entra-app-registration

Présentation

Ce que fait cette skill

La skill entra-app-registration fournit des instructions pas à pas, orientées développeurs, pour configurer les enregistrements d’applications Microsoft Entra ID (anciennement Azure Active Directory). Elle vous guide pour :

• Créer des enregistrements d’applications dans Microsoft Entra ID
• Comprendre les principaux concepts d’identité (tenant, client ID, redirect URI, service principal)
• Choisir et configurer les flux OAuth 2.0
• Ajouter et gérer les autorisations d’API (delegated vs application)
• Configurer des secrets ou certificats et des service principals
• Intégrer MSAL et les SDK Azure Identity dans plusieurs langages
• Dépanner les erreurs courantes d’authentification et de configuration

Le contenu provient du dossier skills/entra-app-registration du dépôt microsoft/azure-skills, et inclut des guides dédiés comme references/first-app-registration.md, references/oauth-flows.md, references/api-permissions.md et references/console-app-example.md.

Pour qui entra-app-registration est-elle conçue ?

Utilisez cette skill si vous êtes :

• Un développeur backend ou d’API qui sécurise une API web ou un service avec Microsoft Entra ID
• Un développeur qui crée des applications web, SPA, desktop ou console devant connecter des utilisateurs ou appeler Microsoft Graph ou des API personnalisées
• Un ingénieur DevOps ou plateforme qui a besoin de modèles reproductibles pour l’enregistrement d’applications et les autorisations
• Une équipe qui souhaite documenter les bonnes pratiques pour l’authentification Entra ID et les autorisations d’API

Elle est particulièrement utile lorsque vous :

• Créez votre premier enregistrement d’application Microsoft Entra
• Migrez d’anciennes recommandations Azure AD vers la Microsoft identity platform
• Hésitez entre des autorisations delegated et application
• Choisissez un flux OAuth 2.0 adapté à votre type d’application
• Intégrez MSAL dans une application console ou backend

Quand cette skill n’est-elle pas adaptée ?

entra-app-registration se concentre sur l’identité et l’enregistrement d’applications, pas sur la sécurité Azure générale ni sur la gestion des ressources.

N’utilisez pas cette skill comme référence principale si vous avez surtout besoin de :

• Contrôle d’accès basé sur les rôles (RBAC) pour des ressources Azure → utilisez la skill azure-rbac
• Suivi du cycle de vie et d’expiration des secrets dans Key Vault → utilisez la skill azure-keyvault-expiration-audit
• Recommandations plus larges sur la posture de sécurité des ressources Azure ou les politiques → utilisez la skill azure-security

Vous pouvez toutefois combiner entra-app-registration avec ces skills si votre scénario couvre à la fois l’identité et l’autorisation au niveau des ressources.

Principales capacités en un coup d’œil

Dans cette skill, vous trouverez des guides qui vous aident à :

• Comprendre les briques de base d’un enregistrement d’application (à partir de SKILL.md et references/first-app-registration.md)
• Configurer des flux OAuth 2.0, notamment authorization code et client credentials (references/oauth-flows.md)
• Planifier et affecter des autorisations d’API pour Microsoft Graph et des API personnalisées (references/api-permissions.md)
• Suivre les bonnes pratiques d’authentification Azure, y compris l’usage des managed identities et des types d’identifiants recommandés (references/auth-best-practices.md)
• Utiliser Azure CLI pour automatiser la création et la mise à jour d’enregistrements d’applications (references/cli-commands.md)
• Implémenter des applications console basées sur MSAL en C#, Python et Node.js (references/console-app-example.md)
• Intégrer les SDK Azure Identity pour .NET, Java, Python, Rust et TypeScript (references/sdk/*.md)
• Diagnostiquer les problèmes de redirect URI, de jeton et de consentement (references/troubleshooting.md)

entra-app-registration est ainsi particulièrement pertinente pour les travaux de contrôle d’accès, de développement d’API et de développement backend qui dépendent de Microsoft Entra ID.

Comment utiliser la skill

Installer la skill entra-app-registration

Pour ajouter la skill entra-app-registration depuis le dépôt microsoft/azure-skills à un environnement d’agent compatible, exécutez :

npx skills add https://github.com/microsoft/azure-skills --skill entra-app-registration

Cela rend la documentation de la skill (y compris SKILL.md et le dossier references/) disponible pour votre agent, afin qu’il puisse répondre à des questions détaillées sur l’enregistrement d’applications Microsoft Entra, les flux OAuth et les autorisations.

