Partager via


Affecter à une identité managée l’accès à un rôle d’application

Les identités managées pour les ressources Azure fournissent aux services Azure une identité dans Microsoft Entra ID. Elles fonctionnent sans avoir besoin d’informations d’identification dans votre code. Les services Azure utilisent cette identité pour s’authentifier sur les services prenant en charge l’authentification Microsoft Entra. Les rôles d’application fournissent une forme de contrôle d’accès en fonction du rôle et permettent à un service d’implémenter des règles d’autorisation.

Remarque

Les jetons reçus par votre application sont mis en cache par l’infrastructure sous-jacente. Cela signifie que les modifications apportées aux rôles de l’identité managée peuvent prendre beaucoup de temps à traiter. Pour plus d’informations, consultez Limitation de l’utilisation des identités managées pour l’autorisation.

Dans cet article, vous allez apprendre à affecter une identité managée à un rôle d’application exposé par une autre application avec le kit de développement logiciel (SDK) Microsoft Graph PowerShell.

Prérequis

Affecter à une identité managée l’accès au rôle d’application d’une autre application en utilisant PowerShell

Pour exécuter les exemples de scripts, vous avez deux options :

  1. Activez l’identité managée sur une ressource Azure, telle qu’une machine virtuelle Azure.

  2. Recherchez l’ID d’objet du principal de service de l’identité managée.

    Pour une identité managée affectée par le système, vous pouvez rechercher l’ID d’objet dans le portail Azure, dans la page Identité de la ressource. Vous pouvez également utiliser le script PowerShell suivant pour rechercher l’ID d’objet. Vous aurez besoin de l’ID de ressource de la ressource que vous avez créée à l’étape 1, qui est disponible dans le portail Azure, dans la page Propriétés de la ressource.

    $resourceIdWithManagedIdentity = '/subscriptions/{my subscription ID}/resourceGroups/{my resource group name}/providers/Microsoft.Compute/virtualMachines/{my virtual machine name}'
    (Get-AzResource -ResourceId $resourceIdWithManagedIdentity).Identity.PrincipalId
    

    Pour une identité managée affectée par l’utilisateur, vous pouvez rechercher l’ID d’objet de l’identité managée dans le portail Azure, dans la page Vue d’ensemble de la ressource. Vous pouvez également utiliser le script PowerShell suivant pour rechercher l’ID d’objet. Vous aurez besoin de l’ID de ressource de l’identité managée affectée par l’utilisateur.

    $userManagedIdentityResourceId = '/subscriptions/{my subscription ID}/resourceGroups/{my resource group name}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{my managed identity name}'
    (Get-AzResource -ResourceId $userManagedIdentityResourceId).Properties.PrincipalId
    
  3. Créez une inscription d’application pour représenter le service auquel vous souhaitez que votre identité managée envoie une demande.

    • Si l’API ou le service qui expose l’octroi de rôle d’application à l’identité managée a déjà un principal de service dans votre locataire Microsoft Entra, ignorez cette étape. Par exemple, dans le cas où vous souhaitez octroyer à l’identité managée l’accès à l’API Microsoft Graph.
  4. Recherchez l’ID d’objet du principal de service de l’application de service. Vous le trouverez en utilisant le portail Azure.

    • Par exemple, accédez à Microsoft Entra ID et ouvrez la page Applications d’entreprise. Recherchez ensuite l’application et recherchez l’ID d’objet.
    • Vous pouvez également rechercher l’ID d’objet du principal de service par son nom d’affichage à l’aide du script PowerShell suivant :
    $serverServicePrincipalObjectId = (Get-MgServicePrincipal -Filter "DisplayName eq '$applicationName'").Id
    

    Remarque

    Les noms d’affichage des applications ne sont pas uniques et vous devez vérifier que vous obtenez le principal de service de l’application appropriée.

  5. Ajoutez un rôle d’application à l’application que vous avez créée à l’étape précédente. Ensuite, vous pouvez créer le rôle à l’aide du portail Azure ou de Microsoft Graph.

