Passer au contenu principal

Aperçu

Concepts clés
  • Suivez les étapes pour enregistrer votre application dans Azure AD et la connecter à votre instance Auth0.
  • Testez la connexion avant de mettre votre configuration en production.
  • Consultez les conseils de dépannage.
Important : Attributs étendus sur les connexions Azure Active Directory (v1) Comme Microsoft retire progressivement l’API Azure AD Graph jusqu’à sa mise hors service complète, les connexions qui utilisent l’API d’identité Azure Active Directory (v1) ne peuvent plus activer pour la première fois Get extended profile, Get user groups ou Get nested groups (options.ext_profile, options.ext_groups, options.ext_nested_groups). Pour les connexions v1 existantes, ces options restent disponibles seulement si elles étaient déjà activées, mais elles cesseront complètement de fonctionner une fois le retrait de l’API Graph de Microsoft terminé en 2025. Les attributs étendus restent pris en charge pour les connexions qui utilisent l’API d’identité Microsoft Identity Platform (v2), qui repose sur Microsoft Graph et exige les autorisations déléguées User.Read et Directory.Read.All.
Vous pouvez intégrer Microsoft Azure Active Directory (AD) si vous souhaitez permettre aux utilisateurs :
  • de votre entreprise d’utiliser votre application à partir d’un Azure AD géré par vous ou votre organisation;
  • d’autres entreprises d’utiliser votre application à partir de leur Azure AD. (Nous vous recommandons de configurer les répertoires externes comme des connexions distinctes.)
Les claims renvoyés par la connexion d’entreprise Azure AD sont statiques; les claims personnalisés ou facultatifs n’apparaîtront pas dans les profils d’utilisateur. Si vous devez inclure des claims personnalisés ou facultatifs dans les profils d’utilisateur, utilisez plutôt une connexion SAML ou OIDC.

Étapes

Pour connecter votre application à Azure AD, vous devez :
  1. Enregistrer votre application dans Azure AD
  2. Créer une connexion d’entreprise dans Auth0
  3. Activer la connexion d’entreprise pour votre application Auth0
  4. Tester la connexion

Enregistrez votre application dans Azure AD

Pour enregistrer votre application dans Azure AD, consultez le guide Démarrage rapide : inscrire une application sur la plateforme d’identités Microsoft.
Si vous avez plus d’un annuaire Azure AD, assurez-vous d’être dans le bon annuaire lorsque vous enregistrez l’application que vous voulez utiliser avec Auth0.
Pendant l’enregistrement, configurez les paramètres suivants :
OptionParamètre
Types de comptes pris en chargePour activer le provisionnement des utilisateurs basé sur SCIM à partir de cet annuaire, sélectionnez Comptes dans cet annuaire organisationnel uniquement (locataire unique). Pour autoriser les utilisateurs provenant d’organisations externes (comme d’autres annuaires Azure AD), choisissez l’option multilocataire appropriée. Les options multilocataires comprennent notamment : Comptes dans n’importe quel annuaire organisationnel (n’importe quel annuaire Azure AD - multilocataire).
URI de redirectionSélectionnez le type d’URI de redirection Web, puis entrez votre URL de rappel : https://{yourDomain}/login/callback.

Trouvez votre nom de domaine Auth0 pour les redirections

Si votre nom de domaine Auth0 n’est pas indiqué ci-dessus et que vous n’utilisez pas la fonctionnalité domaines personnalisés, il s’agit d’une concaténation du nom de votre locataire, de votre sous-domaine régional et de auth0.com, séparés par un point (.).Par exemple, si le nom de votre locataire est exampleco-enterprises et que votre locataire se trouve dans la région des États-Unis, votre nom de domaine Auth0 serait exampleco-enterprises.us.auth0.com et votre URI de redirection serait https://exampleco-enterprises.us.auth0.com/login/callback.Cependant, si votre locataire se trouve dans la région des États-Unis et a été créé avant juin 2020, votre nom de domaine Auth0 serait exampleco-enterprises.auth0.com et votre URI de redirection serait https://exampleco-enterprises.auth0.com/login/callback.Si vous utilisez des domaines personnalisés, votre URI de redirection serait https://<YOUR CUSTOM DOMAIN>/login/callback.
Pendant ce processus, Microsoft génère un ID d’application (client) pour votre application; vous le trouverez dans l’écran Vue d’ensemble de l’application. Prenez cette valeur en note.

Créer un secret client

Pour créer un , consultez Microsoft’s Add and manage application credentials in Microsoft Entra ID - Add a Client Secret. Une fois généré, notez bien cette valeur.
Si vous configurez un secret avec une date d’expiration, assurez-vous de noter la date d’expiration; vous devrez renouveler la clé avant cette date pour éviter une interruption de service.

