Configuration d'un enregistrement d'application dans Azure
Les étapes suivantes doivent être complétées pour créer un enregistrement d'application dans Document Central. Un enregistrement d'application est nécessaire pour que Document Central puisse utiliser toutes les fonctionnalités disponibles.
Info
Pour effectuer cette configuration, il est nécessaire que le compte Administrateur soit présent à la fois dans Business Central et dans le portail Azure, car seuls les administrateurs ont les autorisations nécessaires.
Business Central (SaaS)
Un assistant d'enregistrement d'application est disponible dans Document Central pour configurer un enregistrement d'application dans Document Central. L'assistant d'enregistrement d'application vous guide dans la création d'un nouvel enregistrement d'application pour Document Central ou l'utilisation d'un enregistrement d'application existant. Les étapes suivantes décrivent la configuration de l'enregistrement d'application dans Document Central pour Business Central dans l'environnement SaaS.
- Naviguez vers Document Central - Configuration du module.
- Cliquez sur l'action Configurer l'enregistrement d'application dans Document Central - Configuration du module pour continuer.
- Cliquez sur Commencer pour démarrer la configuration de l'enregistrement d'application.
- Choisissez soit Créer un nouvel enregistrement d'application soit Utiliser un enregistrement d'application existant.
Créer un nouvel enregistrement d'application
Les étapes suivantes vous guident sur la façon de créer un nouvel enregistrement d'application pour Document Central via l'assistant d'enregistrement d'application.
- Si une fenêtre de connexion apparaît, assurez-vous de vous connecter avec un compte Administrateur à la fois dans Document Central et dans Azure pour continuer la création de l'enregistrement d'application.
- Entrez un nom pour l'enregistrement d'application dans le champ Nom de l'enregistrement d'application.
- Un clic sur Suivant démarre le processus de création de l'enregistrement d'application dans Azure. Ce processus crée toutes les autorisations et informations d'identification nécessaires utilisées par Document Central.
- Une fenêtre apparaît pour créer un nouvel utilisateur dans l'application Azure Active Directory. Cliquez sur Oui pour continuer la création de l'enregistrement d'application.
- Vous serez redirigé vers la page Application Azure Active Directory, où vous pourrez cliquer sur le bouton d'action Accorder le consentement pour accorder le consentement de l'administrateur et les autorisations dans Azure. Si une fenêtre apparaît, assurez-vous de vous connecter avec un compte Administrateur à la fois dans Document Central et dans Azure.
- Fermez la page Application Azure Active Directory, et l'assistant d'enregistrement d'application naviguera automatiquement vers l'étape suivante.
- Le Client Secret de l'enregistrement d'application ne sera affiché qu'une seule fois. Veuillez noter le Client Secret. Vous ne pourrez pas revenir à cette étape une fois que vous aurez cliqué sur Suivant.
- Cliquez sur Suivant pour continuer.
- La configuration de l'enregistrement d'application est maintenant terminée. Cliquez sur Terminer pour fermer l'assistant d'enregistrement d'application.
Utiliser un enregistrement d'application existant
Les étapes suivantes vous guident sur la façon d'utiliser un enregistrement d'application existant pour Document Central via l'assistant d'enregistrement d'application.
- Si une fenêtre de connexion apparaît, assurez-vous de vous connecter avec un compte Administrateur à la fois dans Document Central et dans Azure pour continuer la création de l'enregistrement d'application.
- Entrez le nom de l'enregistrement d'application de l'enregistrement d'application que vous souhaitez utiliser dans le champ Nom de l'enregistrement d'application ou utilisez la fonction de recherche pour rechercher tous les enregistrements d'application existants dans votre locataire Azure.
Utilisation de la recherche pour remplir automatiquement les données d'enregistrement d'application
- Sélectionnez un enregistrement d'application via la recherche, l'assistant remplira automatiquement tous les champs nécessaires dans l'assistant d'enregistrement d'application, à l'exception du Client Secret.
- Entrez le Client Secret de l'enregistrement d'application sélectionné dans le champ Client Secret. Si le Client Secret est correct, le bouton Suivant sera activé pour continuer la configuration de l'enregistrement d'application.
Saisie manuelle des données d'enregistrement d'application
- Entrez le nom de l'enregistrement d'application de l'enregistrement d'application que vous souhaitez utiliser dans le champ Nom de l'enregistrement d'application.
- Entrez l'ID d'application (Client) de l'enregistrement d'application que vous souhaitez utiliser dans le champ Client ID.
- Entrez le Client Secret de l'enregistrement d'application que vous souhaitez utiliser dans le champ Client Secret.
