> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Connecter votre application à Microsoft Entra ID à l’aide du flux Propriétaire de ressource

> Apprenez à connecter votre application à Microsoft Entra ID à l’aide d’une connexion Entreprise avec le flux Propriétaire de ressource.

En plus des flux WS-Federation et <Tooltip href="/docs/fr-ca/glossary?term=openid" tip="OpenID
Norme ouverte d’authentification qui permet aux applications de vérifier l’identité des utilisateurs sans avoir à collecter leurs informations de connexion." cta="Voir le glossaire">OpenID</Tooltip> Connect, il est également possible d’utiliser le flux [Propriétaire de ressource](/docs/fr-ca/get-started/authentication-and-authorization-flow/resource-owner-password-flow) avec Microsoft Entra ID. Ce flux vous permet de capturer et de valider les identifiants de l’utilisateur (adresse courriel et mot de passe) au lieu d’afficher la page de connexion à Microsoft Entra ID. Pour des raisons de sécurité et d’authentification unique (<Tooltip href="/docs/fr-ca/glossary?term=single-sign-on" tip="Authentification unique (SSO)
Service qui, après qu’un utilisateur se soit connecté à une application, le connecte automatiquement à d’autres applications." cta="Voir le glossaire">SSO</Tooltip>), cette approche n’est pas recommandée; néanmoins, le flux Propriétaire de ressource peut être utile dans les scénarios mobiles natifs ou pour l’authentification par lots avec Microsoft Entra ID.

Cette configuration nécessite deux applications : une application Web ou une API Web, et une application native. Du point de vue de Microsoft Entra ID, les utilisateurs seront authentifiés en utilisant l’application native pour accéder à l’application Web et/ou à l’API Web.

<Frame>
  <img src="https://mintlify.s3.us-west-1.amazonaws.com/auth0/docs/images/fr-ca/cdy7uua7fh8z/6Uy9Q35rn0d9rankvlJuBT/770d58a51965ff5cd0ac2b12ab704dbe/azure-ad-native-app.png" alt="Diagramme de vue d’ensemble d’applications Entra ID utilisant le flux de propriétaire de ressources" />
</Frame>

## Prérequis

[Enregistrez votre application avec Auth0](/docs/fr-ca/get-started/auth0-overview/create-applications) :

1. Sélectionnez **Native** pour le **Type d’application**.
2. Ajoutez une **URL de rappel autorisée**. Le format de votre URL de rappel varie en fonction de votre plateforme. Pour plus de détails sur le format de votre plateforme, consultez notre page [Guide de démarrage rapide pour application native](/docs/fr-ca/quickstart/native).
3. Assurez-vous que les [Types d’autorisation](/docs/fr-ca/get-started/applications/update-grant-types) comprennent les flux appropriés.

## Étapes

Pour connecter votre application à l’aide du flux de Propriétaire de Ressource, vous devez :

1. [Configurer vos applications dans le portail Microsoft Azure](#set-up-your-applications-in-the-microsoft-azure-portal).
2. [Créer une connexion d’entreprise dans Auth0](#create-an-enterprise-connection-in-auth0).
3. [Activer la connexion d’entreprise pour votre application Auth0](#enable-the-enterprise-connection-for-your-auth0-application).
4. [Tester la connexion](#test-the-connection).

<Card title="Compte Microsoft Azure">
  Avant de continuer, vous aurez besoin d’un compte Microsoft Azure valide et vous devez disposer de **votre propre** répertoire Microsoft Azure AD dont vous êtes administrateur global.

  Si vous n’avez pas de compte Microsoft Azure, vous pouvez vous [inscrire gratuitement](https://azure.microsoft.com/en-us/free); puis, si nécessaire, configurez un répertoire Azure AD en suivant le guide [Démarrage rapide : Créer un locataire dans Azure Active Directory - Créer un locataire pour votre organisation](https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-access-create-new-tenant#create-a-new-tenant-for-your-organization) de Microsoft.

