La création d'une application OIDC (OpenID Connect) dans Azure Active Directory (Azure AD) est un processus qui implique de configurer une application d'entreprise dans Azure AD, générer les informations d'authentification (credentials) pour l'application, et ensuite partager les détails nécessaires avec le service provider pour l'authentification.

Voici les étapes pour configurer cela :

1. Créer une application dans Azure AD

1. Se connecter à Azure Portal :

   • Rendez-vous sur Azure Portal.

   • Connectez-vous avec un compte ayant les autorisations d'administration dans Azure AD.

2. Créer une nouvelle application :

   • Allez dans Azure Active Directory > App registrations.

   • Cliquez sur New registration (Nouvelle inscription).

3. Configurer les détails de l'application :

   • Nom : Donnez un nom à votre application.

   • Types de comptes pris en charge : Sélectionnez le type de compte qui pourra accéder à cette application (par exemple, comptes dans l'annuaire de cette organisation uniquement).

   • URL de redirection : Indiquez l'URL de redirection où le jeton sera renvoyé après authentification (ex. https://myapp.com/callback). Ceci peut être configuré plus tard si vous ne l'avez pas encore.

   • Cliquez sur Register (S'inscrire).

2. Configurer l'application OIDC

1. Générer les informations d'identification (credentials) :

   • Dans les paramètres de l'application enregistrée, allez dans Certificates & secrets.

   • Sous Client secrets, cliquez sur New client secret pour générer un secret client.

   • Donnez-lui un nom et une date d'expiration, puis cliquez sur Add.

   • Copiez le secret immédiatement, car il ne sera pas affiché à nouveau. Vous en aurez besoin pour partager avec le service provider.

2. Configurer l'URL de redirection :

   • Allez dans Authentication et configurez les Redirect URIs. Il s'agit de l'URL où l'utilisateur sera redirigé après l'authentification (c'est généralement fourni par le service provider).

   • Si vous utilisez l'application pour des scénarios web, activez également l'authentification implicite (ID token) en cochant ID tokens.

3. Obtenir les détails de configuration OIDC

Azure AD expose un document de configuration OIDC que vous devrez partager avec le service provider. Ce document contient des informations telles que les URL des endpoints et les paramètres de l'application.

1. Known configuration file (document de découverte) :

   • Le fichier de configuration OIDC est situé à l'URL suivante :

     bash

     Copy code

     https://login.microsoftonline.com/{tenant-id}/v2.0/.well-known/openid-configuration

   • Remplacez {tenant-id} par l'ID de votre locataire (que vous pouvez trouver dans Azure Active Directory > Properties > Directory ID).

   Ce fichier contient :

   • L'URL d'autorisation

   • L'URL de jeton

   • L'URL d'introspection des jetons

   • L'URL de déconnexion

   • Les clés publiques de l'autorité de certification utilisées pour valider les jetons JWT.

4. Partager les informations d'authentification avec le service provider

Le service provider aura besoin des informations suivantes pour l'authentification via OIDC :

1. Client ID : L'ID client de votre application (disponible dans la page de configuration de l'application dans Azure AD).

2. Client secret : Le secret généré plus tôt.

3. Authorization Endpoint : Disponible dans le fichier de configuration OIDC mentionné ci-dessus.

4. Token Endpoint : Disponible dans le fichier de configuration OIDC.

5. Redirect URI : L'URL où Azure AD renverra l'utilisateur après authentification (fournie par le service provider).

6. Issuer URL : C'est l'URL de votre locataire Azure AD, qui peut être trouvée dans le fichier .well-known.

5. (Optionnel) Tester l'application

Avant de partager avec le service provider, vous pouvez tester l'application en utilisant un outil comme Postman ou OIDC Debugger pour simuler le flux d'authentification et vérifier que vous obtenez un jeton d'accès.

Avec ces étapes, votre application OIDC est maintenant configurée dans Azure et prête à être intégrée avec le service provider. Les informations à partager sont principalement le Client ID, le Client Secret, l'Authorization Endpoint, et le fichier .well-known pour les configurations supplémentaires.