- Entrez l'ID de répertoire (locataire) de l'enregistrement d'application que vous souhaitez utiliser dans le champ Tenant ID.
- Entrez l'URL de redirection de l'enregistrement d'application que vous souhaitez utiliser dans le champ Redirect URL. Dans l'environnement SaaS, l'URL de redirection doit être https://businesscentral.dynamics.com/OAuthLanding.htm.
- Entrez l'ID de principal de service de l'enregistrement d'application que vous souhaitez utiliser dans le champ Service Principal ID.
- Cliquez sur Suivant pour continuer la configuration. Si le bouton Suivant est désactivé, assurez-vous que tous les champs sont correctement remplis.
Info
Pour obtenir l'ID de principal de service, les étapes suivantes peuvent être effectuées :
- Dans le portail Azure, naviguez vers Applications d'entreprise.
- Changez le filtre sur Type d'application == Toutes les applications.
- Recherchez l'enregistrement d'application que vous souhaitez utiliser.
- Cliquez sur l'enregistrement d'application pour ouvrir la page de l'enregistrement d'application.
- Copiez l'ID d'objet de la page de résumé. L'ID d'objet est l'ID de principal de service.
Enregistrement d'application manuel sans consentement
Vous pouvez configurer un enregistrement d'application dans Document Central sans accorder de consentement d'administrateur. Cette option est destinée aux clients qui ne souhaitent pas donner leur consentement à notre application.
- Naviguez vers Document Central – Configuration du module.
- Cliquez sur Configurer l'enregistrement d'application et sélectionnez Enregistrement d'application manuel.
-
Entrez les informations suivantes :
-
Nom de l'enregistrement d'application
- ID d'application (Client)
- Client Secret
- ID de répertoire (locataire)
- URL de redirection (Dans les environnements SaaS :
https://businesscentral.dynamics.com/OAuthLanding.htm) - ID de principal de service
- Cliquez sur Suivant pour continuer.
Info
Pour obtenir l'ID de principal de service, suivez les étapes de la section Utiliser un enregistrement d'application existant → Saisie manuelle des données d'enregistrement d'application. Comme aucun consentement d'administrateur n'est accordé, assurez-vous de vérifier manuellement les autorisations configurées de l'enregistrement d'application dans Azure pour vous assurer que toutes les autorisations requises sont correctement définies.
(Optionnel) À l'étape suivante, vous pouvez télécharger un certificat pour l'authentification auprès de SharePoint, au lieu d'utiliser l'imitation d'identité utilisateur. Cette étape est optionnelle et peut être ignorée.
Certificat
Document Central offre la possibilité de s'authentifier auprès de SharePoint avec un certificat, en permettant à l'enregistrement d'application d'utiliser un certificat pour l'authentification auprès de SharePoint. Si l'enregistrement d'application sélectionné n'a pas de certificat configuré dans Azure, une page s'affichera pour demander si vous souhaitez créer un certificat pour l'enregistrement d'application sélectionné. C'est une étape optionnelle et peut être ignorée en cliquant sur Suivant. Sans certificat, Document Central ne pourra pas s'authentifier avec un contexte d'application auprès de SharePoint.
En utilisant un certificat, Document Central peut travailler avec SharePoint sans imiter l'utilisateur. Cela évite également le problème de l'expiration du jeton qui peut survenir lorsqu'on travaille avec un contexte utilisateur.
Pour créer un certificat pour l'enregistrement d'application sélectionné, les étapes suivantes peuvent être effectuées :
- Activez l'option Créer un nouveau certificat pour créer un certificat pour l'enregistrement d'application sélectionné. En activant cette option, un certificat pour Document Central sera créé à la fin de la configuration dans cet enregistrement d'application.
- Cliquez sur Suivant pour continuer la configuration.
Avertissement
Les enregistrements d'application existants seront écrasés lors de la finalisation de l'assistant d'enregistrement d'application.
Renouvellement des informations d'identification de l'enregistrement d'application
Le Client Secret et les informations d'identification de certificat ont une date d'expiration. Les informations d'identification peuvent être mises à jour sans que l'administrateur ait besoin d'accéder au portail Azure via l'action Renouveler Secret/Certificat. Les étapes suivantes décrivent comment renouveler les informations d'identification d'un enregistrement d'application :
- Naviguez vers Document Central - Configuration du module.
- Cliquez sur Renouveler Secret/Certificat pour démarrer le processus de renouvellement.
-
Choisissez entre :
-
Renouvellement automatique – crée et applique automatiquement un nouveau Client Secret via des appels API.
