Passer au contenu principal
En plus des flux WS-Federation et Connect, il est également possible d’utiliser le flux Resource Owner avec Azure AD. Ce flux vous permet de recueillir et de valider les identifiants d’un utilisateur (courriel et mot de passe) au lieu d’afficher la page de connexion Azure AD. Pour des raisons de sécurité et d’ (SSO), cette approche n’est pas recommandée; cela dit, le flux peut s’avérer utile dans des scénarios d’applications mobiles natives ou pour traiter l’authentification par lots avec Azure AD. Cette configuration nécessite deux applications : une application Web et/ou une API Web, ainsi qu’une application native. Du point de vue d’Azure AD, les utilisateurs seront authentifiés à l’aide de l’application native pour accéder à l’application Web et/ou à l’API Web.
Schéma d’ensemble des applications Azure AD utilisant le flux Resource Owner

Prérequis

Enregistrez votre application dans Auth0 :
  1. Sélectionnez Native comme Application Type.
  2. Ajoutez une Allowed Callback URL. Le format de votre URL de rappel varie selon votre plateforme. Pour en savoir plus sur le format propre à votre plateforme, consultez nos guides de démarrage rapide pour applications natives.
  3. Assurez-vous que les Grant Types de votre application incluent les flux appropriés.

Étapes

Pour connecter votre application à l’aide du flux Resource Owner, vous devez :
  1. Configurer vos applications dans le portail Microsoft Azure.
  2. Créer une connexion d’entreprise dans Auth0.
  3. Activer la connexion d’entreprise pour votre application Auth0.
  4. Tester la connexion.

Compte Microsoft Azure

Avant de poursuivre, vous devez disposer d’un compte Microsoft Azure valide et avoir votre propre annuaire Azure AD dont vous êtes l’administrateur général.Si vous n’avez pas de compte Microsoft Azure, vous pouvez vous inscrire gratuitement; au besoin, créez ensuite un annuaire Azure AD en suivant le guide Microsoft Démarrage rapide : Créer un nouveau locataire dans Azure Active Directory - Créer un nouveau locataire pour votre organisation.Sinon, si vous avez un compte Office 365, vous pouvez utiliser l’instance Azure AD associée à ce compte au lieu d’en créer une nouvelle. Pour accéder à l’instance Azure AD de votre compte Office 365 :
  1. Ouvrez une session dans Office 365, puis accédez au Centre d’administration Office 365.
  2. Ouvrez le volet Centres d’administration dans le menu de gauche, puis cliquez sur Azure AD.

Configurez vos applications dans le portail Microsoft Azure

Avant de poursuivre, vous devez déjà avoir configuré votre propre annuaire Microsoft Azure AD, pour lequel vous êtes administrateur général. Pour savoir comment faire, consultez le guide Microsoft Démarrage rapide : créer un nouveau locataire dans Azure Active Directory - Créer un nouveau locataire pour votre organisation.

Enregistrer une nouvelle application web

Pour savoir comment enregistrer votre application dans Azure AD, consultez Démarrage rapide : Enregistrer une application avec la plateforme d’identités Microsoft sur Microsoft Docs.
Si vous avez plus d’un annuaire Azure AD, assurez-vous d’être dans le bon annuaire lorsque vous enregistrez votre application.
Pendant la configuration de votre application, assurez-vous d’utiliser les paramètres suivants :
  • Si vous voulez autoriser des utilisateurs d’organisations externes (comme d’autres annuaires Azure AD), sélectionnez Comptes dans n’importe quel annuaire organisationnel (tout annuaire Azure AD - Multilocataire) lorsque vous définissez Types de comptes pris en charge.
  • Lorsque vous êtes invité à définir un URI de redirection, sélectionnez Web et entrez votre URL de rappel : https://{yourDomain}/login/callback.

Trouver le nom de domaine Auth0 pour les redirections

Si votre nom de domaine Auth0 n’est pas indiqué ci-dessus et que vous n’utilisez pas notre fonctionnalité de domaines personnalisés, votre nom de domaine est formé du nom de votre locataire, de votre sous-domaine régional et de auth0.com, séparés par le symbole point (.).Par exemple, si le nom de votre locataire est exampleco-enterprises et que votre locataire se trouve dans la région des États-Unis, votre nom de domaine Auth0 serait exampleco-enterprises.us.auth0.com et votre URI de redirection serait https://exampleco-enterprises.us.auth0.com/login/callback.Cependant, si votre locataire se trouve dans la région des États-Unis et a été créé avant juin 2020, votre nom de domaine Auth0 serait exampleco-enterprises.auth0.com et votre URI de redirection serait https://exampleco-enterprises.auth0.com/login/callback.Si vous utilisez des domaines personnalisés, votre URI de redirection serait https://<YOUR CUSTOM DOMAIN>/login/callback.
Pendant ce processus, notez l’ID d’application (client) que Microsoft génère pour votre application (vous pouvez le trouver dans l’écran Vue d’ensemble de l’application), car vous en aurez besoin plus loin dans le tutoriel.