  Si vous disposez d’un compte Office 365, vous pouvez également utiliser l’instance Azure AD de ce compte au lieu d’en créer une. Pour accéder à l’instance Azure AD de votre compte Office 365 :

  1. [Connectez-vous à Office 365](https://portal.office.com) et accédez au [centre d’administration Office 365](https://portal.office.com/adminportal/home#/homepage).
  2. Ouvrez le menu à tiroir des **Admin centers (Centres d’administration)** situé dans le menu de gauche, et cliquez sur **Azure AD**.
</Card>

## Configurer vos applications dans le portail Microsoft Azure

<Warning>
  Avant de continuer, vous devez déjà avoir créé **votre propre** répertoire Microsoft Entra ID dont vous êtes administrateur général. Pour savoir comment, suivez [Microsoft’s Quickstart: Create a new tenant in Microsoft Entra ID - Create a new tenant for your organization (Démarrage rapide de Microsoft : Créer un locataire dans Microsoft Entra ID - Créer un locataire pour votre organisation)](https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-access-create-new-tenant#create-a-new-tenant-for-your-organization).
</Warning>

### Enregistrer une nouvelle application Web

Pour savoir comment inscrire votre application avec Microsoft Entra ID, veuillez consulter [Guide de démarrage rapide : Enregistrer une application avec la plateforme d’identités de Microsoft sur Microsoft Docs](https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-register-app) :.

<Warning>
  Si vous disposez de plusieurs répertoires Microsoft Entra ID, assurez-vous que vous êtes dans le répertoire qui convient lorsque vous enregistrez votre application.
</Warning>

Lors de la configuration de votre application, assurez-vous d’utiliser les paramètres suivants :

* Si vous souhaitez autoriser les utilisateurs provenant d’organisations externes (comme d’autres répertoires Microsoft Entra ID), sélectionnez **Comptes dans n’importe quel répertoire d’organisation (tout répertoire Microsoft Entra ID – Multilocataire)** lors de la configuration des **Types de compte pris en charge**.
* Lorsque vous êtes invité à définir un **URI de redirection**, sélectionnez **Web** et saisissez votre URL de rappel : `https://{yourDomain}/login/callback`.

<Card title="Trouver votre nom de domaine Auth0 pour les redirections">
  Si votre nom de domaine Auth0 n’est pas affiché ci-dessus et que vous n’utilisez pas notre fonctionnalité de [domaines personnalisés](/docs/fr-ca/customize/custom-domains), votre nom de domaine est une concaténation de votre nom de locataire, de votre sous-domaine régional et de `auth0.com`, séparés par le symbole point (`.`).

  Par exemple, si votre nom de locataire est `exampleco-enterprises` et que votre locataire est dans la région des États-Unis, votre nom de domaine Auth0 serait  `exampleco-enterprises.us.auth0.com` et votre  **URI de redirection** serait `https://exampleco-enterprises.us.auth0.com/login/callback`.

  Cependant, si votre locataire est dans la région des États-Unis et a été créé avant juin 2020, votre nom de domaine Auth0 serait `exampleco-enterprises.auth0.com` et votre **URI de redirection** serait`https://exampleco-enterprises.auth0.com/login/callback`.

  Si vous utilisez des [domaines personnalisés](/docs/fr-ca/customize/custom-domains), votre **URI de redirection** serait `https://<YOUR CUSTOM DOMAIN>/login/callback`.
</Card>

Pendant ce processus, notez l’**ID de l’application (client)** généré par Microsoft pour votre application. Il se trouve sur l’écran **Aperçu** de l’application et vous en aurez besoin plus tard dans le tutoriel.

### Configurer votre application Web pour exposer une API

Pour savoir comment configurer votre application Web pour qu’elle expose une API avec Microsoft Entra ID, veuillez consulter [Guide de démarrage rapide Configurer une application pour exposer les API Web sur Microsoft Docs](https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-configure-app-expose-web-apis).