- Renouvellement manuel – ouvre un champ dans lequel l'administrateur peut entrer un nouveau Client Secret précédemment créé dans le portail Azure. Cette option est destinée aux enregistrements d'application qui ont été ajoutés manuellement et ne prennent pas en charge le renouvellement automatique.
- Si le renouvellement manuel est sélectionné, entrez le nouveau Client Secret créé et confirmez. De plus, entrez la date d'expiration du secret dans le champ Date de fin, car le système ne peut pas récupérer automatiquement ces informations pour les secrets saisis manuellement. La valeur sera ensuite directement définie et enregistrée dans le système.
- Une fois le processus de renouvellement terminé, un message s'affichera pour confirmer l'achèvement réussi, et le nouveau Client Secret sera affiché une seule fois. Un administrateur peut noter le nouveau Client Secret pour une utilisation future.
- Cliquez sur OK pour fermer le message. Le Client Secret et le certificat mis à jour seront automatiquement utilisés par Document Central.
Info
Le nouveau Client Secret et certificat seront automatiquement repris dans les autres locataires de Business Central, tant qu'ils utilisent le même enregistrement d'application.
Ajout d'un rôle à un abonnement
L'attribution d'un rôle pour l'application Document Central dans un abonnement est nécessaire pour permettre la création et la configuration d'un compte de stockage pour Azure Blob Storage. Cependant, si Azure Blob Storage n'est pas utilisé dans Document Central dans l'abonnement, cette étape peut être ignorée.
Info
L'attribution de rôle ne peut être effectuée que par un compte administrateur.
- Connectez-vous au portail Azure à l'adresse Portail Azure.
- Recherchez Abonnements à l'aide de la barre de recherche.
- Si vous avez plusieurs abonnements, sélectionnez celui destiné à Azure Blob Storage, car un compte de stockage doit avoir un abonnement.
- Allez à l'onglet Contrôle d'accès (IAM) et cliquez sur l'onglet Attribution de rôle.
- Cliquez sur le bouton Ajouter et sélectionnez Ajouter une attribution de rôle.
- Sous l'onglet Rôle, sélectionnez le rôle Contributeur et cliquez sur Suivant.
- Cliquez sous l'onglet Membres sur le bouton Sélectionner des membres et ajoutez Document Central.
- Cliquez sur Vérifier + attribuer pour terminer le processus d'attribution de rôle.
Saisie des informations d'enregistrement d'application Azure dans Business Central
Les étapes suivantes vous guident sur la façon de configurer l'enregistrement d'application pour Document Central via l'assistant d'enregistrement d'application.
- Naviguez vers Document Central - Configuration du module.
- Cliquez sur l'action Configurer l'enregistrement d'application dans Document Central - Configuration du module pour continuer.
- Un assistant d'enregistrement d'application apparaîtra. Cliquez sur Commencer pour démarrer la configuration.
- Pour continuer cette étape, il est nécessaire d'avoir déjà préparé un enregistrement d'application pour Document Central. Si vous n'avez pas encore créé d'enregistrement d'application pour Document Central, veuillez vous référer à la section Créer l'enregistrement d'application Azure dans le portail Azure.
- Remplissez les champs Nom de l'enregistrement d'application, Client ID, Client Secret, Tenant ID et URL de redirection.
- Une fois que tous les champs sont correctement remplis, cliquez sur Suivant pour continuer la configuration.
- La page de configuration pour le certificat client s'affichera. Cette étape est optionnelle et peut être ignorée en cliquant sur Suivant. Cependant, si vous souhaitez utiliser un certificat client pour l'authentification auprès de SharePoint, un certificat doit être préparé.
- Cliquez sur le champ Clé de certificat pour ouvrir une fenêtre contextuelle vous permettant de sélectionner le fichier .pfx créé à l'étape Créer un certificat.
- Entrez le mot de passe du fichier .pfx dans le champ Mot de passe de la clé de certificat et cliquez sur Suivant pour continuer la configuration.
- Après avoir cliqué sur Terminer, les modifications des paramètres de l'enregistrement d'application dans Document Central seront appliquées.
Avertissement
- Si l'enregistrement d'application n'est pas correctement configuré, Document Central ne fonctionnera pas correctement dans certains domaines.
- Les enregistrements d'application existants seront écrasés lors de la finalisation de l'assistant d'enregistrement d'application.
Autorisations de l'enregistrement d'application
Pour pouvoir utiliser pleinement les fonctionnalités de Document Central, plusieurs autorisations sont attribuées dans Azure ou Microsoft 365 lors de la configuration. Ces autorisations représentent les autorisations minimales nécessaires pour que toutes les fonctionnalités de Document Central puissent être utilisées correctement.
