps.
4. Création d'une application Teams à l'aide de l'API Graph et de l'inscription d'application :
Supposons que vous souhaitiez créer une application Teams pour faciliter la collaboration au sein de votre organisation.
- Inscription d'application : Inscrivez votre application Teams dans Azure AD.
- Permissions API : Accordez des permissions pour accéder à l'API Microsoft Graph, en particulier aux points de terminaison Teams.
- Application d'entreprise : Attribuez des utilisateurs ou des groupes qui peuvent utiliser l'application Teams.
- Utilisation de l'API Graph : Utilisez l'API Microsoft Graph pour créer des équipes, ajouter des membres et configurer des canaux.
5. Protéger une Web API avec une inscription d'application et Azure AD Identity :
Lorsque vous développez une Web API, il est essentiel de garantir que seuls les utilisateurs ou les applications autorisés puissent y accéder. Azure AD et les inscriptions d'application offrent une solution robuste pour cela.
Inscription d'application : Commencez par inscrire votre Web API dans Azure AD. Cela vous fournira un ID d'application unique que vous utiliserez pour identifier votre API.
Authentification : Dans la section d'authentification de votre inscription d'application, configurez les URI de redirection pour votre Web API. Cela permettra à Azure AD de renvoyer les jetons d'accès à la bonne URI après l'authentification.
Permissions API : Définissez les permissions nécessaires pour votre Web API. Par exemple, si votre API permet de lire et d'écrire des données, vous pouvez avoir des permissions "Lire" et "Écrire".
Azure AD Identity : Azure AD Identity vous permet de définir des politiques d'accès basées sur l'identité de l'utilisateur ou de l'application. Par exemple, vous pouvez créer une politique qui n'autorise que les utilisateurs de votre organisation à accéder à l'API ou une autre qui n'autorise que certaines applications partenaires.
Intégration avec la Web API : Dans le code de votre Web API, utilisez les bibliothèques d'authentification Azure AD pour valider les jetons d'accès à chaque requête. Si le jeton est valide et que l'utilisateur ou l'application dispose des bonnes permissions, autoriser la requête. Sinon, renvoyer une erreur d'autorisation.
Application d'entreprise : Dans l'application d'entreprise associée à votre Web API, vous pouvez voir et gérer les utilisateurs et les applications qui ont été autorisés à accéder à votre API. Vous pouvez également configurer l'authentification unique (SSO) pour votre API si nécessaire.
Conclusion
La combinaison des inscriptions d'application Azure et de Azure AD Identity offre une solution complète pour protéger votre Web API. Non seulement vous pouvez garantir que seuls les utilisateurs et les applications autorisés y accèdent, mais vous pouvez également gérer et auditer ces accès de manière centralisée via le portail Azure.
Les inscriptions d'application et les applications d'entreprise Azure sont des outils puissants de l'arsenal Azure AD. Ils offrent un contrôle granulaire de l'accès aux applications, garantissant sécurité et conformité. Que vous soyez un.e développeur.se cherchant à intégrer l’authentification Azure AD ou un.e professionnel.le de l'informatique cherchant à gérer l'accès aux applications, ces fonctionnalités sont indispensables.
![[NEXT' 24]: GenAI ou comment vivre avec son temps](/content/images/size/w1304/2024/04/8_Google_Cloud_Next_2024_JtCx8BX.max-2000x2000.jpg)
![[Next’ 24] Découverte de GKE on Prem, la promesse de Google pour une performance optimisée on-site](/content/images/size/w1304/2024/04/Capture-d-e-cran-2024-04-23-a--11.42.19.png)