Lors de la configuration de votre application, assurez-vous d’utiliser les paramètres suivants :

* Lorsque vous êtes invité à définir un **Nom de permission**, entrez `API.Access`.

Pendant ce processus, notez l’**URI d’ID d’application** généré par Microsoft pour votre application, car vous en aurez besoin plus tard dans le tutoriel.

### Enregistrer une nouvelle application native

Pour savoir comment inscrire une application native dans Azure, veuillez consulter [Guide de démarrage rapide : Enregistrer une application avec la plateforme d’identités de Microsoft sur Microsoft Docs](https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-register-app) .

<Warning>
  Si vous disposez de plusieurs répertoires Microsoft Entra ID, assurez-vous que vous êtes dans le répertoire qui convient lorsque vous enregistrez votre application.
</Warning>

Lors de la configuration de votre application, assurez-vous d’utiliser les paramètres suivants :

* Si vous souhaitez autoriser les utilisateurs provenant d’organisations externes (comme d’autres répertoires Microsoft Entra ID), sélectionnez **Comptes dans n’importe quel répertoire d’organisation (tout répertoire Microsoft Entra ID – Multilocataire)** lors de la configuration des **Types de compte pris en charge**.
* Lorsque vous êtes invité à définir un **URI de redirection**, sélectionnez `Public client/native (mobile & desktop)` et saisissez votre URL de rappel. Le format de votre URL de rappel varie en fonction de votre plateforme. Pour plus de détails sur le format de votre plateforme, veuillez consulter [Guide de démarrage rapide pour application native](/docs/fr-ca/quickstart/native).

Pendant ce processus, notez l’**ID de l’application (client)** généré par Microsoft pour votre application. Il se trouve sur l’écran **Aperçu** de l’application et vous en aurez besoin plus tard dans le tutoriel.

### Créer un secret client pour votre application native

Pour savoir comment créer un <Tooltip href="/docs/fr-ca/glossary?term=client-secret" tip="Secret client
Secret utilisé par un client (application) pour s’authentifier auprès du serveur d’autorisation; il ne doit être connu que du client et du serveur d’autorisation et doit être suffisamment aléatoire pour ne pas être deviné." cta="Voir le glossaire">client secret</Tooltip>, veuillez consulter [Guide de démarrage rapide : Configuration d’une application client pour accéder aux API Web – Ajout d’identifiants à votre application Web dans Microsoft Docs](https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-configure-app-access-web-apis#add-credentials-to-your-web-application).

Générer un **Secret client** et enregistrer sa valeur. Vous en aurez besoin plus tard dans le tutoriel.

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  Si vous configurez un secret à expiration, assurez-vous **d’enregistrer la date d’expiration**; vous devrez renouveler la clé avant cette date pour éviter une interruption du service.
</Callout>

### Ajouter des autorisations pour votre application native

Pour savoir comment ajouter des autorisations pour votre application **Native**, veuillez consulter la section [Guide de démarrage rapide : Configuration d’une application client pour accéder aux API Web – Ajout de permissions pour accéder aux API Web dans Microsoft Docs](https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-configure-app-access-web-apis#add-permissions-to-access-web-apis).

Auth0 nécessite que vous activiez les permissions les moins privilégiées nécessaires (pour l’API Microsoft Graph et pour l’application Web que vous avez configurée pour exposer une API) pour que cette configuration fonctionne correctement. Pour en savoir plus sur les autorisations de l’API Microsoft Graph, veuillez consulter la [Référence sur les autorisations Microsoft Graph dans Microsoft Docs](https://learn.microsoft.com/en-us/graph/permissions-reference).

Lors de la configuration des autorisations, assurez-vous d’utiliser les paramètres suivants pour l’API Microsoft Graph :

* Lorsque vous êtes invité à indiquer un type d’autorisation, choisissez **Autorisations déléguées**.

  * Sous **Utilisateur**, sélectionnez **User.Read** pour que votre application puisse ouvrir une session pour les utilisateurs et lire le profil de l’utilisateur connecté.
  * Sous **Répertoire**, sélectionnez **Directory.Read.All** pour que votre application puisse lire les données du répertoire au nom de l’utilisateur connecté.

