Partager via

Accéder à Azure App Configuration à l’aide de Microsoft Entra ID

  • Article

Azure App Configuration prend en charge l’autorisation des requêtes d’accès aux magasins App Configuration à l’aide de Microsoft Entra ID. Avec Microsoft Entra ID, vous pouvez tirer parti du contrôle d’accès en fonction du rôle Azure (Azure RBAC) pour octroyer des autorisations aux principaux de sécurité, qui peuvent être des principaux d’utilisateur, des identités managées ou des principaux de service.

Vue d’ensemble

L’accès à un magasin App Configuration à l’aide de Microsoft Entra ID comprend deux étapes :

  1. Authentification : consiste à obtenir un jeton du principal de sécurité auprès de Microsoft Entra ID pour App Configuration. Pour plus d’informations, consultez Authentification Microsoft Entra dans App Configuration.

  2. Autorisation : consiste à passer le jeton dans le cadre d’une requête adressée à un magasin App Configuration. Pour autoriser l’accès au magasin App Configuration spécifié, le principal de sécurité doit se voir attribuer à l’avance les rôles appropriés. Pour plus d’informations, consultez Autorisation Microsoft Entra dans App Configuration.

Rôles Azure intégrés pour Azure App Configuration

Azure fournit les rôles intégrés suivants pour autoriser l’accès à App Configuration à l’aide de Microsoft Entra ID :

Accès au plan de données

Les requêtes relatives aux opérations de plan de données sont envoyées au point de terminaison de votre magasin App Configuration. Ces requêtes concernent les données App Configuration.

  • Propriétaire des données App Configuration : utilisez ce rôle pour autoriser la lecture, l’écriture et la suppression de données App Configuration. Ce rôle ne donne pas accès à la ressource App Configuration.
  • Lecteur des données App Configuration : Utilisez ce rôle pour accorder un accès en lecture aux données App Configuration. Ce rôle ne donne pas accès à la ressource App Configuration.

Accès au plan de contrôle

Toutes les requêtes relatives aux opérations de plan de contrôle sont envoyées à l’URL d’Azure Resource Manager. Ces requêtes concernent la ressource App Configuration.

  • Contributeur App Configuration : utilisez ce rôle pour gérer uniquement la ressource App Configuration. Ce rôle n’octroie pas d’accès permettant de gérer d’autres ressources Azure. Il accorde l’accès aux clés d’accès de la ressource. Bien que les données d’App Configuration soient accessibles à l’aide de clés d’accès, ce rôle n’octroie pas d’accès direct aux données via Microsoft Entra ID. Il octroie l’accès permettant de récupérer les ressources App Configuration supprimées, mais pas de les supprimer définitivement. Pour supprimer définitivement des ressources App Configuration, utilisez le rôle Contributeur.
  • Lecteur App Configuration : utilisez ce rôle pour lire uniquement la ressource App Configuration. Ce rôle n’octroie pas d’accès permettant de lire d’autres ressources Azure. Il n’octroie pas d’accès aux clés d’accès de la ressource, ni aux données stockées dans App Configuration.
  • Contributeur ou Propriétaire : utilisez ce rôle pour gérer la ressource App Configuration ainsi que d’autres ressources Azure. Ce rôle est un rôle d’administrateur privilégié. Il accorde l’accès aux clés d’accès de la ressource. Bien que les données d’App Configuration soient accessibles à l’aide de clés d’accès, ce rôle n’octroie pas d’accès direct aux données via Microsoft Entra ID.
  • Lecteur : utilisez ce rôle pour lire la ressource App Configuration ainsi que d’autres ressources Azure. Ce rôle n’accorde pas l’accès aux clés d’accès de la ressource ni aux données stockées dans App Configuration.

Remarque

Après l’attribution d’un rôle à une identité, il faut attendre jusqu’à 15 minutes pour que l’autorisation se propage avant d’accéder aux données stockées dans App Configuration en utilisant cette identité.

Authentification avec des informations d’identification de jeton

Pour permettre à votre application de s’authentifier auprès de Microsoft Entra ID, la bibliothèque Azure Identity prend en charge diverses informations d’identification de jeton dans le cadre de l’authentification Microsoft Entra ID. Par exemple, vous pouvez choisir les informations d’identification Visual Studio quand vous développez votre application dans Visual Studio, les informations d’identification d’identité de charge de travail quand votre application s’exécute sur Kubernetes, ou les informations d’identification d’identité managée quand votre application est déployée dans des services Azure tels qu’Azure Functions.

Utilisez DefaultAzureCredential

DefaultAzureCredential est une chaîne d’informations d’identification de jeton préconfigurée, qui tente automatiquement d’exécuter une séquence ordonnée des méthodes d’authentification les plus courantes. L’utilisation de DefaultAzureCredential vous permet de conserver le même code dans les environnements de développement local et Azure. Toutefois, il est important de savoir quelles sont les informations d’identification utilisées dans chaque environnement, car vous devez octroyer les rôles appropriés pour que l’autorisation fonctionne. Par exemple, autorisez votre propre compte quand vous prévoyez que DefaultAzureCredential va revenir à votre identité d’utilisateur durant le développement local. De même, activez l’identité managée dans Azure Functions, puis attribuez-lui le rôle nécessaire quand vous prévoyez que DefaultAzureCredential va revenir à ManagedIdentityCredential quand votre application de fonction s’exécutera dans Azure.

Attribuer des rôles pour les données App Configuration

Quelles que soient les informations d’identification que vous utilisez, vous devez leur attribuer les rôles appropriés pour permettre l’accès à votre magasin App Configuration. Si votre application a uniquement besoin de lire des données dans votre magasin App Configuration, attribuez-lui le rôle Lecteur de données App Configuration. Si votre application doit également écrire des données dans votre magasin App Configuration, attribuez-lui le rôle Propriétaire des données App Configuration.

Suivez ces étapes pour attribuer des rôles de données App Configuration à vos informations d’identification.

  1. Dans le portail Azure, accédez à votre magasin App Configuration, puis sélectionnez Contrôle d’accès (IAM).

  2. Sélectionnez Ajouter->Ajouter une attribution de rôle.

    Si vous ne disposez pas de l’autorisation permettant d’attribuer des rôles, l’option Ajout de l’attribution de rôle est désactivée. Seuls les utilisateurs disposant des rôles Propriétaire ou Administrateur de l’accès utilisateur peuvent effectuer des attributions de rôles.

  3. Sous l’onglet Rôle, sélectionnez le rôle Lecteur de données App Configuration (ou un autre rôle App Configuration, selon le cas), puis sélectionnez Suivant.

  4. Sous l’onglet Membres, suivez l’Assistant pour sélectionner les informations d’identification auxquelles vous octroyez l’accès, puis sélectionnez Suivant.

  5. Enfin, sous l’onglet Vérifier + attribuer, sélectionnez Vérifier + attribuer pour attribuer le rôle.

Étapes suivantes

Découvrez comment utiliser les identités managées pour accéder à votre magasin App Configuration.