Configuration d'Azure Active Directory pour les applications mobiles

Aperçu

Les applications mobiles doivent suivre une approche semblable à celle des applications Web ordinaires appelée « Authorization Code Flow with Proof Key for Code Exchange (PKCE) ». La principale distinction entre PKCE et le « Authorization Code Flow » classique est que l'application mobile ne reçoit pas de clé secrète client; à la place, elle échange une paire de codes pour prouver l'origine de la tentative d'authentification. Le problème est qu'on ne peut pas se fier à une application mobile car elle est distribuée librement aux utilisateurs et donc elle n'est plus sous le contrôle, puis les sources pourraient être décompilées et analysées pour révéler les clés secrètes client.

Cette section contient les instructions sur comment configurer Azure AD pour les applications mobiles afin que vos utilisateurs mobiles puissent aussi bénéficier de l'authentification déléguée.

Prérequis

  • Assurez-vous d'avoir une copie de WorkflowGen sous licence installée et en fonctionnement sur un serveur.

  • Assurez-vous d'avoir l'accès d'administrateur Azure AD pour pouvoir configurer Azure AD.

  • Assurez-vous d'avoir approvisionné un utilisateur Azure AD existant depuis lequel vous pourrez vous authentifier à WorkflowGen pour pouvoir utiliser l'application après.

  • Assurez-vous d'avoir bien configuré l'authentification déléguée à Azure AD sur votre instance de WorkflowGen en suivant les instructions dans la section Authentification Azure Active Directory.

Configuration d'Azure Active Directory

Cette configuration se fait dans plusieurs étapes. D'abord, vous devez inscrire une nouvelle application native dans Azure AD. Ensuite, vous devez donner les permissions requises à l'application pour accéder à l'API GraphQL de WorkflowGen. Enfin, vous devez inscrire les URLs de rappel qui redirigeront dans l'application native.

Étape 1 : Inscrivez une nouvelle application native

  1. Dans le portail Azure, cliquez sur App registrations dans la section Azure Active Directory.

  2. Cliquez sur New application registration, puis saisissez les propriétés :

    • Name: WorkflowGen Plus

    • Application type: Native

    • Redirect URI: workflowgenplus://auth.authorize

  3. Cliquez sur Create en bas de la page.

Vous devriez maintenant voir la page d'aperçu de l'application inscrite WorkflowGen Plus.

Étape 2 : Donnez accès à l'API GraphQL

  1. Cliquez sur Settings.

  2. Dans la section API Access, cliquez sur Required permissions, puis cliquez sur Add.

  3. Cliquez sur Select an API.

  4. Recherchez l'application de l'API GraphQL de WorkflowGen que vous avez inscrite et sélectionnez-la.

  5. Cliquez sur Select permissions, puis cochez Access WorkflowGen sous Delegated Permissions pour donner accès à l'API.

  6. Cliquez sur Select.

Vous devriez maintenant voir l'API GraphQL de WorkflowGen listée dans la liste de permissions requises à côté de Windows Azure Active Directory.

Étape 3 : Ajoutez les URI de redirection requis

  1. Cliquez sur Settings, puis cliquez sur Redirect URIs.

  2. Ajouter les URI workflowgenplus://auth.authenticate et workflowgenplus://auth.deauthenticate à la liste.

  3. Cliquez sur Save.

Vérifiez l'inscription

Vous avez maintenant inscrit l'application mobile WorkflowGen Plus dans votre Azure AD. Prenez note des informations dont vous aurez besoin plus tard :

  • L'ID client de l'application, qui se trouve sur la page d'aperçu de l'inscription comme Application ID.

  • L'ID de locataire de votre annuaire, qui se trouve dans la sous-section des propriétés dans la section Active Directory comme Directory ID.

Il faudra donner ces IDs aux utilisateurs qui vont utiliser l'application mobile. L'authentification déléguée fonctionnera seulement s'ils copient les IDs dans l'application.