# Configuration de Microsoft Entra ID pour WorkflowGen Plus v2

{% hint style="warning" %}
Azure Active Directory (Azure AD) a été renommé **Microsoft Entra ID (ME-ID)**. Bien que la documentation WorkflowGen ait été mise à jour pour refléter ce changement de nom, les paramètres de l'application WorkflowGen font toujours référence à Azure AD (par exemple, connecteur d'annuaire `Azure AD SCIM v2`).

De même, certains éléments de configuration ME-ID dans le portail Azure ont été renommés et / ou déplacés. La documentation WorkflowGen a été mise à jour en conséquence, mais il se peut qu'elle ne soit toujours pas tout à fait exacte à cet égard. Consultez la documentation [Microsoft Entra ID](https://learn.microsoft.com/fr-fr/entra/identity/) pour plus d'informations.
{% endhint %}

## Aperçu

Les applications mobiles doivent suivre une approche semblable à celle des applications Web ordinaires appelée « **Authorization Code Flow with Proof Key for Code Exchange (PKCE)** ». La principale distinction entre PKCE et le « Authorization Code Flow » classique est que l'application mobile ne reçoit pas de clé secrète client; à la place, elle échange une paire de codes pour prouver l'origine de la tentative d'authentification. Le problème est qu'on ne peut pas se fier à une application mobile car elle est distribuée librement aux utilisateurs et donc elle n'est plus sous le contrôle du développeur, puis les sources pourraient être décompilées et analysées pour révéler les clés secrètes client.

Cette section contient les instructions sur comment configurer Microsoft Entra ID (ME-ID) pour les applications mobiles afin que vos utilisateurs mobiles puissent aussi bénéficier de l'authentification déléguée.

{% hint style="warning" %}
**L'application mobile WorkflowGen Plus v2** (disponible dans les marchés d'applications Apple et Google Play) supporte l'authentification déléguée ME-ID avec le fournisseur **Microsoft Identity Platform v2.0** uniquement.

De plus, WorkflowGen Plus **ne fonctionnera pas** avec un serveur WorkflowGen configuré pour [appeler des APIs tierces](https://docs.workflowgen.com/azure-fr/8.2/authentification-azure-active-directory#appel-des-apis-tierces-avec-le-jeton-dacces) avec OpenID Connect (par exemple en utilisant une audience personnalisée et / ou des portées multiples).
{% endhint %}

{% hint style="warning" %}
**L'application mobile WorkflowGen Plus v1** n'est plus supportée.&#x20;
{% endhint %}

## Prérequis

* Assurez-vous d'avoir une copie de WorkflowGen sous licence installée et en fonctionnement sur un serveur Web IIS en mode de connexion sécurisé **HTTPS**.
* Assurez-vous d'avoir un **accès administrateur ME-ID** pour pouvoir configurer ME-ID.
* Assurez-vous d'avoir approvisionné un **utilisateur ME-ID existant** avec lequel vous pouvez vous authentifier auprès de WorkflowGen afin de pouvoir utiliser l'application par la suite.
* Assurez-vous d'avoir configuré avec succès l'authentification déléguée à ME-ID avec le fournisseur **Microsoft Identity Platform v2.0** sur votre instance WorkflowGen en suivant les instructions de la section [Authentification Microsoft Entra ID](https://docs.workflowgen.com/azure-fr/8.2/authentification-azure-active-directory) avec l'application `WorkflowGen GraphQL API` également enregistrée.

## Configuration de Microsoft Entra ID

Cette configuration se fait dans plusieurs étapes. D'abord, vous devez inscrire une nouvelle application native dans ME-ID. Ensuite, vous devez donner les permissions requises à l'application pour accéder à l'API GraphQL de WorkflowGen. Enfin, vous devez inscrire les URLs de rappel qui redirigeront dans l'application native.

### Étape 1 : Inscrivez une nouvelle application native

1. Dans le portail Azure, cliquez sur **Inscriptions d'applications** dans la section **Services Azure**.<br>
2. Cliquez sur **Nouvelle inscription**, puis entrez les propriétés :
   * **Nom :** `WorkflowGen Plus`&#x20;
   * **Types de comptes pris en charge :** `Comptes dans cet annuaire d'organisation uniquement (Default Directory uniquement - Locataire unique)`\
     ✏️ **Note :** En fonction du contexte, vous devez choisir la bonne option pour votre cas d'utilisation pour la valeur du type de compte supporté.
   * **URI de redirection** :&#x20;
     * **Type :** `Client public/natif`&#x20;
     * **Value :** `workflowgenplus://oidc`

       &#x20;
3. Cliquez sur **S'inscrire** en bas de la page.

Vous avez maintenant enregistré avec succès votre application native `WorkflowGen Plus` dans Microsoft Entra ID.

### Étape 2 : Accordez l'accès à l'API GraphQL

1. Cliquez sur **API autorisées**.<br>
2. Dans la section **Autorisations configurées**, cliquez sur **Ajouter une autorisation.**<br>
3. Cliquez sur **Mes API**, puis sélectionnez l'application `WorkflowGen GraphQL API` dans la liste.<br>
4. Cliquez sur **Autorisations déléguées** et cochez `défaut` dans la colonne **Autorisation**.<br>
5. Cliquez sur **Ajouter des autorisations**.<br>
6. Dans la page **API autorisées**, cliquez sur **Accorder un consentement administrateur pour \<votre nom de locataire>**, puis cliquez sur **Oui**.

### Vérifiez l'inscription

Prenez note des informations dont vous aurez besoin plus tard :

* Une **adresse serveur** : Ceci est l'URL de votre application WorkflowGen (p.ex. : `https://<url workflowgen>`).
* Un **ID client** : Ceci est l'ID d'application (client) dans la section d'aperçu de votre inscription d'application.
* Un **ID locataire** : Ceci est l'ID de répertoire (locataire) dans la section d'aperçu de votre inscription d'application.
* Une **audience** : Ceci est la propriété `Application ID URI` (p.ex. : `https://<url workflowgen>/graphql`) dans la section **Exposer une API** de l'inscription d'application `WorkflowGen GraphQL API`.

Vous devrez fournir ces informations aux utilisateurs qui utiliseront l'application mobile WorkflowGen Plus v2. L'authentification déléguée Azure AD ne fonctionnera pas à moins qu'ils ne copient ces informations dans l'application mobile.

{% hint style="info" %}
Vous pouvez également fournir un lien universel à vos utilisateurs. Pour obtenir des instructions sur la façon de générer un lien universel pour simplifier le processus de connexion ME-ID pour vos utilisateurs, consultez la section [Génération d'un lien universel pour WorkflowGen Plus](https://docs.workflowgen.com/azure-fr/8.2/generation-dun-lien-universel-pour-workflowgen-plus).
{% endhint %}

{% hint style="success" %}
Vous avez maintenant inscrit avec succès l'application mobile WorkflowGen Plus dans Microsoft Entra ID.
{% endhint %}