7.22
Configuration d'Azure Active Directory pour WorkflowGen Plus v2
Aperçu
Les applications mobiles doivent suivre une approche semblable à celle des applications Web ordinaires appelée « Authorization Code Flow with Proof Key for Code Exchange (PKCE) ». La principale distinction entre PKCE et le « Authorization Code Flow » classique est que l'application mobile ne reçoit pas de clé secrète client; à la place, elle échange une paire de codes pour prouver l'origine de la tentative d'authentification. Le problème est qu'on ne peut pas se fier à une application mobile car elle est distribuée librement aux utilisateurs et donc elle n'est plus sous le contrôle du développeur, puis les sources pourraient être décompilées et analysées pour révéler les clés secrètes client.
Cette section contient les instructions sur comment configurer Azure AD pour les applications mobiles afin que vos utilisateurs mobiles puissent aussi bénéficier de l'authentification déléguée.
L'application mobile WorkflowGen Plus v2 (disponible dans les marchés d'applications Apple et Google Play) supporte l'authentification déléguée Azure AD avec le fournisseur Microsoft Identity Platform v2.0 uniquement.
De plus, WorkflowGen Plus ne fonctionnera pas avec un serveur WorkflowGen configuré pour appeler des APIs tierces avec OpenID Connect (par exemple en utilisant une audience personnalisée et / ou des portées multiples).
L'application mobile WorkflowGen Plus v1 n'est plus supportée.
Prérequis
- Assurez-vous d'avoir une copie de WorkflowGen sous licence installée et en fonctionnement sur un serveur Web IIS en mode de connexion sécurisé HTTPS.
- Assurez-vous d'avoir un accès administrateur Azure AD pour pouvoir configurer Azure AD.
- Assurez-vous d'avoir approvisionné un utilisateur Azure AD existant avec lequel vous pouvez vous authentifier auprès de WorkflowGen afin de pouvoir utiliser l'application par la suite.
- Assurez-vous d'avoir configuré avec succès l'authentification déléguée à Azure AD avec le fournisseur Microsoft Identity Platform v2.0 sur votre instance WorkflowGen en suivant les instructions de la section Authentification Azure Active Directory avec l'application
WorkflowGen GraphQL APIégalement enregistrée.
Configuration d'Azure Active Directory
Cette configuration se fait dans plusieurs étapes. D'abord, vous devez inscrire une nouvelle application native dans Azure AD. Ensuite, vous devez donner les permissions requises à l'application pour accéder à l'API GraphQL de WorkflowGen. Enfin, vous devez inscrire les URLs de rappel qui redirigeront dans l'application native.
Étape 1 : Inscrivez une nouvelle application native
- 1.Dans le portail Azure, cliquez sur Inscriptions d'applications dans la section Azure Active Directory.
- 2.Cliquez sur Nouvelle inscription, puis entrez les propriétés :
- Nom :
WorkflowGen Plus - Types de comptes pris en charge :
Comptes dans cet annuaire d'organisation uniquement (Locataire unique)✏️ Note : En fonction du contexte, vous devez choisir la bonne option pour votre cas d'utilisation pour la valeur du type de compte supporté. - URI de redirection :
- Type :
Client public/natif - Valeur :
workflowgenplus://auth.authorize/azure-v1
- 3.Cliquez sur S'inscrire en bas de la page.
Vous avez maintenant enregistré avec succès votre application native
WorkflowGen Plus dans Azure Active Directory.Étape 2 : Accordez l'accès à l'API GraphQL
- 1.Cliquez sur API autorisées.
- 2.Dans la section Autorisations configurées, cliquez sur Ajouter une autorisation.
- 3.Cliquez sur Mes API, puis sélectionnez l'application
WorkflowGen GraphQL APIdans la liste. - 4.Cliquez sur Autorisations déléguées et cochez
defautdans la colonne Autorisation. - 5.Cliquez sur Ajouter des autorisations.
- 6.Dans la page API autorisées, cliquez sur Accorder un consentement d'administrateur pour <votre nom de locataire>, puis cliquez sur Oui.
Vérifiez l'inscription
Prenez note des informations dont vous aurez besoin plus tard :
- Une adresse serveur : Ceci est l'URL de votre application WorkflowGen (p.ex. :
https://<url workflowgen>). - Un ID client : Ceci est l'ID d'application (client) dans la section d'aperçu de votre inscription d'application.
- Un ID locataire : Ceci est l'ID de répertoire (locataire) dans la section d'aperçu de votre inscription d'application.
- Une audience : Ceci est la propriété
Application ID URI(p.ex. :https://<url workflowgen>/graphql) dans la section Exposer une API de l'inscription d'applicationWorkflowGen GraphQL API.
Vous devrez fournir ces informations aux utilisateurs qui utiliseront l'application mobile WorkflowGen Plus v2. L'authentification déléguée Azure AD ne fonctionnera pas à moins qu'ils ne copient ces informations dans l'application mobile.
Vous pouvez également fournir un lien universel à vos utilisateurs. Pour obtenir des instructions sur la façon de générer un lien universel pour simplifier le processus de connexion Azure AD pour vos utilisateurs, consultez la section Génération d'un lien universel pour WorkflowGen Plus.
Vous avez maintenant inscrit avec succès l'application mobile WorkflowGen Plus sur votre Azure AD.