Différences

Ci-dessous, les différences entre deux révisions de la page.

--- reseau:cloud:azure:syncroazure:certificatazurte [2026/05/02 22:22] – [Création de l’App Registration dans le Portail Azure] techer.charles_educ-valadon-limoges.fr
+++ reseau:cloud:azure:syncroazure:certificatazurte [2026/05/08 19:55] (Version actuelle) – [Export du certificat] techer.charles_educ-valadon-limoges.fr
@@ Ligne 15: / Ligne 15: @@
  ├─ Key Vault
  └─ Microsoft Graph
+GitHub Actions
+   │
+   ▼ (OIDC, sans secret)
+Azure Entra ID
+   │
+   ▼
+Azure Key Vault  ←─── Génération / rotation du certificat
+   │
+   ▼
+App Registration (SAML)
 </code>
@@ Ligne 23: / Ligne 35: @@
 Cas standard Microsoft OAuth :
   * Protocole : OAuth 2.0 / OpenID Connect
-  * Méthode d’authentification : client_secret_post ou client_secret_basic
+  * Méthode d’authentification : client\_secret\_post ou client\_secret\_basic
   * Objet Entra ID utilisé : Inscription d’application
   * SAML : NON => Application d’entreprise NON requise
@@ Ligne 64: / Ligne 76: @@
     * URI de redirection Web : https://your-domain/api/auth/callback/microsoft
     * Cliquer sur **S'inscrire**.
 Noter :
@@ Ligne 69: / Ligne 82: @@
   * ID du Tenant
+Définir les autorisations d'API suivantes :
+  * openid
+  * profile
+  * email
+  * User.Read
+==== Créer le secret client ====
+  * dans **Certificats et secrets**
+  * Choisir **Nouveau secret client**
+  * Description : **app-secret**
+  * Date d'expiration : 24 mois
+  * Puis **Ajouter**
+Noter le secret client
+==== Vérification ====
+  * Dans Authentification : l'URI de redirection Web doit être  https://your-domain/api/auth/callback/microsoft
+  * Dans Authentification puis l'onglet **Paramètres** :
+    * ne pas cocher **Jetons d’accès (utilisés pour les flux implicites)** ni. **Jetons d’ID (utilisés pour les flux implicites et hybrides)**
+    * ne pas activer les flux clients publics
+    * ne pas configurer de verrou de propriété d'instance d'application
@@ Ligne 77: / Ligne 110: @@
     * dans la rubrique **Objets**, choisir **Certificats**
     * Cliquer sur **+ Générer / Importer**
+    * Définir les paramètres suivants :
+      * Method : Generate
+      * Name : documenso-cert
+      * Type : Self-signed
+      * Subject : CN=sign.educ-valadon-limoges.fr
+      * Validité : 24 mois
+      * Type de contenu : PCKS#12
+      * Type d'actions de la durée de vie : Renouveller en fonction d'un pourcentage de la durée de vie
+      * pourcentage de la durée de vie : 80%
+Cliquer sur Créer
+jouter le rôle : Agent des secrets Key Vault
+===== Export du certificat =====
+Une fois créé :
+  * cliquer sur le certificat
+  * puis télécharger :
+    * .PFX (nécessaire pour proxy / serveur)
+    * .CER (public uniquement)
+===== Configurer Azure Application Proxy =====
+  * Dasn le Portail Azure accéder à l'application d'entreprise
+Étape A — Installer le connecteur
+👉 Sur ton serveur interne :
+Azure → Application Proxy
+Télécharger le connector
+L’installer
+✅ Le serveur devient un point d’accès interne sécurisé
+===== Automatisation GitHub (rotation du secret) =====
+  * App Registration => Certificates & secrets => Informations d'identité fédérées
+  * Choisir **Ajouter un justificatif** avec les paramètres suivants :
+    * Scenario : Actions GitHub déployant des ressources Azure
+    * epo : ORG/REPO
+Branch : main