Ajouter des autorisations

Pour ajouter des autorisations, consultez le Guide de démarrage rapide : Configurer une application cliente pour accéder aux API web - Ajouter des autorisations pour accéder aux API web. Lors de la configuration des autorisations, tenez compte des points suivants : Si vous souhaitez activer les attributs étendus (comme Profil étendu ou Groupes de sécurité), vous devrez configurer les autorisations suivantes pour l’API Microsoft Graph.
Autorisations déléguéesDescription
Users > User.ReadPour que votre application puisse permettre aux utilisateurs d’ouvrir une session et lire le profil des utilisateurs connectés.
Directory > Directory.Read.AllPour que votre application puisse lire les données de l’annuaire au nom de l’utilisateur connecté.

Créer une connexion d’entreprise dans Auth0

Créez et configurez une connexion d’entreprise Azure AD dans Auth0. Assurez-vous d’avoir l’ID d’application (client) et le Secret client générés lors de la configuration de votre application dans le portail Microsoft Azure.
  1. Accédez à Auth0 Dashboard > Authentication > Enterprise, repérez Microsoft Azure AD, puis cliquez sur son +.
    Dashboard - Connexions - Entreprise
  2. Entrez les détails de votre connexion, puis sélectionnez Create :
ChampDescription
Connection nameIdentifiant logique de votre connexion; il doit être unique dans votre locataire. Une fois défini, ce nom ne peut plus être modifié.
Microsoft Azure AD DomainLe nom de domaine de votre Azure AD. Vous le trouverez sur la page de vue d’ensemble de votre annuaire Azure AD dans le portail Microsoft Azure.
Client IDIdentifiant unique de votre application Azure AD enregistrée. Entrez la valeur enregistrée de l’ID d’application (client) pour l’application que vous venez d’enregistrer dans Azure AD.
Client SecretChaîne utilisée pour accéder à votre application Azure AD enregistrée. Entrez la valeur enregistrée du Secret client pour l’application que vous venez d’enregistrer dans Azure AD.
User ID Attribute TypeAttribut du jeton d’identité qui sera mappé à la propriété user_id dans Auth0. Les options correspondent aux deux types d’ID pris en charge décrits dans la documentation de Microsoft : ID token claims reference - Microsoft identity platform.
Use common endpoint(Facultatif) Lorsque cette option est activée, votre application acceptera dynamiquement les utilisateurs de nouveaux annuaires. Elle est généralement activée si vous avez sélectionné une option multilocataire pour les types de comptes pris en charge de l’application que vous venez d’enregistrer dans Azure AD. Auth0 redirige les utilisateurs vers le point de terminaison de connexion commun d’Azure, et Azure effectue la découverte du domaine d’origine (Home Realm Discovery) en fonction du domaine de l’adresse courriel de l’utilisateur.
Identity APIAPI utilisée par Auth0 pour interagir avec les points de terminaison Azure AD. Pour en savoir plus sur les différences de comportement, consultez la documentation Microsoft Why update to Microsoft identity platform (v2.0).
AttributesAttributs de base de l’utilisateur connecté auxquels votre application peut accéder. Indique la quantité d’information que vous souhaitez stocker dans le profil utilisateur Auth0.
Extended Attributes (optional)Attributs étendus de l’utilisateur connecté auxquels votre application peut accéder.
Auth0 APIs (optional)Lorsque cette option est sélectionnée, elle indique que nous devons pouvoir effectuer des appels à l’API Azure AD, ce qui nous permet de rechercher des utilisateurs dans Azure AD Graph même s’ils ne se sont jamais connectés à Auth0.
Email VerificationChoisissez comment Auth0 définit le champ email_verified dans le profil utilisateur. Pour en savoir plus, consultez Email Verification for Azure AD and ADFS.
PurposeActivez la connexion pour Authentication, Connected Accounts for Token Vault, ou les deux. Pour en savoir plus, consultez User authentication vs Connected Accounts.
  1. Dans la vue Provisioning, vous pouvez configurer la façon dont les profils utilisateur sont créés et mis à jour dans Auth0.
ChampDescription
Sync user profile attributes at each loginLorsque cette option est activée, Auth0 synchronise automatiquement les données du profil utilisateur à chaque connexion, ce qui garantit que les modifications apportées dans la source de connexion sont automatiquement répercutées dans Auth0.
Sync user profiles using SCIMLorsque cette option est activée, Auth0 permet de synchroniser les données du profil utilisateur au moyen de SCIM. Pour en savoir plus, consultez Configure Inbound SCIM.
  1. Dans la vue Login Experience, vous pouvez configurer la façon dont les utilisateurs se connectent avec cette connexion.
ChampDescription
Home Realm DiscoveryCompare le domaine de courriel d’un utilisateur avec les domaines de fournisseur d’identité fournis. Pour en savoir plus, consultez Configurer l’authentification Identifier First
Afficher le bouton de connexionCette option affiche les choix suivants pour personnaliser le bouton de connexion de votre application.
Nom affiché du bouton (Facultatif)Texte utilisé pour personnaliser le bouton de connexion dans Universal Login. Lorsqu’il est défini, le bouton affiche : « Continuer avec {Nom affiché du bouton} ».
URL du logo du bouton (Facultatif)URL de l’image utilisée pour personnaliser le bouton de connexion dans Universal Login. Lorsqu’elle est définie, le bouton de connexion Universal Login affiche l’image dans un carré de 20 px sur 20 px.
Les champs facultatifs sont offerts uniquement avec Universal Login. Les clients qui utilisent Classic Login ne verront pas le bouton Add, le nom affiché du bouton ni l’URL du logo du bouton.
  1. Si vous disposez des autorisations d’administration Azure AD nécessaires pour accorder le consentement à l’application afin que les utilisateurs puissent se connecter, cliquez sur Continuer. Il vous sera demandé de vous connecter à votre compte Azure AD et d’accorder votre consentement. Sinon, fournissez l’URL indiquée à votre administrateur afin qu’il puisse accorder le consentement.

