Configuration d'Azure Active Directory pour les applications mobiles

Aperçu

Les applications mobiles doivent suivre une approche semblable à celle des applications Web ordinaires appelée « Authorization Code Flow with Proof Key for Code Exchange (PKCE) ». La principale distinction entre PKCE et le « Authorization Code Flow » classique est que l'application mobile ne reçoit pas de clé secrète client; à la place, elle échange une paire de codes pour prouver l'origine de la tentative d'authentification. Le problème est qu'on ne peut pas se fier à une application mobile car elle est distribuée librement aux utilisateurs et donc elle n'est plus sous le contrôle, puis les sources pourraient être décompilées et analysées pour révéler les clés secrètes client.

Cette section contient les instructions sur comment configurer Azure AD pour les applications mobiles afin que vos utilisateurs mobiles puissent aussi bénéficier de l'authentification déléguée.

Prérequis

  • Assurez-vous d'avoir une copie de WorkflowGen sous licence installée et en fonctionnement sur un serveur.

  • Assurez-vous d'avoir l'accès d'administrateur Azure AD pour pouvoir configurer Azure AD.

  • Assurez-vous d'avoir approvisionné un utilisateur Azure AD existant depuis lequel vous pourrez vous authentifier à WorkflowGen pour pouvoir utiliser l'application après.

  • Assurez-vous d'avoir bien configuré l'authentification déléguée à Azure AD sur votre instance de WorkflowGen en suivant les instructions dans la section Authentification Azure Active Directory.

Configuration d'Azure Active Directory

Cette configuration se fait dans plusieurs étapes. D'abord, vous devez inscrire une nouvelle application native dans Azure AD. Ensuite, vous devez donner les permissions requises à l'application pour accéder à l'API GraphQL de WorkflowGen. Enfin, vous devez inscrire les URLs de rappel qui redirigeront dans l'application native.

Étape 1 : Inscrivez une nouvelle application native

  1. Dans le portail Azure, cliquez sur App registrations dans la section Azure Active Directory.

  2. Cliquez sur New registration, puis saisissez les propriétés :

    • Name : WorkflowGen Plus

    • Supported account types : Accounts in this organizational directory only

      Note : En fonction du contexte, vous devez choisir la bonne option pour votre cas d'utilisation pour la valeur du type de compte supporté.

    • Redirect URI :

      • Type : Public client/native

      • Value : workflowgenplus://auth.authorize

  3. Cliquez sur Register en bas de la page.

Vous devriez maintenant voir la page d'aperçu de l'application inscrite WorkflowGen Plus.

Étape 2 : Donnez accès à l'API GraphQL

  1. Cliquez sur API Permissions.

  2. Dans la section API Permissions, cliquez sur Add a permission.

  3. Cliquez sur My APIs.

  4. Cliquez sur l'application serveur WorkflowGen que vous avez précédemment enregistrée.

  5. Cliquez sur Delegated permissions, puis sélectionnez user_impersonation.

  6. Cliquez sur Add permissions en bas de la page.

Étape 3 : Ajoutez les URI de redirection requis

  1. Cliquez sur Authentication.

  2. Dans la section Redirect URIs, ajoutez les éléments suivants :

    • Mobile authentication endpoint:

      • Type : Public client/native

      • Redirect URI : workflowgenplus://auth.authenticate

    • Mobile logout endpoint

      • Type : Public client/native

      • Redirect URI : workflowgenplus://auth.deauthenticate

  3. Cliquez sur Save.

Vérifiez l'inscription

Vous avez maintenant inscrit l'application mobile WorkflowGen Plus dans votre Azure AD. Prenez note des informations dont vous aurez besoin plus tard :

  • L'ID client de l'application, qui se trouve sur la page d'aperçu de l'inscription comme Application ID.

  • L'ID de locataire de votre annuaire, qui se trouve dans la sous-section des propriétés dans la section Active Directory comme Directory ID.

Il faudra donner ces IDs aux utilisateurs qui vont utiliser l'application mobile. L'authentification déléguée fonctionnera seulement s'ils copient les IDs dans l'application.