Cet article n’ayant pas pour but de traiter l’ensemble des concepts liés à la conception, l’utilisation et l’authentification à des applications Azure Active Directory; je vous invite à lire la documentation très détaillée sur le sujet si nécessaire : https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-overview.
Pour créer une Application Azure Active Directory il faut réaliser cette action à partir du nouveau centre d’enregistrement des applications Azure Active Directory (App Registration Portal)
?Note : l’ancien portail (https://apps.dev.microsoft.com/) est déprécié et ne contient pas l’ensemble des nouvelles options lors de la déclaration d’une application. Il est recommandé d’utiliser le nouveau portail : https://aka.ms/AppRegistrationsPreview
Accéder au portail Azure à travers le centre d’administration Microsoft 365. Lien direct au portail Azure Active Directory : https://aad.portal.azure.com/#blade/Microsoft_AAD_RegisteredApps/ApplicationsListBlade
Accéder au menu d’enregistrement d’une application Azure Active Directory
Il est recommandé d’appliquer une nomenclature réfléchie pour le nom de l’application Azure ActiveDirectory. Dans le cas présent j’utilise le prefix “hns” pour différencier les objects natifs de ceux que j’ajoute dans l’environnement; enfin le nom permet de déterminer à quelle solution l’application fait référence. Dans mon cas cela représente la création d’une application Azure ActiveDirectory pour une solution de Gouvernance du produit Microsoft Teams au sein de l’environnement et donc de l’organisation.
Informations permettant d’identifier une application. Ces informations seront nécessaires lors de la conception de l’authentification. Il est recommandé de stocker ces informations dans un référentiel pour en facilité leur administration, utilisation et cycle de vie.
Ajout d’une clé secrete nécessaire pour réaliser une authentification sur l’application.
Dans un environnement de production il n’est pas recommandé d’utiliser une clé ne disposant pas d’expiration pour des raisons de sécurité évidentes. Il est recommandé : l’utilisation d’un référentiel et d’une routine permettant de réaliser la mise à jour sans interruption de service.
?Note : Le mot de passe doit être enregistré à cette étape car il ne sera plus accessible en clair.
Accéder au menu de gestion des authorisations sur les APIs
Accéder à la gestion des autorisations pour l’API Microsoft Graph
Ajout d’une authorisation de type “Application”.
Ajout de l’autorisation pour permettre à l’application de créer ou de modifier un Groupe mais également d’en lire les métadonnées associées. Le droit ajouté ici est le suivant : Group.ReadWrite
Pour valider une modification des authorisations il est nécessaire de réaliser une opération dite de “consentement” avec un compte disposant des droits “Administrateur global” sur le Tenant Office 365 ou l’annuaire Azure Active Directory.
Afin de valider le bon fonctionnement de l’application créée, il est possible d’utiliser un workflow via Microsoft Flow pour ainsi s’assurer que l’application répond à un appel et disposent des droits appliqués.
- Ajout d’un déclencheur (Trigger) de type manuel
- Ajout d’une action de type requête “HTTP”
- Sélection de la method sur “GET”
- Configuration de l’appel avec le endpoint https://docs.microsoft.com/en-us/graph/api/group-list?view=graph-rest-1.0&tabs=http et utilisation de l’URI “https://graph.microsoft.com/v1.0/groups?$filter=groupTypes/any(c:c+eq+’Unified’)” pour avoir un filtre des données sur les #GroupesOffice365 (Groupes Unifiés)
- Ajout de l’en-tête
- Selection de la méthode d’authentification sur : “Active Directory OAuth”
- Ajout de l’ID du tenant (Directory ID)
- Ajout du scope (Audience) pour cet appel
- Ajout de l’ID de l’application (Client ID)
- Ajout de la clé secret
Note?: Le contenu est exact au moment de la publication. Toutefois, des mises à jour et des ajouts sont effectués quotidiennement par Microsoft, ce qui pourrait en modifier l’exactitude ou la pertinence. Veuillez garder cela à l’esprit lorsque vous utilisez mes articles.
Pour aller plus loin :
?Découvrir et comprendre le fonctionnement des APIs : https://zapier.com/learn/apis/chapter-1-introduction-to-apis/
?Documentation de l’API Microsoft Graph : https://docs.microsoft.com/en-us/graph/
Actuellement en cours de rédaction…?
?Retours d’expériences et recommandations sur #Flow et la #PowerPlatform
?Présentation d’un outil 3rd party pour la gestion de vos #WorkFlow dans un environnement avancé
?Microsoft Teams Governance : Flow, un outil au service de la gouvernance, l’automatisation et le reporting.
