Azure Entra ID
Disponibilité des fonctionnalités
Section titled “Disponibilité des fonctionnalités”| Fonctionnalité | Support |
|---|---|
| Clients OAuth2/OIDC | ✅ Complet |
| Clients SAML | ✅ Complet |
| Resource servers | ❌ Non pris en charge |
| Clonage de client | ✅ Complet |
Configuration
Section titled “Configuration”-
Enregistrer une application dans Entra ID
Dans le Centre d’administration Microsoft Entra, allez dans App registrations → New registration.
- Nom :
Taco Management(ou tout autre nom) - Types de comptes pris en charge : Comptes de cet annuaire organisationnel uniquement
- Cliquez sur Register
Notez l’Application (client) ID et le Directory (tenant) ID depuis la page d’aperçu.
- Nom :
-
Créer un secret client
Allez dans l’app registration → Certificates & secrets → New client secret. Saisissez une description et une période d’expiration, puis copiez immédiatement la Value — elle n’est affichée qu’une seule fois.
-
Accorder les permissions API
Allez dans API permissions → Add a permission → Microsoft Graph → Application permissions et accordez :
Application.ReadWrite.All— créer, modifier et supprimer des app registrations (clients OAuth2/OIDC)Application.ReadWrite.OwnedBy— alternative plus restrictive si vous limitez Taco aux apps qu’il a lui-même créées
Après l’ajout des permissions, cliquez sur Grant admin consent pour votre tenant.
-
Définir les variables d’environnement
Terminal window OPENID_PROVIDER=entraENTRA_TENANT_ID=your-tenant-idENTRA_CLIENT_ID=your-client-idENTRA_CLIENT_SECRET=your-client-secret# Défaut : AzureADMyOrgENTRA_SIGN_IN_AUDIENCE=AzureADMyOrg
Notes sur la gestion des clients
Section titled “Notes sur la gestion des clients”- Les grant types correspondent aux permission grants OAuth2 et aux indicateurs du manifest d’Entra ; Taco étiquette chaque client avec des tags
taco:grant:*pour suivre cette correspondance, car Entra ne modélise pas les grant types comme un champ de première classe. - Les clients SAML sont représentés comme une enterprise application Entra (service principal) liée à l’app registration, via un template SAML de galerie fixe (
SAML_TEMPLATE_ID). - Les resource servers ne sont pas modélisés par Taco pour ce fournisseur — gérez l’exposition des API (
identifierUris, app roles, scopes exposés) directement dans le portail Entra.
Connexion OIDC (optionnel)
Section titled “Connexion OIDC (optionnel)”Pour protéger le tableau de bord Taco avec le SSO Entra ID, enregistrez une application séparée (plateforme web, flux authorization code) :
AUTH_CLIENT_OPENID_CONFIGURATION_URL=https://login.microsoftonline.com/{tenant-id}/v2.0AUTH_CLIENT_ID=your-oidc-app-client-idAUTH_CLIENT_SECRET=your-oidc-app-client-secretAjoutez <BASE_URL>/api/auth/callback/oidc aux Redirect URIs de l’application.