Créer une inscription d’application à utiliser avec Azure Digital Twins

Cet article explique comment créer une inscription d’application Microsoft Entra ID qui peut accéder à Azure Digital Twins. Cet article inclut des étapes pour le portail Azure et Azure CLI.

Lors de l’utilisation d’Azure Digital Twins, il est courant d’interagir avec l’instance par le biais d’applications clientes. Ces applications doivent s’authentifier auprès d’Azure Digital Twins, et certains des mécanismes d’authentification que les applications peuvent utiliser impliquent une inscription d’application.

L’inscription de l’application n’est pas obligatoire pour tous les scénarios d’authentification. Toutefois, si vous utilisez une stratégie d’authentification ou un exemple de code qui nécessite une inscription d’application, cet article vous montre comment en configurer une et lui accorder des autorisations aux API Azure Digital Twins. Il explique également comment collecter les valeurs importantes dont vous aurez besoin pour utiliser l’inscription d’application lors de l’authentification.

Conseil

Vous préférerez peut-être configurer une nouvelle inscription d’application chaque fois que vous en aurez besoin, ou pour effectuer cette opération une seule fois, en établissant une inscription d’application unique qui sera partagée entre tous les scénarios qui l’exigent.

Création de l’inscription

Commencez par sélectionner l’onglet ci-dessous pour votre interface préférée.

Accédez à Microsoft Entra ID dans le portail Azure (vous pouvez utiliser ce lien ou le trouver à l’aide de la barre de recherche du portail). Sélectionnez Inscriptions d’applications dans le menu service, puis + Nouvelle inscription.

Capture d’écran de la page du service Microsoft Entra dans le portail Azure, montrant les étapes de la création d’une inscription dans la page « Inscriptions d’applications ».

Dans la page Inscrire une application qui suit, renseignez les valeurs demandées :

  • Nom : nom d’affichage d’application Microsoft Entra à associer à l’inscription.
  • Types de comptes pris en charge : sélectionnez Comptes dans cet annuaire organisationnel uniquement (Annuaire par défaut uniquement – Locataire unique).

Lorsque vous avez terminé, sélectionnez le bouton S’inscrire.

Capture d’écran de la page « Inscrire une application » dans le portail Azure avec les valeurs décrites renseignées.

Une fois la configuration de l’inscription terminée, le portail vous redirige vers la page de détails correspondante.

Collecter les valeurs importantes

Ensuite, collectez certaines valeurs importantes sur l’inscription d’application, dont vous aurez besoin pour utiliser l’inscription d’application afin d’authentifier une application cliente. Ces valeurs incluent :

  • Nom de ressource : lors de l’utilisation d’Azure Digital Twins, le nom de la ressource est http://digitaltwins.azure.net.
  • ID client
  • ID de client
  • clé secrète client

Les sections suivantes décrivent comment trouver les valeurs restantes.

Collecter l’ID de client et l’ID de locataire

Pour utiliser l’inscription d’application pour l’authentification, vous devrez peut-être fournir son ID d’application (client) et son ID d’annuaire (locataire). Ici, vous allez collecter ces valeurs afin de pouvoir les enregistrer et les utiliser chaque fois qu’elles sont nécessaires.

Vous pouvez collecter les valeurs de l’ID client et de l’ID locataire à partir de la page de détails de l’inscription d’application dans le portail Azure :

Capture d’écran du portail Azure montrant les valeurs importantes pour l’inscription d’application.

Prenez note de l’ID d’application (client) et de l’ID de répertoire (locataire) affichés sur votre page.

Collecter le secret client

Configurez une clé secrète client pour votre inscription d’application, que d’autres applications peuvent utiliser pour s’authentifier.

Démarrez sur la page d’inscription de votre application dans le portail Azure.

  1. Sélectionnez Certificats et secrets dans le menu de l’inscription, puis + Nouveau secret client.

    Capture d’écran du portail Azure avec une inscription d’application Microsoft Entra et l’option « Nouveau secret client » mise en évidence.

  2. Entrez les valeurs de votre choix pour Description et Expire le, puis sélectionnez Ajouter.

    Capture d’écran du portail Azure lors de l’ajout d’un secret client.