    • Par exemple, vous pouvez ajouter un rôle d’application en exécutant la requête suivante dans l’Afficheur Graph :
    PATCH /applications/{id}/
    
    {
        "appRoles": [
            {
                "allowedMemberTypes": [
                    "User",
                    "Application"
                ],
                "description": "Read reports",
                "id": "1e250995-3081-451e-866c-0f6efef9c638",
                "displayName": "Report reader",
                "isEnabled": true,
                "value": "report.read"
            }
        ]
    }
    
  6. Affectez le rôle d’application à l’identité managée. Vous aurez besoin des informations suivantes pour affecter le rôle d’application :

    • managedIdentityObjectId : ID d’objet du principal de service de l’identité managée, que vous avez trouvé à l’étape précédente.
    • serverServicePrincipalObjectId : ID d’objet du principal de service de l’application serveur, que vous avez trouvé à l’étape 4.
    • appRoleId : ID du rôle d’application exposé par l’application serveur, que vous avez généré à l’étape 5 – dans cet exemple, l’ID du rôle d’application est 00000000-0000-0000-0000-000000000000.
    • Exécutez le script PowerShell suivant pour ajouter l’attribution de rôle :
    New-MgServicePrincipalAppRoleAssignment `
        -ServicePrincipalId $serverServicePrincipalObjectId `
        -PrincipalId $managedIdentityObjectId `
        -ResourceId $serverServicePrincipalObjectId `
        -AppRoleId $appRoleId
    

Exemple de script complet

Cet exemple de script vous montre comment affecter une identité managée d’une application web Azure à un rôle d’application.

# Install the module.
# Install-Module Microsoft.Graph -Scope CurrentUser

# Your tenant ID (in the Azure portal, under Azure Active Directory > Overview).
$tenantID = '<tenant-id>'

# The name of your web app, which has a managed identity that should be assigned to the server app's app role.
$webAppName = '<web-app-name>'
$resourceGroupName = '<resource-group-name-containing-web-app>'

# The name of the server app that exposes the app role.
$serverApplicationName = '<server-application-name>' # For example, MyApi

# The name of the app role that the managed identity should be assigned to.
$appRoleName = '<app-role-name>' # For example, MyApi.Read.All

# Look up the web app's managed identity's object ID.
$managedIdentityObjectId = (Get-AzWebApp -ResourceGroupName $resourceGroupName -Name $webAppName).identity.principalid

Connect-MgGraph -TenantId $tenantId -Scopes 'Application.Read.All','Application.ReadWrite.All','AppRoleAssignment.ReadWrite.All','Directory.AccessAsUser.All','Directory.Read.All','Directory.ReadWrite.All'

# Look up the details about the server app's service principal and app role.
$serverServicePrincipal = (Get-MgServicePrincipal -Filter "DisplayName eq '$serverApplicationName'")
$serverServicePrincipalObjectId = $serverServicePrincipal.Id
$appRoleId = ($serverServicePrincipal.AppRoles | Where-Object {$_.Value -eq $appRoleName }).Id

# Assign the managed identity access to the app role.
New-MgServicePrincipalAppRoleAssignment `
    -ServicePrincipalId $serverServicePrincipalObjectId `
    -PrincipalId $managedIdentityObjectId `
    -ResourceId $serverServicePrincipalObjectId `
    -AppRoleId $appRoleId

Affecter à une identité managée l’accès au rôle d’application d’une autre application en utilisant CLI

  1. Activez l’identité managée sur une ressource Azure, telle qu’une machine virtuelle Azure.

  2. Recherchez l’ID d’objet du principal de service de l’identité managée.

    • Pour une identité managée affectée par le système, vous pouvez rechercher l’ID d’objet dans le portail Azure, dans la page Identité de la ressource.
    • Vous pouvez également utiliser le script suivant pour rechercher l’ID d’objet. Vous aurez besoin de l’ID de ressource de la ressource que vous avez créée à l’étape précédente, qui est disponible dans le portail Azure, dans la page Propriétés de la ressource.
    resourceIdWithManagedIdentity="/subscriptions/{my subscription ID}/resourceGroups/{my resource group name}/providers/Microsoft.Compute/virtualMachines/{my virtual machine name}"
    
    oidForMI=$(az resource show --ids $resourceIdWithManagedIdentity --query "identity.principalId" -o tsv | tr -d '[:space:]')
    echo "object id for managed identity is: $oidForMI"
    