Configurer votre application Web pour exposer une API

Pour savoir comment configurer votre application Web afin d’exposer une API avec Azure AD, consultez Démarrage rapide : Configurer une application pour exposer des API web dans Microsoft Docs. Pendant la configuration de votre application, assurez-vous d’utiliser les paramètres suivants :
  • Lorsqu’on vous demande de définir un nom de scope, saisissez API.Access.
Au cours de ce processus, notez l’URI d’ID de l’application que Microsoft génère pour votre application, car vous en aurez besoin plus loin dans le tutoriel.

Enregistrer une nouvelle application native

Pour savoir comment enregistrer une application native dans Azure, consultez Démarrage rapide : enregistrer une application avec la plateforme d’identité Microsoft sur Microsoft Docs.
Si vous avez plus d’un annuaire Azure AD, assurez-vous d’être dans le bon annuaire lorsque vous enregistrez votre application.
Lorsque vous configurez votre application, veillez à utiliser les paramètres suivants :
  • Si vous souhaitez autoriser des utilisateurs provenant d’organisations externes (comme d’autres annuaires Azure AD), sélectionnez Comptes dans n’importe quel annuaire organisationnel (tout annuaire Azure AD - multilocataire) dans le paramètre Types de comptes pris en charge.
  • Lorsqu’on vous demande de définir un URI de redirection, sélectionnez Public client/native (mobile & desktop) et entrez votre URL de rappel. Le format de votre URL de rappel varie selon votre plateforme. Pour en savoir plus sur le format propre à votre plateforme, consultez Native Quickstarts.
Au cours de ce processus, notez l’ID d’application (client) que Microsoft génère pour votre application (vous le trouverez dans l’écran Vue d’ensemble de l’application), car vous en aurez besoin plus loin dans le tutoriel.

Créez un secret client pour votre application native

Pour savoir comment créer un , consultez Démarrage rapide : Configurer une application pour accéder à des API web - Ajouter des identifiants à votre application web dans Microsoft Docs. Générez un Secret client et notez sa valeur. Vous en aurez besoin plus loin dans ce tutoriel.
Si vous configurez un secret qui expire, assurez-vous de noter sa date d’expiration; vous devrez renouveler la clé avant cette date pour éviter une interruption de service.

Ajouter des permissions à votre application native

Pour savoir comment ajouter des permissions à votre application Native, consultez Démarrage rapide : Configurer une application cliente pour accéder aux API web - Ajouter des permissions pour accéder aux API web sur Microsoft Docs. Auth0 exige que vous activiez les permissions minimales nécessaires (pour Microsoft Graph API et pour l’application Web que vous avez configurée pour exposer une API) afin que cette configuration fonctionne correctement. Pour en savoir plus sur les permissions de Microsoft Graph API, consultez la référence des permissions Microsoft Graph sur Microsoft Docs. Pendant la configuration de vos permissions, assurez-vous d’utiliser les paramètres suivants pour Microsoft Graph API :
  • Lorsqu’on vous demande un type de permission, choisissez autorisations déléguées.
    • Sous User, sélectionnez User.Read pour permettre à votre application de connecter les utilisateurs et de lire le profil de l’utilisateur connecté.
    • Sous Directory, sélectionnez Directory.Read.All pour permettre à votre application de lire les données de l’annuaire au nom de l’utilisateur connecté.
Pour votre application Web que vous avez configurée pour exposer une API, assurez-vous d’utiliser les paramètres suivants :
  • Lorsqu’on vous demande un type de permission, choisissez autorisations déléguées.
    • Sous API, sélectionnez API.Access pour permettre à votre application d’accéder à votre API au nom de l’utilisateur.

