Activer l’authentification et l’autorisation dans Azure Container Apps avec un fournisseur OpenID Connect personnalisé

Cet article explique comment configurer Azure Container Apps pour utiliser un fournisseur d’authentification personnalisé qui respecte la spécification OpenID Connect. OpenID Connect (OIDC) est une norme du secteur largement adoptée par de nombreux fournisseurs d’identité. Vous n’avez pas besoin de comprendre les détails de la spécification pour configurer votre application de manière à utiliser un fournisseur d’identité conforme.

Vous pouvez configurer votre application pour qu’elle utilise un ou plusieurs fournisseurs OIDC. Chacun doit recevoir un nom alphanumérique unique dans la configuration et seul l’un d’entre eux peut servir de cible de redirection par défaut.

Inscrire votre application auprès du fournisseur d’identité

Votre fournisseur vous demande d’inscrire les détails de votre application. L’une de ces étapes implique la spécification d’un URI de redirection. Cet URI de redirection est au format <app-url>/.auth/login/<provider-name>/callback. Chaque fournisseur d’identité doit fournir des instructions supplémentaires sur la façon d’effectuer ces étapes.

Note

Certains fournisseurs nécessitent des étapes supplémentaires pour leur configuration et des conseils différents sur l’utilisation des valeurs qu’ils fournissent. Par exemple, Apple fournit une clé privée, qui n’est pas utilisée comme clé secrète client OIDC. Au lieu de cela, vous devez l’utiliser pour créer un jeton web JSON (JWT), qui est traité comme le secret que vous fournissez dans la configuration de votre application. Pour plus d’informations, consultez la section « Création de la clé secrète client » de la documentation se connecter avec Apple.

Vous devez collecter un ID client et une clé secrète client pour votre application.

Important

La clé secrète client est un identifiant de sécurité critique. Ne partagez pas ce secret avec n’importe qui ou ne le distribuez pas dans une application cliente.

Vous avez également besoin des métadonnées OpenID Connect pour le fournisseur. Ces informations sont souvent exposées via un document de métadonnées de configuration, qui est l’URL d’émetteur du fournisseur avec le suffixe /.well-known/openid-configuration. Veillez à noter cette URL de configuration.

Si vous ne pouvez pas utiliser un document de métadonnées de configuration, vous devez collecter les valeurs suivantes séparément :

Ajouter des informations de fournisseur à votre application

  1. Connectez-vous au portail Azure et accédez à votre application.

  2. Sélectionnez Authentification dans le menu de gauche. Sélectionnez Ajouter un fournisseur d’identité.

  3. Sélectionnez OpenID Connect dans la liste déroulante des fournisseurs d’identité.

  4. Indiquez le nom alphanumérique unique sélectionné précédemment dans Nom du fournisseur OpenID.

  5. Si vous avez l’URL du document de métadonnées du fournisseur d’identité, indiquez cette valeur dans URL des métadonnées. Sinon, sélectionnez l’option Fournir les points de terminaison séparément et placez chaque URL obtenue à partir du fournisseur d’identité dans le champ approprié.

  6. Indiquez l’ID client et le Secret client collectés précédemment dans les champs appropriés.

  7. Spécifiez un nom de paramètre d’application pour votre secret client. Votre clé secrète client est stockée en tant que secret dans votre application conteneur.

  8. Appuyez sur le bouton Ajouter pour finir la configuration du fournisseur d’identité.

Utilisation d’utilisateurs authentifiés

Utilisez les guides suivants pour plus d’informations sur l’utilisation des utilisateurs authentifiés.

Étapes suivantes

Vue d’ensemble de l’authentification et de l’autorisation

  • Last updated on