Configurer l’authentification unique à l’aide de Microsoft Entra ID pour Spring Cloud Gateway et API Portal

Article
10/02/2024

Remarque

Les plans Essentiel, Standard et Entreprise seront déconseillés à compter de la mi-mars 2025, avec une période de mise hors service de 3 ans. Nous vous recommandons de passer à Azure Container Apps. Pour plus d’informations, consultez l’annonce concernant la mise hors service d’Azure Spring Apps.

La consommation Standard et le plan dédié seront déconseillés à compter du 30 septembre 2024, avec un arrêt complet six mois après. Nous vous recommandons de passer à Azure Container Apps. Pour plus d’informations, consultez Migrer la consommation Standard et le plan dédié Azure Spring Apps vers Azure Container Apps.

Cet article s’applique à :❌ De base/Standard ✔️ Entreprise

Cet article explique comment configurer l’authentification unique (SSO) pour Spring Cloud Gateway ou API Portal en utilisant Microsoft Entra ID en tant que fournisseur d’identification OpenID.

Prérequis

Instance de plan Entreprise avec Spring Cloud Gateway ou API Portal activé. Pour plus d’informations, consultez Démarrage rapide : Générer et déployer des applications sur Azure Spring Apps à l’aide du plan Enterprise.
Autorisations suffisantes pour gérer les applications Microsoft Entra.

Pour activer l’authentification unique pour Spring Cloud Gateway ou le portail d’API, vous avez besoin de configurer les quatre propriétés suivantes :

Propriété de l’authentification unique	Configuration de Microsoft Entra
clientId	Voir Inscrire l’application
clientSecret	Voir Créer un secret client
scope	Voir Configurer l’étendue
issuerUri	Voir Générer l’URI de l’émetteur

Vous allez configurer les propriétés dans Microsoft Entra ID dans les étapes suivantes.

Attribuer un point de terminaison pour Spring Cloud Gateway ou le portail d’API

Tout d’abord, vous devez obtenir le point de terminaison public attribué pour Spring Cloud Gateway et le portail d’API en procédant comme suit :

Ouvrez l’instance de service de votre plan Entreprise dans le portail Azure.
Sélectionnez Spring Cloud Gateway ou Portail d’API sous Composants VMware Tanzu dans le menu de gauche.
Sélectionnez Oui en regard de Attribuer un point de terminaison.
Copiez l’URL à utiliser dans la section suivante de cet article.

Créer une inscription d’application Microsoft Entra

Inscrivez votre application pour établir une relation d’approbation entre votre application et la Plateforme d’identités Microsoft en procédant comme suit :

À partir de l’écran Accueil, sélectionnez Microsoft Entra ID dans le menu de gauche.
Sélectionnez Inscriptions d’applications sous Gérer, puis sélectionnez Nouvelle inscription.
Entrez un nom complet pour votre application sous Nom, puis sélectionnez un type de compte à inscrire sous Types de comptes pris en charge.
Dans URI de redirection (facultatif), sélectionnez Web, puis entrez l’URL de la section ci-dessus dans la zone de texte. L’URI de redirection est l’emplacement où Microsoft Entra ID redirige votre client et envoie des jetons de sécurité après l’authentification.
Ensuite, sélectionnez Inscrire terminer l’inscription de l’application.

Une fois l’inscription terminée, vous verrez l’ID d’application (client) dans l’écran Vue d’ensemble de la page inscriptions d'applications*.

Ajouter un URI de redirection après l’inscription de l’application

Vous pouvez également ajouter des URI de redirection après l’inscription de l’application en procédant comme suit :

Dans la vue d’ensemble de votre application, sous Gérer dans le menu de gauche, sélectionnez Authentification.
Sélectionnez Web puis Ajouter un URI sous URI de redirection.
Ajoutez un nouvel URI de redirection, puis sélectionnez Enregistrer.

Pour plus d’informations sur l’inscription d’application, consultez Démarrage rapide : Inscrire une application avec la Plateforme d’identités Microsoft.

Ajouter une clé secrète client

L’application utilise une clé secrète client pour s’authentifier dans le workflow d’authentification unique. Vous pouvez ajouter une clé secrète client en procédant comme suit :

Dans la vue d’ensemble de votre application, sous Gérer dans le menu de gauche, sélectionnez Certificats et secrets.
Sélectionnez Clés secrètes client, puis Nouveau clé secrète client.
Entrez une description de la clé secrète client, puis définissez une date d’expiration.
Sélectionnez Ajouter.

Avertissement

N’oubliez pas d’enregistrer la clé secrète client dans un emplacement sécurisé. Vous ne pouvez pas la récupérer une fois que vous avez quitté cette page. La clé secrète client doit être fournie avec l’ID client lorsque vous vous connectez en tant qu’application.

Configurer l’étendue

La propriété scope de l’authentification unique est une liste d’étendues à inclure dans les jetons d’identité JWT. Ils sont souvent appelés autorisations. La plateforme d’identités prend en charge plusieurs étendues OpenID Connect, telles que openid, email et profile. Pour plus d’informations , consultez la section Étendues OpenID Connect de l’article Étendues et autorisations dans la plateforme d’identités Microsoft.

Configurer l’URI de l’émetteur

L’URI de l’émetteur est l’URI déclaré comme identificateur de l’émetteur. Par exemple, si la propriété issuerUri fournie est https://example.com, une demande de configuration du fournisseur OpenID est envoyée à https://example.com/.well-known/openid-configuration.

L’URI d’émetteur de Microsoft Entra ID se présente comme ceci : <authentication-endpoint>/<Your-TenantID>/v2.0. Remplacez <authentication-endpoint> par le point de terminaison d’authentification de votre environnement cloud (par exemple, https://login.microsoftonline.com pour Azure global) et remplacez <Your-TenantID> par l’ID d’annuaire (locataire) où l’application a été inscrite.