Configuration d'Azure Active Directory pour les applications mobiles

Aperçu

Les applications mobiles doivent suivre une approche semblable à celle des applications Web ordinaires appelée « Authorization Code Flow with Proof Key for Code Exchange (PKCE) ». La principale distinction entre PKCE et le « Authorization Code Flow » classique est que l'application mobile ne reçoit pas de clé secrète client; à la place, elle échange une paire de codes pour prouver l'origine de la tentative d'authentification. Le problème est qu'on ne peut pas se fier à une application mobile car elle est distribuée librement aux utilisateurs et donc elle n'est plus sous le contrôle du développeur, puis les sources pourraient être décompilées et analysées pour révéler les clés secrètes client.

Cette section contient les instructions sur comment configurer Azure AD pour les applications mobiles afin que vos utilisateurs mobiles puissent aussi bénéficier de l'authentification déléguée.

Pour des instructions sur la façon de générer un lien universel afin de simplifier le processus de connexion Azure AD pour vos utilisateurs, voir la section Génération d'un lien universel pour WorkflowGen Plus.

WorkflowGen Plus ne fonctionnera pas avec un serveur WorkflowGen configuré pour appeler des APIs tierces avec OpenID Connect (par exemple en utilisant une audience personnalisée et / ou des portées multiples).

Prérequis

  • Assurez-vous d'avoir une copie de WorkflowGen sous licence installée et en fonctionnement sur un serveur.

  • Assurez-vous d'avoir un accès administrateur Azure AD pour pouvoir configurer Azure AD.

  • Assurez-vous d'avoir approvisionné un utilisateur Azure AD existant avec lequel vous pouvez vous authentifier auprès de WorkflowGen afin de pouvoir utiliser l'application par la suite.

  • Assurez-vous d'avoir bien configuré l'authentification déléguée à Azure AD sur votre instance de WorkflowGen en suivant les instructions dans la section Authentification Azure Active Directory.

Configuration d'Azure Active Directory

Cette configuration se fait dans plusieurs étapes. D'abord, vous devez inscrire une nouvelle application native dans Azure AD. Ensuite, vous devez donner les permissions requises à l'application pour accéder à l'API GraphQL de WorkflowGen. Enfin, vous devez inscrire les URLs de rappel qui redirigeront dans l'application native.

Étape 1 : Inscrivez une nouvelle application native

  1. Dans le portail Azure, cliquez sur Inscriptions d'applications dans la section Azure Active Directory.

  2. Cliquez sur Nouvelle inscription, puis entrez les propriétés :

    • Nom : WorkflowGen Plus

    • Types de comptes pris en charge : Comptes dans cet annuaire d'organisation uniquement

      ✏️ Note : En fonction du contexte, vous devez choisir la bonne option pour votre cas d'utilisation pour la valeur du type de compte supporté.

    • URI de redirection :

      • Type : Client public/natif

      • Valeur : workflowgenplus://auth.authorize/azure-v1

  3. Cliquez sur S'inscrire en bas de la page.

Vous devriez maintenant voir la page d'aperçu de l'application inscrite WorkflowGen Plus.

Étape 2 : Accordez l'accès à l'API GraphQL

  1. Cliquez sur API autorisées.

  2. Dans la section Autorisation configurées, cliquez sur Ajouter une autorisation.

  3. Cliquez sur Mes API.

  4. Cliquez sur l'application serveur WorkflowGen que vous avez précédemment inscrite.

  5. Cliquez sur Autorisation déléguées, puis sélectionnez user_impersonation.

  6. Cliquez sur Ajouter des autorisations en bas de la page.

Étape 3 : Ajoutez les URI de redirection requis

  1. Cliquez sur Authentification.

  2. Dans la section URI de redirection, ajoutez les éléments suivants :

    • Point de terminaison d'authentification mobile :

      • Type : Client public/natif

      • URI de redirection : workflowgenplus://auth.authenticate/azure-v1

    • Point de terminaison de déconnexion mobile :

      • Type : Client public/natif

      • URI de redirection : workflowgenplus://auth.deauthenticate/azure-v1

  3. Cliquez sur Enregistrer.

Vous avez maintenant inscrit l'application mobile WorkflowGen Plus dans votre Azure AD.

Vérifiez l'inscription

Prenez note des informations dont vous aurez besoin plus tard :

  • L'ID client de l'application, qui se trouve sur la page d'aperçu de l'inscription comme ID d'application.

  • L'ID de locataire de votre annuaire, qui se trouve dans la sous-section des propriétés dans la section Active Directory comme ID de répertoire.

Vous devrez fournir ces informations aux utilisateurs qui utiliseront l'application mobile. L'authentification déléguée fonctionnera seulement s'ils copient les IDs dans l'application.

Last updated