Pour votre application Web configurée pour exposer une API, assurez-vous d’utiliser les paramètres suivants :

* Lorsque vous êtes invité à indiquer un type d’autorisation, choisissez **Autorisations déléguées**.

  * Sousº**API**, sélectionnez **API.Access** pour que votre application puisse accéder à votre API au nom de l’utilisateur.

## Configurer la connexion dans Auth0

Après avoir créé les deux applications dans Microsoft Entra ID, vous pouvez configurer la connexion Auth0 :

1. Rendez-vous à [Auth0 Dashboard > Authentification > Entreprise](https://manage.auth0.com/#/connections/enterprise), localisez **Microsoft Entra ID**, et sélectionnez le bouton Ajouter (**+**).

   <Frame>
     <img src="https://mintlify.s3.us-west-1.amazonaws.com/auth0/docs/images/fr-ca/cdy7uua7fh8z/1fSTcrZpkgkPR64NnI1lr8/4effc408fd5dda9818d307c7b798243c/Enterprise_Connections_-_FR.png" alt="Dashboard (Tableau de bord) - Connections (Connexions) - Enterprise (Entreprise)" />
   </Frame>

2. Saisissez les détails de votre connexion et sélectionnez **Créer** :

| Champ                                                                                                 | Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                           |
| ----------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Connection name (Nom de connexion)**                                                                | Identifiant logique de votre connexion; il doit être unique pour votre locataire. Une fois défini, ce nom ne peut pas être modifié.                                                                                                                                                                                                                                                                                                                                                                                                                                   |
| **Domaine Microsoft Entra AD**                                                                        | Votre nom de domaine Entra AD. Vous pouvez le trouver sur la page de présentation de votre répertoire Entra AD dans le portail Microsoft Entra.                                                                                                                                                                                                                                                                                                                                                                                                                       |
| **ID client**                                                                                         | Identifiant unique pour votre application enregistrée Entra AD. Saisissez la valeur enregistrée de **ID d’application (client)** pour l’application Native que vous avez enregistrée dans Entra AD.                                                                                                                                                                                                                                                                                                                                                                   |
| **Secret client**                                                                                     | Chaîne utilisée pour accéder à votre application Entra AD enregistrée. Saisissez la valeur enregistrée de **Secret client** pour l’application Native que vous avez enregistrée dans Entra AD.                                                                                                                                                                                                                                                                                                                                                                        |
| **Utiliser un point de terminaison commun** (facultatif)                                              | Lorsque cette option est activée, votre application accepte dynamiquement les utilisateurs provenant de nouveaux répertoires. Généralement activée si vous avez sélectionné une option multi-locataire pour les **Types de comptes pris en charge** pour l’application que vous venez d’enregistrer dans Entra AD. Lorsque cette option est activée, Auth0 redirigera les utilisateurs vers le point de terminaison de connexion commun d’Entra et Entra effectue la *Découverte de domaine d’accueil* en fonction du domaine de l’adresse courriel de l’utilisateur. |
| **Identity API**                                                                                      | API utilisée par Auth0 pour interagir avec les points de terminaison d’Entra AD. Découvrez les différences de comportement dans [Why update to Microsoft identity platform (v2.0) (Pourquoi mettre à jour vers la plateforme d’identité Microsoft (v2.0))](https://docs.microsoft.com/en-us/azure/active-directory/develop/azure-ad-endpoint-comparison) doc. de Microsoft                                                                                                                                                                                            |
| **Attributs**                                                                                         | Attributs de base pour l’utilisateur connecté auxquels votre application peut accéder. Indique la quantité d’informations que vous souhaitez stocker dans le profil utilisateur Auth0.                                                                                                                                                                                                                                                                                                                                                                                |
| **Attributs étendus** (facultatif)                                                                    | Attributs étendus pour l’utilisateur connecté auxquels votre application peut accéder.                                                                                                                                                                                                                                                                                                                                                                                                                                                                                |
| **API Auth0** (facultatif)                                                                            |                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                       |
| Lorsque cette option est sélectionnée, indique que vous devez pouvoir appeler l’API Users d’Entra AD. |                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                       |
| **Synchroniser les attributs du profil utilisateur à chaque connexion**                               | Lorsqu’elle est activée, Auth0 synchronise automatiquement les données du profil utilisateur avec chaque connexion utilisateur, garantissant ainsi que les modifications apportées à la source de connexion sont automatiquement mises à jour dans Auth0.                                                                                                                                                                                                                                                                                                             |
| **Vérification de courriel**                                                                          | Choisissez comment Auth0 définit le champ `email_verified` dans le profil utilisateur. Pour en savoir plus, consultez [Vérification des courriels pour Entra ID et ADFS](/docs/fr-ca/connections/azuread-adfs-email-verification).                                                                                                                                                                                                                                                                                                                                    |

