====== Proxy d'application : générer et utiliser un certificat pour les applications publiées avec Azure Key Vault ======

===== Présentation =====
  * Certificat de signature SAML
  * Géré dans Azure Key Vault
  * Attaché à une App Registration
  * Renouvellement automatique via GitHub Actions
  * Zéro interruption (chevauchement des certificats)

Architecture globale : 
<code>
GitHub Actions
   │
   ▼ (OIDC, sans secret)
Azure Entra ID
   │
   ▼
Azure Key Vault  ←─── Génération / rotation du certificat
   │
   ▼
App Registration (SAML)
</code>

  * Pas de secrets dans GitHub
  * Authentification par OIDC Federated Credentials
  * Conformité Microsoft / Zero Trust

===== Prérequis Entra ID =====
  * Une App Registration existante
    * Type : Single tenant
    * Usage : SAML

  * Un Key Vault
    * SKU Standard
    * Soft delete activé (par défaut)