OAuth 2.0<\/strong> est un protocole d\u2019autorisation. Il d\u00e9finit la fa\u00e7on dont les applications peuvent acc\u00e9der aux jetons d\u2019acc\u00e8s par une authentification directe \u00e0 Azure Active Directory ou par la redirection d\u2019un utilisateur pour une authentification aupr\u00e8s d\u2019Azure AD et l\u2019acceptation des autorisations requises par votre application.<\/p>\n Cependant, avec OAuth 2.0, l’application ne re\u00e7oit pas d\u2019informations sur l\u2019utilisateur ou sur l\u2019authentification par Azure AD. Des flux OAuth 2.0 sont g\u00e9n\u00e9ralement utilis\u00e9s par des applications mobiles ou natives qui connaissent d\u00e9j\u00e0 l\u2019identit\u00e9 de l\u2019utilisateur, ou par des applications comme les services d\u2019arri\u00e8re-plan ou les d\u00e9mons, qui appellent des API sous leur propre identit\u00e9 et non au nom d\u2019un utilisateur.<\/p>\n <\/p>\n Le sc\u00e9nario se base \u00e0 partir des sources pr\u00e9sentes sur le Github Microsoft<\/a>. Comme indiqu\u00e9 dans le titre de cet article nous allons utiliser la libraire MSAL (Endpoint V2). Pour un sc\u00e9nario avec la librairie ADAL, vous pouvez suivre le lien pr\u00e9sent plutot sur ce Github Microsoft<\/a>. Pour connaitre les diff\u00e9rences entres ces deux librairies vous pouvez consulter l’article ci apr\u00e8s:\u00a0https:\/\/remivernier.com\/index.php\/2018\/09\/03\/azure-ad-adal-msal\/<\/a><\/p>\n <\/p>\n Dans notre sc\u00e9nario, nous allons nous authentifier dans un premier temps avec un compte MSA (Pour rappel, MSAL permet par d\u00e9faut \u00e0 n’importe quel compte MSA de s’authentifier une application utilisant cette librairie). Dans un second temps nous verrons une authentification plus classique avec un compte pr\u00e9sent dans un tenant Azure AD.<\/p>\n L’inscription de l’application ne s’effectue pas classiquement sur le portail Azure. Nous allons utiliser la nouvelle librairie MSAL et l\u2019inscription s’effectue donc sur le portail d’enregistrement des applications: https:\/\/apps.dev.microsoft.com\/<\/a><\/p>\n <\/p>\n Le nom de l’application est \u00ab\u00a0remiapp\u00a0\u00bb. Une fois l’application cr\u00e9e, un ID de l’application est alors affect\u00e9 (il faudra noter cette valeur car nous en auront besoin plus tard pour la configuration de l’application).<\/p>\n Un certain nombres d’options s’affichent alors. Il existe deux types d\u2019autorisations\u00a0:<\/p>\n <\/p>\n Nous allons ensuite g\u00e9n\u00e9rer un nouveau mot de passe pour l’application via le bouton \u00ab\u00a0G\u00e9n\u00e9rer un nouveau mot de passe\u00a0\u00bb afin de g\u00e9n\u00e9rer et de stocker un secret partag\u00e9 dans le magasin de donn\u00e9es respectif, que vous pouvez utiliser dans votre application. il faudra aussi le noter car il ne s’affiche qu’une fois et ensuite seuls les 3 premiers caract\u00e8res sont pr\u00e9sents.<\/p>\n Toute application doit utiliser un secret d\u2019application pour s\u2019identifier aupr\u00e8s d\u2019Azure AD lors de l\u2019\u00e9change du jeton de s\u00e9curit\u00e9. Chaque application peut contenir \u00e0 tout moment deux mots de passe valide, cela permet de renouveler le mot de passe sans interruption de service. Grace \u00e0 MSAL, et c’est une grande nouveaut\u00e9,\u00a0 l\u2019application peut utiliser\u00a0un seul ID d\u2019application<\/strong>\u00a0pour plusieurs plateformes. Nous pourrions donc ajouter une plateforme WEB et Native dans la m\u00eame application. Dans notre cas nous avons besoin uniquement d’une application Web:<\/p>\n L’URL de redirection correspond \u00e0 l’URL vers lequel le navigateur doit \u00eatre redirig\u00e9 apr\u00e8s la phase d’authentification. L’URL saisie est https:\/\/localhost:44326\/ celle ci est l’URL par d\u00e9faut sur laquelle l’application va s\u2019ex\u00e9cuter avec Visual Studio.<\/p>\n La case \u00e0 cocher \u00ab\u00a0Autoriser le flux implicite\u00a0\u00bb est coch\u00e9 par d\u00e9faut. Dans un flux implicite, l\u2019application re\u00e7oit des jetons directement d’Azure AD, sans aucun \u00e9change de serveur \u00e0 serveur. Tout le traitement de l’authentification et de la gestion des sessions est enti\u00e8rement ex\u00e9cut\u00e9 dans le client par un code JavaScript, sans redirections de pages suppl\u00e9mentaires.