Attention
La suppression ou la désactivation d'autorisations individuelles peut entraîner le dysfonctionnement ou l'échec complet de certaines fonctionnalités de Document Central.
Étant donné que certaines fonctionnalités dépendent d'autorisations différentes, nous recommandons expressément de ne pas supprimer l'une des autorisations fournies. Sinon, il ne peut être garanti que Document Central fonctionnera sans problème lors de futures mises à jour ou de l'utilisation de fonctionnalités supplémentaires.
| Groupe d'autorisations | Nom de l'API/autorisation | Type | Description |
|---|---|---|---|
| Azure Service Management | user_impersonation | Délégué | Renouveler le secret ou le certificat d'un enregistrement d'application Azure. |
| Azure Service Management | user_impersonation | Délégué | Supprimer un enregistrement d'application Azure directement depuis l'application. |
| Azure Service Management | user_impersonation | Délégué | Récupérer et sélectionner des abonnements, des groupes de ressources et des comptes de stockage, ainsi que d'attribuer les autorisations requises lors de la configuration d'un dépôt Azure Blob Storage. |
| Azure Service Management | user_impersonation | Délégué | Sélectionner des services Azure Cognitive Search existants ou créer un nouveau service de recherche lors de la configuration. |
| Microsoft Graph | offline_access | Délégué | Permettre le renouvellement automatique des jetons d'authentification afin que les utilisateurs n'aient pas à se reconnecter. Nécessaire pour des fonctionnalités telles que le téléchargement, le partage, l'accès à SharePoint, la gestion des groupes d'utilisateurs et l'assistant. |
| Microsoft Graph | User.Read | Délégué | Identifier l'utilisateur actuellement connecté et vérifier la connexion lors de la configuration ou de la vérification d'un enregistrement d'application. |
| Microsoft Graph | User.Read | Délégué | Utiliser le contexte utilisateur actuel pour vérifier les autorisations et les consentements administratifs. |
| Microsoft Graph | User.Read.All | Délégué | Rechercher et sélectionner des utilisateurs Microsoft 365 ou Entra ID lors de la configuration de groupes d'utilisateurs. |
| Microsoft Graph | User.Read.All | Délégué | Résoudre et gérer des utilisateurs lors de l'ajout ou de la suppression de membres de groupes. |
| Microsoft Graph | User.Read.All | Délégué | Identifier des utilisateurs pour l'aperçu et la création de groupes d'autorisations standard ou de base. |
| Microsoft Graph | GroupMember.ReadWrite.All | Délégué | Créer des groupes de sécurité Azure et ajouter des utilisateurs lors de l'assistant de groupe d'utilisateurs. |
| Microsoft Graph | GroupMember.ReadWrite.All | Délégué | Ajouter ou supprimer des utilisateurs dans des groupes de sécurité Azure. |
| Microsoft Graph | GroupMember.ReadWrite.All | Délégué | Créer et gérer les groupes de sécurité nécessaires pour les autorisations de base. |
| Microsoft Graph | Sites.ReadWrite.All | Délégué | Identifier des sites SharePoint et des informations sur les sites lors de la configuration du dépôt. |
| SharePoint | AllSites.Read | Délégué | Lire des sites SharePoint, des documents et des listes, ainsi que synchroniser le contenu du dépôt. |
| SharePoint | AllSites.FullControl | Délégué | Exécuter des fonctions administratives SharePoint telles que des tâches de gestion des autorisations, de conservation ou de site dans le contexte utilisateur. |
| SharePoint | Sites.ReadWrite.All | Délégué | Télécharger, télécharger, modifier et supprimer des documents, ainsi que gérer des dossiers et des métadonnées dans SharePoint. |
| SharePoint | Sites.ReadWrite.All | Délégué | Synchroniser des documents et du contenu SharePoint avec Document Central. |
| SharePoint | Sites.FullControl.All | Délégué | Créer de nouveaux sites SharePoint directement depuis Business Central. |
| SharePoint | Sites.FullControl.All | Délégué | Configurer des groupes SharePoint, des niveaux d'autorisation et des autorisations de base. |
| SharePoint | Sites.FullControl.All | Délégué | Publier et gérer des autorisations sur des bibliothèques SharePoint, y compris le contrôle d'héritage et les attributions de groupe. |
| SharePoint | Sites.FullControl.All | Délégué | Gérer des étiquettes de conservation et exécuter des actions de verrouillage et de déverrouillage de dossiers sur des documents SharePoint. |
| SharePoint | AllSites.Manage | Délégué | Gérer des autorisations sur des bibliothèques SharePoint, y compris l'attribution de groupes et l'activation ou la réinitialisation de l'héritage des autorisations. |