Activer l’authentification et l’autorisation dans Azure Container Apps avec un fournisseur OpenID Connect personnalisé
Cet article vous montre comment configurer Azure Container Apps pour utiliser un fournisseur d’authentification personnalisé qui respecte la spécification OpenID Connect. OpenID Connect (OIDC) est une norme du secteur largement adoptée par de nombreux fournisseurs d’identité. Vous n’avez pas besoin de comprendre les détails de la spécification pour configurer votre application de manière à utiliser un fournisseur d’identité conforme.
Vous pouvez configurer votre application pour qu’elle utilise un ou plusieurs fournisseurs OIDC. Chacun doit recevoir un nom alphanumérique unique dans la configuration et seul l’un d’entre eux peut servir de cible de redirection par défaut.
Inscrire votre application auprès du fournisseur d’identité
Votre fournisseur vous demande d’inscrire les détails de votre application. L’une de ces étapes implique la spécification d’un URI de redirection. Cet URI de redirection est au format <app-url>/.auth/login/<provider-name>/callback. Chaque fournisseur d’identité doit fournir des instructions supplémentaires sur la façon d’effectuer ces étapes.
Notes
Certains fournisseurs peuvent exiger des étapes supplémentaires pour leur configuration et l’utilisation des valeurs qu’ils fournissent. Par exemple, Apple fournit une clé privée qui n’est pas elle-même utilisée comme secret client OIDC. Vous devez plutôt l’utiliser pour créer un jeton JWT qui est traité comme le secret que vous fournissez dans la configuration de votre application (voir la section « Création du secret client » de la documentation Connexion avec Apple)
Vous devez collecter un ID client et une clé secrète client pour votre application.
Important
La clé secrète client est une information d’identification de sécurité critique. Ne partagez cette clé secrète avec personne et ne la distribuez pas dans une application cliente.
Vous avez également besoin des métadonnées OpenID Connect pour le fournisseur. Ces informations sont souvent exposées via un document de métadonnées de configuration, qui est l’URL d’émetteur du fournisseur avec le suffixe /.well-known/openid-configuration. Veillez à noter cette URL de configuration.
Si vous ne pouvez pas utiliser un document de métadonnées de configuration, vous devez collecter les valeurs suivantes séparément :
- L’URL d’émetteur (parfois indiquée comme
issuer) - Le point de terminaison d’autorisation OAuth 2.0 (parfois indiqué comme
authorization_endpoint) - Le point de terminaison de jeton OAuth 2.0 (parfois indiqué comme
token_endpoint) - L’URL du document Jeu de clés web OAuth 2.0 JSON (parfois indiqué comme
jwks_uri)
Ajouter des informations sur le fournisseur à votre application
Connectez-vous au Portail Azure et accédez à votre application.
Sélectionnez Authentification dans le menu de gauche. Sélectionnez Ajouter un fournisseur d’identité.
Sélectionnez OpenID Connect dans la liste déroulante des fournisseurs d’identité.
Indiquez le nom alphanumérique unique sélectionné précédemment dans Nom du fournisseur OpenID.
Si vous avez l’URL du document de métadonnées du fournisseur d’identité, indiquez cette valeur dans URL des métadonnées. Sinon, sélectionnez l’option Fournir les points de terminaison séparément et placez chaque URL obtenue à partir du fournisseur d’identité dans le champ approprié.
Indiquez l’ID client et le Secret client collectés précédemment dans les champs appropriés.
Spécifiez un nom de paramètre d’application pour votre secret client. Votre clé secrète client est stockée en tant que secret dans votre application conteneur.
Appuyez sur le bouton Ajouter pour finir la configuration du fournisseur d’identité.
Utilisation d’utilisateurs authentifiés
Utilisez les guides suivants pour plus d’informations sur l’utilisation des utilisateurs authentifiés.
- Personnaliser les connexions et les déconnexions
- Accéder aux revendications de l’utilisateur dans le code de l’application