    • Pour une identité managée affectée par l’utilisateur, vous pouvez rechercher l’ID d’objet de l’identité managée dans le portail Azure, dans la page Vue d’ensemble de la ressource. Vous pouvez également utiliser le script suivant pour rechercher l’ID d’objet. Vous aurez besoin de l’ID de ressource de l’identité managée affectée par l’utilisateur.
    userManagedIdentityResourceId="/subscriptions/{my subscription ID}/resourceGroups/{my resource group name}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{my managed identity name}"
    
    oidForMI=$(az resource show --id $userManagedIdentityResourceId --query "properties.principalId" -o tsv | tr -d '[:space:]')
    echo "object id for managed identity is: $oidForMI"
    
  3. Créez une nouvelle inscription d’application pour représenter le service auquel votre identité managée envoie une demande.

    • Si l’API ou le service qui expose l’octroi de rôle d’application à l’identité managée a déjà un principal de service dans votre locataire Microsoft Entra, ignorez cette étape.
  4. Recherchez l’ID d’objet du principal de service de l’application de service. Vous le trouverez en utilisant le portail Azure.

    • Accédez à Microsoft Entra ID et ouvrez la page Applications d’entreprise, puis recherchez l’application et recherchez l’ID d’objet.
    • Vous pouvez également rechercher l’ID d’objet du principal de service par son nom d’affichage à l’aide du script suivant :
    appName="{name for your application}"
    serverSPOID=$(az ad sp list --filter "displayName eq '$appName'" --query '[0].id' -o tsv | tr -d '[:space:]')
    echo "object id for server service principal is: $serverSPOID"
    

    Notes

    Les noms d’affichage des applications ne sont pas uniques et vous devez vérifier que vous obtenez le principal de service de l’application appropriée.

    Ou vous pouvez rechercher l’ID d’objet par l’ID d’application unique pour votre inscription d’application :

    appID="{application id for your application}"
    serverSPOID=$(az ad sp list --filter "appId eq '$appID'" --query '[0].id' -o tsv | tr -d '[:space:]')
    echo "object id for server service principal is: $serverSPOID"
    
  5. Ajoutez un rôle d’application à l’application que vous avez créée à l’étape précédente. Vous pouvez créer ce rôle à l’aide du portail Azure ou de Microsoft Graph. Par exemple, vous pouvez ajouter un rôle d’application comme suit :

    {
        "allowedMemberTypes": [
            "Application"
        ],
        "displayName": "Read data from MyApi",
        "id": "0566419e-bb95-4d9d-a4f8-ed9a0f147fa6",
        "isEnabled": true,
        "description": "Allow the application to read data as itself.",
        "value": "MyApi.Read.All"
    }
    
  6. Affectez le rôle d’application à l’identité managée. Vous aurez besoin des informations suivantes pour affecter le rôle d’application :

    • managedIdentityObjectId : ID d’objet du principal de service de l’identité managée, que vous avez trouvé à l’étape 2.
    • serverServicePrincipalObjectId : ID d’objet du principal de service de l’application serveur, que vous avez trouvé à l’étape 4.
    • appRoleId : ID du rôle d’application exposé par l’application serveur, que vous avez généré à l’étape 5 – dans cet exemple, l’ID du rôle d’application est 00000000-0000-0000-0000-000000000000.
  7. Exécutez le script suivant pour ajouter l’attribution de rôle. Cette fonctionnalité n’est pas directement exposée sur l’Azure CLI, et qu’une commande REST est utilisée ici à la place :

    roleguid="00000000-0000-0000-0000-000000000000"
    az rest -m POST -u https://graph.microsoft.com/v1.0/servicePrincipals/$oidForMI/appRoleAssignments -b "{\"principalId\": \"$oidForMI\", \"resourceId\": \"$serverSPOID\",\"appRoleId\": \"$roleguid\"}"
    

Étapes suivantes