  3. Vérifiez que le secret client est visible dans la page Certificats et secrets avec les champs Expire et Valeur.

  4. Notez l’ID du secret et la Valeur en vue de les utiliser plus tard (vous pouvez également les copier dans le Presse-papiers avec les icônes Copier).

    Capture d’écran du portail Azure montrant comment copier la valeur du secret client.

Important

Veillez à copier les valeurs tout de suite et à les stocker en lieu sûr, car vous ne pourrez plus y accéder par la suite. Si vous ne les retrouvez pas, vous devrez créer un autre secret.

Fournir des autorisations Azure Digital Twins

Configurez ensuite l’inscription d’application que vous avez créée avec les autorisations pour accéder à Azure Digital Twins. Il existe deux types d’autorisations nécessaires :

  • Une attribution de rôle pour l’inscription d’application dans l’instance Azure Digital Twins
  • Des autorisations d’API pour permettre à l’application de lire et d’écrire dans les API Azure Digital Twins

Créer une attribution de rôle

Dans cette section, vous allez créer une attribution de rôle pour l’inscription d’application sur l’instance Azure Digital Twins. Ce rôle déterminera les autorisations que l’inscription d’application détient sur l’instance. Vous devez donc sélectionner le rôle qui correspond au niveau d’autorisation approprié pour votre situation. Propriétaire des données Azure Digital Twins est un rôle possible. Pour obtenir la liste complète des rôles et leurs descriptions, consultez Rôles intégrés Azure.

Utilisez ces étapes pour créer l’attribution de rôle pour votre inscription.

  1. Ouvrez la page de votre instance Azure Digital Twins dans le portail Azure.

  2. Sélectionnez Contrôle d’accès (IAM) .

  3. Sélectionnez Ajouter>Ajouter une attribution de rôle pour ouvrir la page Ajouter une attribution de rôle.

  4. Attribuez le rôle approprié. Pour connaître les étapes détaillées, consultez Attribuer des rôles Azure à l’aide du portail Azure.

    Paramètre Valeur
    Rôle Sélectionner selon le cas
    Les membres > attribuent l’accès à Utilisateur, groupe ou principal de service
    Membres > Membres + Sélectionner des membres, puis recherchez le nom de l’inscription de l’application

    Capture d’écran de l’onglet Rôles sur la page Ajouter une attribution de rôle.

    Capture d’écran de l’onglet Membres de la page Ajouter une attribution de rôle.

    Une fois le rôle sélectionné, passez-le en revue et attribuez-le.

Vérifier l'attribution de rôle

Vous pouvez afficher l’attribution de rôle que vous avez configurée sous Contrôle d’accès (IAM) > Attributions de rôle.

Capture d’écran de la page Attributions de rôles pour une instance Azure Digital Twins dans le Portail Azure.

L’inscription d’application doit apparaître dans la liste, ainsi que le rôle que vous lui avez attribué.

Fournir des autorisations d’API

Dans cette section, vous allez accorder les autorisations de lecture/écriture de base de votre application aux API Azure Digital Twins.

Si vous utilisez Azure CLI et que vous avez déjà configuré l’inscription de votre application avec un fichier manifeste, cette étape est déjà effectuée. Si vous utilisez le portail Azure pour créer votre inscription d’application, passez par le reste de cette section pour configurer des autorisations d’API.

À partir de la page du portail pour l’inscription de votre application, sélectionnez Autorisations des API dans le menu. Sur la page d’autorisations suivantes, sélectionnez le bouton +Ajouter une autorisation.

Capture d’écran de l’inscription d’application dans le portail Azure, avec l’option de menu « Autorisations de l’API » et le bouton « Ajouter une autorisation » mis en évidence.

Dans la page Demander des autorisations d’API qui suit, basculez vers l’onglet API utilisées par mon organisation et recherchez Azure Digital Twins. Sélectionnez Azure Digital Twins dans les résultats de la recherche pour continuer à attribuer des autorisations pour les API Azure Digital Twins.

Capture d’écran du résultat de recherche de la page « Demander des autorisations d’API » dans le portail Azure montrant Azure Digital Twins.