Configurez la connexion dans Auth0

Après avoir créé les deux applications dans Azure AD, vous pouvez configurer la connexion dans Auth0 :
  1. Accédez à Auth0 Dashboard > Authentication > Enterprise, repérez Microsoft Azure AD, puis sélectionnez le bouton d’ajout (+).
    Auth0 Dashboard - Connexions - Entreprise
  2. Entrez les renseignements de votre connexion, puis sélectionnez Create :
ChampDescription
Nom de la connexionIdentifiant logique de votre connexion; il doit être unique pour votre locataire. Une fois défini, ce nom ne peut pas être modifié.
Domaine Microsoft Azure ADLe nom de votre domaine Azure AD. Vous pouvez le trouver sur la page d’aperçu de votre annuaire Azure AD dans le portail Microsoft Azure.
ID clientIdentifiant unique de votre application Azure AD enregistrée. Entrez la valeur enregistrée de Application (client) ID pour l’application native que vous avez enregistrée dans Azure AD.
Secret clientChaîne utilisée pour accéder à votre application Azure AD enregistrée. Entrez la valeur enregistrée de Client secret pour l’application native que vous avez enregistrée dans Azure AD.
Use common endpoint (facultatif)Lorsqu’elle est activée, votre application acceptera dynamiquement des utilisateurs provenant de nouveaux annuaires. Cette option est généralement activée si vous avez sélectionné une option multilocataire pour Supported account types pour l’application que vous avez enregistrée dans Azure AD. Lorsqu’elle est activée, Auth0 redirige les utilisateurs vers le point de terminaison de connexion commun d’Azure, et Azure effectue la Home Realm Discovery en fonction du domaine de l’adresse courriel de l’utilisateur.
API d’identitéAPI utilisée par Auth0 pour interagir avec les points de terminaison Azure AD. Pour en savoir plus sur les différences de comportement, consultez la documentation Microsoft Why update to Microsoft identity platform (v2.0). Sélectionnez Azure Active Directory (v1) et, pour URI d’ID d’application, entrez la valeur enregistrée de Application ID URI créée lorsque vous avez configuré votre application Web pour exposer une API.
AttributsAttributs de base de l’utilisateur connecté auxquels votre application peut accéder. Indique la quantité d’information que vous souhaitez stocker dans le profil utilisateur Auth0.
Attributs étendus (facultatif)Attributs étendus de l’utilisateur connecté auxquels votre application peut accéder.
API Auth0 (facultatif)Lorsque cette option est sélectionnée, elle indique que vous devez pouvoir effectuer des appels à l’API Azure AD Users.
Synchroniser les attributs du profil utilisateur à chaque connexionLorsqu’elle est activée, Auth0 synchronise automatiquement les données du profil utilisateur à chaque ouverture de session, ce qui garantit que les modifications apportées dans la source de connexion sont automatiquement mises à jour dans Auth0.
Vérification du courrielChoisissez comment Auth0 définit le champ email_verified dans le profil utilisateur. Pour en savoir plus, consultez Email Verification for Azure AD and ADFS.
Créer une nouvelle connexion Azure AD

Activez la connexion d’entreprise pour votre application Auth0

Pour utiliser votre nouvelle connexion d’entreprise Azure AD, vous devez activer la connexion pour vos applications Auth0.

Tester la connexion

Vous êtes maintenant prêt à tester votre connexion.

Appartenance à des groupes et informations de profil avancées

Dans ce flux natif, Auth0 recevra un d’Azure AD émis pour votre application Web Azure AD. Par conséquent, des fonctionnalités comme le chargement de l’appartenance à des groupes et des informations de profil avancées ne fonctionneront plus, car le jeton d’accès reçu d’Azure AD ne peut plus être utilisé pour interroger l’API Azure AD Graph afin d’obtenir ces renseignements supplémentaires. Cependant, si vous avez besoin de l’appartenance à des groupes et des informations de profil avancées, vous pouvez modifier votre configuration en conséquence :
  1. Dans Azure, configurez votre application native avec des autorisations supplémentaires pour l’API Microsoft Graph :
    • Lorsqu’on vous demande un type d’autorisation, choisissez Autorisations déléguées.
      • Sous Annuaire, sélectionnez Directory.AccessAsUser.All afin que votre application puisse accéder à l’annuaire en tant qu’utilisateur connecté.
  2. Dans Auth0, modifiez votre connexion d’entreprise Azure AD :
    • Dans API d’identité, sélectionnez Azure Active Directory (v1) et, pour URI d’ID d’application, entrez l’URI de l’API Azure AD Graph : 
      https://graph.windows.net

Prochaines étapes