<Frame>
  <img src="https://mintlify.s3.us-west-1.amazonaws.com/auth0/docs/images/fr-ca/cdy7uua7fh8z/1r6WTgLJUlbiV9jligIwER/1884c1815cbecd9b86c538c8332e6f2a/2025-02-25_10-14-41.png" alt="Créer une nouvelle connexion Entra ID" />
</Frame>

## Permettre une connexion entreprise pour votre application Auth0

Pour utiliser votre nouvelle connexion d’entreprise Microsoft Entra ID, vous devez [activer la connexion](/docs/fr-ca/authenticate/identity-providers/enterprise-identity-providers/enable-enterprise-connections) pour vos applications Auth0.

## Tester la connexion

Vous êtes maintenant prêt à [tester votre connexion](/docs/fr-ca/authenticate/identity-providers/enterprise-identity-providers/test-enterprise-connections).

## Adhésions de groupe et renseignements sur les profils avancés

Dans ce flux natif, Auth0 recevra un jeton d’accès de Microsoft Entra ID qui a été émis pour votre application Web Microsoft Entra ID. En conséquence, les fonctionnalités telles que le chargement des adhésions de groupe et les informations de profil avancées ne fonctionneront plus. En effet, le jeton d’accès reçu par Microsoft Entra ID ne peut plus être utilisé pour interroger l’API Microsoft Entra ID Graph pour ces informations supplémentaires.

Toutefois, si vous dépendez des adhésions de groupe et des renseignements avancés sur le profil, vous pouvez modifier votre configuration pour répondre à vos besoins :

1. Dans Azure, configurez votre application native avec des autorisations supplémentaires pour l’API Microsoft Graph :

   * Lorsque vous êtes invité à indiquer un type d’autorisation, choisissez **Autorisations déléguées**.

     * Sous **Répertoire**, sélectionnez **Directory.AccessAsUser.All** pour que votre application puisse accéder au répertoire en tant qu’utilisateur connecté.
2. Dans Auth0, modifiez votre connexion d’entreprise Microsoft Entra ID :

   * Dans **API d’identité**, sélectionnez `Azure Active Directory (v1)`, et pour **URI d’ID de l’application**, saisissez l’URI de l’API Microsoft Entra ID Graph :

     ```
     https://graph.windows.net
     ```

## Prochaines étapes

* [Intégrer Auth0 en utilisant l’une de nos bibliothèques](/docs/fr-ca/libraries)
* [Intégrer Auth0 en utilisant notre Authentication API](/docs/fr-ca/api/authentication)
* [En savoir plus sur le flux d’authentification](/docs/fr-ca/get-started/authentication-and-authorization-flow)
* [Transmettre des paramètres supplémentaires au fournisseur d’identité](/docs/fr-ca/authenticate/identity-providers/pass-parameters-to-idps)
* [Redemander des autorisations aux utilisateurs](/docs/fr-ca/authenticate/identity-providers/social-identity-providers/reprompt-permissions)