Si votre plateforme propose une interface graphique pour gérer les skills, vous pouvez également :

1. Rechercher "entra-app-registration" dans le catalogue de skills.
2. Vérifier que la source GitHub est microsoft/azure-skills.
3. Cliquer sur Add ou Enable pour l’attacher à votre espace de travail ou projet.

Ordre de lecture recommandé

Après l’installation, ouvrez la vue Files ou Sources pour cette skill et explorez dans l’ordre suivant :

1. SKILL.md – Vue d’ensemble, périmètre de la skill et recommandations d’utilisation/non-utilisation.
2. references/first-app-registration.md – Tutoriel concret, étape par étape, pour créer votre premier enregistrement d’application Microsoft Entra dans le portail Azure.
3. references/oauth-flows.md – Explications et diagrammes des flux OAuth 2.0 pris en charge par Microsoft Entra ID, avec des notes d’implémentation.
4. references/api-permissions.md – Comment choisir et configurer les autorisations delegated vs application, les formats de scope et les autorisations Graph courantes.
5. references/auth-best-practices.md – Comment choisir le bon type d’identifiant selon l’environnement (managed identity, certificats, DefaultAzureCredential pour le local, etc.).
6. references/cli-commands.md – Commandes Azure CLI pour créer et gérer des enregistrements d’applications via des scripts ou du CI/CD.
7. references/console-app-example.md – Exemples complets d’applications console qui s’authentifient auprès de Microsoft Entra ID avec MSAL.
8. references/sdk/*.md – Guides d’intégration spécifiques à chaque langage utilisant Azure Identity et les SDK associés.
9. references/troubleshooting.md – À consulter en cas d’erreurs AADSTS, de problèmes de consentement ou de mismatch de redirect URI.

Cette progression vous aide à passer de la compréhension conceptuelle à la configuration via le portail, puis à l’automatisation et à l’intégration dans le code.

Parcours types pris en charge par cette skill

1. Enregistrer votre première application Microsoft Entra

À utiliser lorsque vous démarrez avec Entra ID ou que vous créez une nouvelle application :

• Suivez references/first-app-registration.md pour :
  • Ouvrir le portail Azure et accéder à Microsoft Entra ID → App registrations
  • Créer un nouvel enregistrement avec les types de comptes pris en charge appropriés
  • Configurer les redirect URIs selon que vous avez une application web, une SPA ou un client natif
  • Définir les options d’authentification et les configurations de plateforme
  • Ajouter les autorisations d’API nécessaires (par exemple Microsoft Graph User.Read)
  • Créer des identifiants client (secrets ou certificats) si besoin
  • Tester le flux d’authentification dans votre application

La structure pas à pas de la skill réduit les erreurs fréquentes liées aux redirect URIs, à la sélection du tenant et au choix des types de comptes.

2. Choisir le bon flux OAuth 2.0

À utiliser lorsque vous ne savez pas quel flux d’authentification implémenter pour une nouvelle application :

• Ouvrez references/oauth-flows.md pour comparer les flux, notamment :
  • Authorization code flow pour les applications web et services avec secrets côté serveur
  • Client credentials flow pour les applications daemon et services en tâche de fond
  • D’autres flux pris en charge, illustrés dans le guide
• Chaque section de flux décrit :
  • Une séquence numérotée des interactions entre l’utilisateur, l’application, Microsoft Entra ID et les API
  • Les paramètres importants comme client_id, tenant, redirect_uri et scope
  • Les cas d’usage recommandés pour ce flux

En vous appuyant sur ce guide, vous pouvez aligner votre type d’application (web, SPA, daemon, console) sur le flux OAuth approprié et l’implémenter en toute sécurité.

