Configuration de Microsoft Entra ID pour WorkflowGen Plus v2

Azure Active Directory (Azure AD) a été renommé Microsoft Entra ID (ME-ID). Bien que la documentation WorkflowGen ait été mise à jour pour refléter ce changement de nom, les paramètres de l'application WorkflowGen font toujours référence à Azure AD (par exemple, connecteur d'annuaire Azure AD SCIM v2).

De même, certains éléments de configuration ME-ID dans le portail Azure ont été renommés et / ou déplacés. La documentation WorkflowGen a été mise à jour en conséquence, mais il se peut qu'elle ne soit toujours pas tout à fait exacte à cet égard. Consultez la documentation Microsoft Entra ID pour plus d'informations.

Aperçu

Les applications mobiles doivent suivre une approche semblable à celle des applications Web ordinaires appelée « Authorization Code Flow with Proof Key for Code Exchange (PKCE) ». La principale distinction entre PKCE et le « Authorization Code Flow » classique est que l'application mobile ne reçoit pas de clé secrète client; à la place, elle échange une paire de codes pour prouver l'origine de la tentative d'authentification. Le problème est qu'on ne peut pas se fier à une application mobile car elle est distribuée librement aux utilisateurs et donc elle n'est plus sous le contrôle du développeur, puis les sources pourraient être décompilées et analysées pour révéler les clés secrètes client.

Cette section contient les instructions sur comment configurer Microsoft Entra ID (ME-ID) pour les applications mobiles afin que vos utilisateurs mobiles puissent aussi bénéficier de l'authentification déléguée.

L'application mobile WorkflowGen Plus v2 (disponible dans les marchés d'applications Apple et Google Play) supporte l'authentification déléguée ME-ID avec le fournisseur Microsoft Identity Platform v2.0 uniquement.

De plus, WorkflowGen Plus ne fonctionnera pas avec un serveur WorkflowGen configuré pour appeler des APIs tierces avec OpenID Connect (par exemple en utilisant une audience personnalisée et / ou des portées multiples).

L'application mobile WorkflowGen Plus v1 n'est plus supportée.

Prérequis

  • Assurez-vous d'avoir une copie de WorkflowGen sous licence installée et en fonctionnement sur un serveur Web IIS en mode de connexion sécurisé HTTPS.

  • Assurez-vous d'avoir un accès administrateur ME-ID pour pouvoir configurer ME-ID.

  • Assurez-vous d'avoir approvisionné un utilisateur ME-ID existant avec lequel vous pouvez vous authentifier auprès de WorkflowGen afin de pouvoir utiliser l'application par la suite.

  • Assurez-vous d'avoir configuré avec succès l'authentification déléguée à ME-ID avec le fournisseur Microsoft Identity Platform v2.0 sur votre instance WorkflowGen en suivant les instructions de la section Authentification Microsoft Entra ID avec l'application WorkflowGen GraphQL API également enregistrée.

Configuration de Microsoft Entra ID

Cette configuration se fait dans plusieurs étapes. D'abord, vous devez inscrire une nouvelle application native dans ME-ID. Ensuite, vous devez donner les permissions requises à l'application pour accéder à l'API GraphQL de WorkflowGen. Enfin, vous devez inscrire les URLs de rappel qui redirigeront dans l'application native.

Étape 1 : Inscrivez une nouvelle application native

  1. Dans le portail Azure, cliquez sur Inscriptions d'applications dans la section Services Azure.

  2. Cliquez sur Nouvelle inscription, puis entrez les propriétés :

    • Nom : WorkflowGen Plus

    • Types de comptes pris en charge : Comptes dans cet annuaire d'organisation uniquement (Default Directory uniquement - Locataire unique) ✏️ Note : En fonction du contexte, vous devez choisir la bonne option pour votre cas d'utilisation pour la valeur du type de compte supporté.

    • URI de redirection :

      • Type : Client public/natif

      • Value : workflowgenplus://oidc

  3. Cliquez sur S'inscrire en bas de la page.

Vous avez maintenant enregistré avec succès votre application native WorkflowGen Plus dans Microsoft Entra ID.

Étape 2 : Accordez l'accès à l'API GraphQL

  1. Cliquez sur API autorisées.

  2. Dans la section Autorisations configurées, cliquez sur Ajouter une autorisation.

  3. Cliquez sur Mes API, puis sélectionnez l'application WorkflowGen GraphQL API dans la liste.

  4. Cliquez sur Autorisations déléguées et cochez défaut dans la colonne Autorisation.

  5. Cliquez sur Ajouter des autorisations.

  6. Dans la page API autorisées, cliquez sur Accorder un consentement administrateur pour <votre nom de locataire>, puis cliquez sur Oui.

Vérifiez l'inscription

Prenez note des informations dont vous aurez besoin plus tard :

  • Une adresse serveur : Ceci est l'URL de votre application WorkflowGen (p.ex. : https://<url workflowgen>).

  • Un ID client : Ceci est l'ID d'application (client) dans la section d'aperçu de votre inscription d'application.

  • Un ID locataire : Ceci est l'ID de répertoire (locataire) dans la section d'aperçu de votre inscription d'application.

  • Une audience : Ceci est la propriété Application ID URI (p.ex. : https://<url workflowgen>/graphql) dans la section Exposer une API de l'inscription d'application WorkflowGen GraphQL API.

Vous devrez fournir ces informations aux utilisateurs qui utiliseront l'application mobile WorkflowGen Plus v2. L'authentification déléguée Azure AD ne fonctionnera pas à moins qu'ils ne copient ces informations dans l'application mobile.

Vous pouvez également fournir un lien universel à vos utilisateurs. Pour obtenir des instructions sur la façon de générer un lien universel pour simplifier le processus de connexion ME-ID pour vos utilisateurs, consultez la section Génération d'un lien universel pour WorkflowGen Plus.

Vous avez maintenant inscrit avec succès l'application mobile WorkflowGen Plus dans Microsoft Entra ID.

Dernière mise à jour