Aller au contenu

Azure Entra ID

FonctionnalitéSupport
Clients OAuth2/OIDC✅ Complet
Clients SAML✅ Complet
Resource servers❌ Non pris en charge
Clonage de client✅ Complet
  1. Enregistrer une application dans Entra ID

    Dans le Centre d’administration Microsoft Entra, allez dans App registrations → New registration.

    • Nom : Taco Management (ou tout autre nom)
    • Types de comptes pris en charge : Comptes de cet annuaire organisationnel uniquement
    • Cliquez sur Register

    Notez l’Application (client) ID et le Directory (tenant) ID depuis la page d’aperçu.

  2. Créer un secret client

    Allez dans l’app registration → Certificates & secrets → New client secret. Saisissez une description et une période d’expiration, puis copiez immédiatement la Value — elle n’est affichée qu’une seule fois.

  3. Accorder les permissions API

    Allez dans API permissions → Add a permission → Microsoft Graph → Application permissions et accordez :

    • Application.ReadWrite.All — créer, modifier et supprimer des app registrations (clients OAuth2/OIDC)
    • Application.ReadWrite.OwnedBy — alternative plus restrictive si vous limitez Taco aux apps qu’il a lui-même créées

    Après l’ajout des permissions, cliquez sur Grant admin consent pour votre tenant.

  4. Définir les variables d’environnement

    Terminal window
    OPENID_PROVIDER=entra
    ENTRA_TENANT_ID=your-tenant-id
    ENTRA_CLIENT_ID=your-client-id
    ENTRA_CLIENT_SECRET=your-client-secret
    # Défaut : AzureADMyOrg
    ENTRA_SIGN_IN_AUDIENCE=AzureADMyOrg
  • Les grant types correspondent aux permission grants OAuth2 et aux indicateurs du manifest d’Entra ; Taco étiquette chaque client avec des tags taco:grant:* pour suivre cette correspondance, car Entra ne modélise pas les grant types comme un champ de première classe.
  • Les clients SAML sont représentés comme une enterprise application Entra (service principal) liée à l’app registration, via un template SAML de galerie fixe (SAML_TEMPLATE_ID).
  • Les resource servers ne sont pas modélisés par Taco pour ce fournisseur — gérez l’exposition des API (identifierUris, app roles, scopes exposés) directement dans le portail Entra.

Pour protéger le tableau de bord Taco avec le SSO Entra ID, enregistrez une application séparée (plateforme web, flux authorization code) :

Terminal window
AUTH_CLIENT_OPENID_CONFIGURATION_URL=https://login.microsoftonline.com/{tenant-id}/v2.0
AUTH_CLIENT_ID=your-oidc-app-client-id
AUTH_CLIENT_SECRET=your-oidc-app-client-secret

Ajoutez <BASE_URL>/api/auth/callback/oidc aux Redirect URIs de l’application.