Activer la connexion d’entreprise pour votre application Auth0

Pour utiliser votre nouvelle connexion d’entreprise Azure AD, vous devez d’abord activer la connexion pour vos applications Auth0.

Tester la connexion

Vous êtes maintenant prêt à tester votre connexion.

Dépannage

Voici quelques conseils de dépannage : J’ai enregistré mon application dans Azure AD, mais quand je retourne dans les inscriptions d’applications Azure Active Directory, je ne vois pas mon application. Il se peut que vous ayez enregistré votre application par erreur dans le mauvais annuaire Azure AD (ou que vous n’ayez pas créé d’annuaire Azure AD avant d’enregistrer votre application). Le plus simple est probablement d’enregistrer de nouveau votre application dans Azure AD. Assurez-vous d’être dans le bon annuaire lorsque vous enregistrez l’application. Si vous devez créer un annuaire Azure AD, suivez le guide Microsoft Démarrage rapide : Créer un nouveau locataire dans Azure Active Directory - Créer un nouveau locataire pour votre organisation. Je reçois le message d’erreur suivant : “L’accès ne peut pas être accordé à ce service, car la fiche du service n’est pas correctement configurée par l’éditeur”. Pour résoudre ce problème, essayez de modifier les Types de comptes pris en charge de votre application Azure AD enregistrée. Assurez-vous d’avoir choisi une option multilocataire appropriée dans les paramètres d’authentification de l’application Azure AD. Les options multilocataires incluent ce qui suit : Comptes dans n’importe quel annuaire organisationnel (N’importe quel annuaire Azure AD - Multilocataire). Lorsque des utilisateurs essaient de se connecter, nous recevons le message d’erreur suivant : “invalid_request; impossible d’obtenir le ”. La cause la plus probable de cette erreur est un Secret client Azure AD invalide ou expiré. Pour résoudre ce problème, générez un nouveau Secret client pour votre application dans Azure AD, puis mettez à jour le Secret client dans la connexion d’entreprise configurée avec Auth0.

Rotation des clés de signature dans Azure AD

Les clés de signature sont utilisées par le pour signer le jeton d’authentification qu’il émet, et par l’application cliente (Auth0, dans ce cas-ci) pour valider l’authenticité du jeton généré. Pour des raisons de sécurité, la clé de signature d’Azure AD fait l’objet d’une rotation périodique. Si cela se produit, vous n’avez aucune action à effectuer. Auth0 utilisera automatiquement la nouvelle clé.

Supprimer le libellé non vérifié

Si vous utilisez un , l’invite de consentement de l’application pour la connexion à Azure AD peut indiquer que votre domaine est « non vérifié ». Pour supprimer ce libellé :
  1. Vérifiez le domaine de l’application Auth0 : Ajouter votre nom de domaine personnalisé à l’aide du portail Azure Active Directory.
  2. Attribuez le domaine vérifié à l’application Auth0 : Procédure : Configurer le domaine d’éditeur d’une application.

Prochaines étapes