3. Configurer les autorisations delegated vs application

À utiliser lorsque votre application doit appeler Microsoft Graph ou une API personnalisée :

• Ouvrez references/api-permissions.md pour :
  • Comprendre les delegated permissions (contexte utilisateur) vs les application permissions (contexte application seule)
  • Décider quand un consentement utilisateur est approprié et quand un consentement administrateur est requis
  • Apprendre le format des scopes, y compris les scopes Graph comme https://graph.microsoft.com/User.Read et les scopes d’API personnalisées comme api://myapi-id/access_as_user
  • Voir comment les scopes .default fonctionnent pour les scénarios client credentials et de migration
• Utilisez ces recommandations pour :
  • Configurer les autorisations d’API dans l’enregistrement d’application
  • Demander les bons scopes depuis le code de votre application
  • Éviter la sur-autorisation et les demandes de consentement administrateur inutiles

4. Automatiser l’enregistrement d’applications avec Azure CLI

À utiliser lorsque vous souhaitez script-er ou automatiser l’enregistrement d’applications plutôt que passer par le portail :

• Ouvrez references/cli-commands.md pour :
  • Les prérequis CLI (installation de az et az login)
  • Des exemples de commandes permettant de créer des enregistrements d’applications pour :
    • Des applications web avec redirect URIs
    • Des Single Page Applications (SPA) avec redirect URIs dédiés aux SPA
    • Des applications clients publiques (desktop/mobile)
    • Des applications multi-tenant avec différents paramètres de sign-in audience
  • Des extraits de commandes pour mettre à jour les redirect URIs et autres paramètres

Ces exemples peuvent être intégrés dans des scripts shell ou des pipelines CI/CD afin de garantir des configurations d’enregistrement d’applications cohérentes entre les environnements.

5. Implémenter MSAL dans une application console ou backend

À utiliser lorsque vous avez besoin de code fonctionnel pour vous authentifier et obtenir des jetons :

• Ouvrez references/console-app-example.md pour :
  • Créer un nouveau projet console (par exemple dotnet new console)
  • Installer les packages MSAL (par exemple Microsoft.Identity.Client pour .NET)
  • Utiliser des programmes d’exemple complets qui :
    • Configurent ClientId, TenantId et Scopes
    • Créent une instance d’application client publique
    • Acquièrent des jetons de manière interactive ou silencieuse depuis le cache
    • Gèrent les erreurs et affichent les résultats de jeton

Vous pouvez copier ces exemples dans votre propre projet et remplacer les valeurs de placeholder par les détails de votre enregistrement d’application.

6. Utiliser les SDK Azure Identity dans différents langages

À utiliser lorsque vous souhaitez utiliser les bibliothèques Azure Identity plutôt que d’appeler directement MSAL :

• Ouvrez le fichier correspondant à votre langage dans references/sdk/, par exemple :
  • azure-identity-dotnet.md
  • azure-identity-java.md
  • azure-identity-py.md
  • azure-identity-rust.md
  • azure-identity-ts.md
• Ces guides sont alignés avec references/auth-best-practices.md et expliquent comment :
  • Utiliser DefaultAzureCredential pour le développement local
  • Préférer ManagedIdentityCredential ou workload identity en production
  • Configurer des identifiants basés sur les variables d’environnement lorsque c’est pertinent

Cela vous aide à intégrer vos enregistrements d’applications avec les modèles d’authentification modernes des SDK Azure.

7. Dépanner les problèmes d’authentification courants

À utiliser lorsque vous rencontrez des erreurs typiques Microsoft Entra ID :

• Ouvrez references/troubleshooting.md pour diagnostiquer des problèmes tels que :
  • Incohérences de redirect URI (par exemple AADSTS50011)
  • Secrets client invalides ou expirés
  • Erreurs d’autorisations et de consentement lors de l’appel d’APIs
  • Problèmes de validation de jeton et de configuration
• Le guide inclut :
  • Des exemples de messages d’erreur
  • Des explications sur les causes racine
  • Des actions concrètes, y compris des étapes dans le portail Azure et des commandes Azure CLI

Cela peut vous faire gagner du temps lors du débogage des échecs d’authentification et d’autorisation en développement ou en production.

Bonnes pratiques et articulation avec les autres skills

Dans references/auth-best-practices.md, la skill insiste notamment sur :

• L’utilisation des managed identities associées à Azure RBAC pour les charges de travail de production hébergées sur Azure
• L’utilisation de DefaultAzureCredential principalement pour le développement local, et non en production
• Le choix d’identifiants ciblés (comme ManagedIdentityCredential, ClientCertificateCredential ou workload identity) par environnement pour plus de prévisibilité et de performances

Combinez entra-app-registration avec :

• azure-rbac lorsque vous devez autoriser l’accès aux ressources Azure une fois l’identité configurée
• azure-keyvault-expiration-audit lorsque vous devez gérer et auditer les secrets pour les identifiants client stockés dans Key Vault
• azure-security pour la posture de sécurité globale, les politiques et la conformité