Remarque

Si votre abonnement dispose encore d’une instance Azure Digital Twins de la préversion publique précédente du service (avant juillet 2020), vous devez rechercher et sélectionner Azure Smart Spaces Services à la place. Il s’agit d’un ancien nom pour le même ensemble d’API (notez que l’ID d’application (client) est le même que dans la capture d’écran ci-dessus), et votre expérience ne sera pas modifiée au-delà de cette étape. Capture d’écran du résultat de recherche de la page « Demander des autorisations d’API » avec Azure Smart Spaces Service dans le portail Azure.

Ensuite, vous allez sélectionner les autorisations à accorder pour ces API. Développez l’autorisation Lecture (1), et activez la case lecture.Écriture pour accorder cette inscription d’application et les autorisations de lecture et d’écriture.

Capture d’écran de la page « Demander des autorisations d’API » et sélection des autorisations « Read.Write » pour les API Azure Digital Twins dans le portail Azure.

Lorsque vous avez terminé, sélectionnez Ajouter des autorisations.

Vérifier les autorisations d’API

Dans la page Autorisations des API, vérifiez qu’il existe désormais une entrée pour Azure Digital Twins reflétant les autorisations Lecture/Écriture :

Capture d’écran des autorisations d’API pour l’inscription d’application Microsoft Entra dans le portail Azure, avec « Accès en lecture/écriture » pour Azure Digital Twins.

Vous pouvez également vérifier la connexion à Azure Digital Twins dans le fichier manifest.json de l’inscription de l’application, qui a été automatiquement mise à jour avec les informations Azure Digital Twins lorsque vous avez ajouté les autorisations des API.

Pour ce faire, sélectionnez Manifeste dans le menu pour afficher le code du manifeste de l’inscription de l’application. Faites défiler la fenêtre de code vers le bas et recherchez les champs et valeurs suivants sous requiredResourceAccess :

  • "resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0"
  • "resourceAccess" > "id": "4589bd03-58cb-4e6c-b17f-b580e39652f8"

Ces valeurs sont indiquées dans la capture d’écran ci-dessous :

Capture d’écran du manifeste pour l’inscription d’application Microsoft Entra dans le portail Azure.

Si ces valeurs sont manquantes, recommencez les étapes de la section relative à l’ajout d’autorisations d’API.

Autres étapes possibles pour votre organisation

Il est possible que votre organisation exige des actions supplémentaires de la part des propriétaires ou administrateurs d’abonnement pour finir de configurer l’inscription d’application. Les étapes requises peuvent varier en fonction des paramètres spécifiques de votre organisation. Choisissez un onglet ci-dessous pour afficher les informations adaptées à votre interface préférée.

Voici quelques activités courantes qu’un propriétaire ou administrateur de l’abonnement peuvent devoir effectuer. Ces opérations et d’autres peuvent être effectuées à partir de la page Inscriptions d’applications Microsoft Entra dans le portail Azure.

  • Accordez le consentement administrateur pour l’inscription d’application. Votre organisation peut avoir activé globalement l’option Consentement administrateur requis dans Microsoft Entra ID pour toutes les inscriptions d’applications au sein de votre abonnement. Si c’est le cas, le propriétaire/l’administrateur devra sélectionner ce bouton pour votre société dans la page Autorisations de l’API de l’inscription d’application pour que celle-ci soit valide :

    Capture d’écran du portail Azure montrant le bouton « Accorder un consentement administrateur » sous les autorisations d’API.

    • Si le consentement a été accordé avec succès, l’entrée pour Azure Digital Twins doit alors indiquer une valeur d’État Accordé pour (votre société)

    Capture d’écran du portail Azure montrant le consentement administrateur accordé pour l’entreprise sous les autorisations d’API.

  • Activer l’accès client public

  • Définir des URL de réponse spécifiques pour l’accès web et au bureau

  • Autoriser les flux d’authentification OAuth2 implicites

Pour plus d’informations sur l’inscription d’applications et ses différentes options d’installation, consultez Inscrire une application avec la plateforme d’identités Microsoft.

Étapes suivantes

Dans cet article, vous configurez une inscription d’application Microsoft Entra qui peut être utilisée pour authentifier des applications clientes avec les API Azure Digital Twins.

Vous lirez ensuite des informations sur les mécanismes d’authentification, y compris ceux qui utilisent les inscriptions d’applications et d’autres qui ne le font pas :