Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Avertissement
Ce contenu concerne l’ancien point de terminaison Azure AD v1.0. Utilisez la Plateforme d’identités Microsoft pour les nouveaux projets.
Les applications web sont des applications qui authentifient un utilisateur dans un navigateur web auprès d’une application web. Dans ce scénario, l’application web dirige le navigateur de l’utilisateur pour les connecter à Azure AD. Azure AD retourne une réponse de connexion via le navigateur de l’utilisateur, qui contient des revendications relatives à l’utilisateur dans un jeton de sécurité. Ce scénario prend en charge l’authentification à l’aide des protocoles OpenID Connect, SAML 2.0 et WS-Federation.
Diagramme
Flux de protocole
- Lorsqu’un utilisateur visite l’application et doit se connecter, il est redirigé via une demande de connexion au point de terminaison d’authentification dans Azure AD.
- L’utilisateur se connecte à la page de connexion.
- Si l’authentification réussit, Azure AD crée un jeton d’authentification et retourne une réponse de connexion à l’URL de réponse de l’application configurée dans le portail Azure. Pour une application de production, cette URL de réponse doit être HTTPS. Le jeton retourné inclut des revendications concernant l’utilisateur et Azure AD requis par l’application pour valider le jeton.
- L’application valide le jeton à l’aide d’une clé de signature publique et d’informations d’émetteur disponibles dans le document de métadonnées de fédération pour Azure AD. Une fois que l’application a validé le jeton, elle démarre une nouvelle session avec l’utilisateur. Cette session permet à l’utilisateur d’accéder à l’application jusqu’à son expiration.
Exemples de code
Consultez les exemples de code pour les scénarios de navigateur web vers les applications web. Et vérifiez fréquemment que de nouveaux exemples sont ajoutés fréquemment.
Inscription d’application
Pour inscrire une application web, consultez Inscrire une application.
- Locataire unique : si vous créez une application uniquement pour votre organisation, elle doit être inscrite dans l’annuaire de votre entreprise à l’aide du portail Azure.
- Multilocataire : si vous créez une application qui peut être utilisée par des utilisateurs externes à votre organisation, elle doit être inscrite dans l’annuaire de votre entreprise, mais également être inscrite dans l’annuaire de chaque organisation qui utilisera l’application. Pour rendre votre application disponible dans son annuaire, vous pouvez inclure un processus d’inscription pour vos clients qui leur permet de donner leur consentement à votre application. Lorsqu’ils s’inscrivent à votre application, ils sont présentés avec une boîte de dialogue qui affiche les autorisations requises par l’application, puis l’option de consentement. Selon les autorisations requises, un administrateur de l’autre organisation peut être tenu de donner son consentement. Lorsque l’utilisateur ou l’administrateur consent, l’application est inscrite dans son annuaire.
Expiration du jeton
La session de l’utilisateur expire lorsque la durée de vie du jeton émis par Azure AD expire. Votre application peut raccourcir cette période si vous le souhaitez, par exemple la déconnexion des utilisateurs en fonction d’une période d’inactivité. Lorsque la session expire, l’utilisateur est invité à se reconnecter.
Étapes suivantes
- En savoir plus sur d’autres types d’applications et scénarios
- En savoir plus sur les principes de base de l’authentification azure AD