<\/p>\n Des options suppl\u00e9mentaires nous permettent de d\u00e9finir un profil pour l’application. Nous allons ajouter l’URL de la page d\u2019accueil afin de voir l’application sur le portail: https:\/\/www.microsoft.com\/consent<\/a><\/p>\n L\u2019application est \u00e0 pr\u00e9sent enregistr\u00e9e, nous allons passer \u00e0 la configuration de celle ci.<\/p>\n <\/p>\n Ouvrir le projet sous Visual Studio:\u00a0active-directory-dotnet-webapp-openidconnect-v2.sln<\/p>\n La seule configuration a effectuer dans notre projet se trouve dans le\u00a0Web.config. Les \u00e9l\u00e9ments \u00e0 renseigner sont le ClientID et ClientSecret pr\u00e9c\u00e9demment g\u00e9n\u00e9r\u00e9s:<\/p>\n Ex\u00e9cuter ensuite le projet. Comme vous pouvez le constater au lancement de l’application le bouton nous indique que nous pouvons nous authentifier avec un compte Microsoft. Une des force de MSAL est que nous pouvons ici nous authentifier avec un compte Microsoft MSA OU<\/strong> un compte issu d’un annuaire Azure. Compte MSA:<\/strong>\n
![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/09\/integrer-une-application-a-azure-ad-msal-et-authentification-avec-openid-connect-img1.jpg\")
<\/p>\nInscription de l’application<\/h2>\n
![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/09\/azure-ad-adal-msal-img1.jpg\")
<\/p>\n
\nVous noterez que les autorisation d\u00e9l\u00e9gu\u00e9es pour Microsoft Graph sont pr\u00e9-enregistr\u00e9e: \u00ab\u00a0User.Read\u00a0\u00bb. Pour notre application se sera suffisant.
\nNotez que nous n\u2019ajoutons pas d\u2019autorisations suppl\u00e9mentaires, comme nous le ferions avec ADAL (Endpoint V1). La fonction de consentement incr\u00e9mentiel et dynamique de MSAL (Endpoint V2) a rendu cette \u00e9tape facultative.<\/p>\n\n
![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/09\/integrer-une-application-a-azure-ad-msal-et-authentification-avec-openid-connect-img2.jpg\")
<\/p>\n
\nLe bouton \u00ab\u00a0G\u00e9n\u00e9rer une nouvelle paire de cl\u00e9s\u00a0\u00bb permet de cr\u00e9er une paire de cl\u00e9s publique\/priv\u00e9e qui peut \u00eatre t\u00e9l\u00e9charg\u00e9e et utilis\u00e9e pour l\u2019authentification du client aupr\u00e8s d\u2019Azure AD. Le bouton \u00ab\u00a0T\u00e9l\u00e9charger la cl\u00e9 publique\u00a0\u00bb permet d\u2019utiliser notre propre paire de cl\u00e9s publique\/priv\u00e9e.<\/p>\n![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/09\/integrer-une-application-a-azure-ad-msal-et-authentification-avec-openid-connect-img5.jpg\")
<\/a>\u00a0![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/09\/integrer-une-application-a-azure-ad-msal-et-authentification-avec-openid-connect-img6.jpg\")
<\/a><\/p>\n![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/09\/integrer-une-application-a-azure-ad-msal-et-authentification-avec-openid-connect-img3.jpg\")
<\/a><\/p>\n![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/09\/integrer-une-application-a-azure-ad-msal-et-authentification-avec-openid-connect-img4.jpg\")
<\/a><\/p>\n![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/09\/integrer-une-application-a-azure-ad-msal-et-authentification-avec-openid-connect-img7.jpg\")
<\/a><\/p>\nCr\u00e9ation de l’application dans visual studio<\/h2>\n
![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/09\/integrer-une-application-a-azure-ad-msal-et-authentification-avec-openid-connect-img8.jpg\")
<\/a><\/p>\n![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/09\/integrer-une-application-a-azure-ad-msal-et-authentification-avec-openid-connect-img9.jpg\")
<\/a><\/p>\n
\n![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/09\/integrer-une-application-a-azure-ad-msal-et-authentification-avec-openid-connect-img11.jpg\")
<\/a><\/p>\n
![\"\"](\"http:\/\/remivernier.com\/wp-content\/uploads\/2018\/09\/integrer-une-application-a-azure-ad-msal-et-authentification-avec-openid-connect-img10.jpg\")
<\/a><\/strong><\/p>\n