FAQ

Quels problèmes entra-app-registration permet-elle de résoudre ?

entra-app-registration résout les problèmes pratiques de configuration et de mise en place qui surviennent lorsque vous commencez à travailler avec les enregistrements d’applications Microsoft Entra ID. Elle fournit des guides structurés pour :

• Créer correctement un enregistrement d’application dans le portail ou via CLI
• Choisir les types de comptes et les flux OAuth adaptés à votre application
• Configurer les redirect URIs, secrets, certificats et service principals
• Ajouter les bonnes autorisations d’API et scopes pour Microsoft Graph ou des APIs personnalisées
• Intégrer MSAL et Azure Identity dans des applications réelles
• Dépanner les codes d’erreurs courants et les mauvaises configurations

Comment installer la skill entra-app-registration ?

Vous installez la skill depuis le dépôt microsoft/azure-skills. Dans un environnement compatible, exécutez :

npx skills add https://github.com/microsoft/azure-skills --skill entra-app-registration

Après l’installation, les fichiers de la skill (y compris SKILL.md et le répertoire references/) sont disponibles pour votre agent, qui peut alors répondre à des questions sur l’enregistrement d’applications Microsoft Entra et l’authentification.

Quels fichiers consulter en premier après l’installation ?

Commencez par :

• SKILL.md – pour le périmètre global et les recommandations
• references/first-app-registration.md – pour une mise en place pas à pas via le portail
• references/oauth-flows.md – pour comprendre le flux OAuth 2.0 adapté à votre scénario
• references/api-permissions.md – pour choisir et configurer les autorisations d’API

Ensuite, selon vos besoins, poursuivez avec references/cli-commands.md pour l’automatisation, references/console-app-example.md pour le code d’exemple, et references/troubleshooting.md pour résoudre les erreurs.

Cette skill couvre-t-elle Azure RBAC ou les rôles sur les ressources ?

Seulement de manière indirecte. entra-app-registration se concentre sur l’identité applicative, les flux OAuth et les autorisations d’API. Elle ne traite pas en profondeur des affectations de rôles sur les ressources Azure ni de la configuration RBAC. Pour cela, combinez-la avec la skill azure-rbac.

Puis-je utiliser entra-app-registration avec des clouds non Microsoft ?

La skill est spécifiquement dédiée à Microsoft Entra ID et à la Microsoft identity platform. Même si les concepts OAuth 2.0 sont généraux, les étapes de configuration, les commandes et les exemples sont orientés vers Azure et des tenants Microsoft Entra ID.

Existe-t-il du code pour plusieurs langages ?

Oui. references/console-app-example.md propose des exemples d’applications console en C#, Python et Node.js utilisant MSAL. De plus, le dossier references/sdk/ contient des documents spécifiques aux bibliothèques Azure Identity pour .NET, Java, Python, Rust et TypeScript.

Quel est le lien entre cette skill et l’utilisation d’Azure Key Vault ?

entra-app-registration aborde les bonnes pratiques d’authentification et peut mentionner le stockage sécurisé des secrets, mais elle ne couvre pas l’intégralité du cycle de vie des secrets dans Key Vault. Pour auditer les expirations et gérer en détail les secrets Key Vault, utilisez la skill azure-keyvault-expiration-audit en complément.

Et si j’ai déjà des enregistrements d’applications mal configurés ?

Vous pouvez utiliser references/troubleshooting.md pour diagnostiquer les erreurs, puis :

• Comparer la configuration actuelle de vos enregistrements d’applications avec les modèles de references/first-app-registration.md et references/oauth-flows.md
• Corriger les redirect URIs, les autorisations et les secrets selon les recommandations
• Valider votre code à partir des exemples dans references/console-app-example.md et les documents SDK

La skill est utile à la fois pour des mises en place neuves (greenfield) et pour corriger des configurations existantes.

Où voir tous les documents disponibles dans cette skill ?

Ouvrez l’onglet Files ou Sources pour la skill entra-app-registration dans votre environnement. Vous pourrez explorer :

• SKILL.md
• Le dossier references/ pour les guides thématiques (API permissions, OAuth flows, CLI commands, console examples, troubleshooting)
• Le sous-dossier references/sdk/ pour les exemples Azure Identity spécifiques à chaque langage

La navigation dans cet arborescence vous donne une vue complète de l’ensemble des contenus fournis avec la skill.