Guide pratique pour utiliser des identités managées pour App Service et Azure Functions

Article
12/29/2023

Cet article vous montre comment créer une identité managée pour les applications App Service et Azure Functions et comment l’utiliser pour accéder à d’autres ressources.

Important

Étant donné que les identités managées ne prennent pas en charge les scénarios sur plusieurs répertoires, elles ne se comportent pas comme prévu si la migration de votre application est effectuée sur plusieurs abonnements ou tenants. Pour recréer les identités managées après un tel déplacement, consultez Les identités managées seront-elles recréées automatiquement si je déplace un abonnement vers un autre répertoire ?. Les ressources en aval doivent également disposer de stratégies d’accès mises à jour pour utiliser la nouvelle identité.

Notes

Les identités managées ne sont pas disponibles pour les applications déployées dans Azure Arc.

Une identité managée de Microsoft Entra ID permet à votre application d’accéder facilement à d’autres ressources protégées Microsoft Entra, comme Azure Key Vault. Managée par la plateforme Azure, l’identité ne nécessite pas que vous approvisionniez ou permutiez de secrets. Pour plus d’informations sur les identités managées dans Microsoft Entra ID, consultez Identités managées pour les ressources Azure.

Deux types d’identité peuvent être accordés à votre application :

Une identité attribuée par le système est liée à votre application et est supprimée si votre application est supprimée. Une application ne peut avoir qu’une seule identité attribuée par le système.
Une identité attribuée par l’utilisateur est une ressource Azure autonome qui peut être assignée à votre application. Une application peut avoir plusieurs identités attribuées par l’utilisateur.

La configuration de l’identité managée est spécifique à l’emplacement. Pour configurer une identité managée pour un emplacement de déploiement dans le portail, accédez d’abord à l’emplacement. Pour rechercher l’identité managée pour votre application web ou votre emplacement de déploiement dans votre tenant Microsoft Entra à partir du Portail Azure, recherchez-la directement à partir de la page de Présentation de votre tenant. Le nom de l’emplacement est généralement semblable à <app-name>/slots/<slot-name>.

Cette vidéo vous montre comment utiliser des identités managées pour App Service.

Les étapes de la vidéo sont également décrites dans les sections suivantes.

Ajouter une identité affectée par le système

Dans le volet de navigation gauche de la page de votre application, faites défiler la page vers le bas jusqu’au groupe Paramètres.
Sélectionnez Identité.
Dans l’onglet Attribuée par le système, définissez État sur Activé. Cliquez sur Enregistrer.

Exécutez la commande az webapp identity assign pour créer une identité affectée par le système :

az webapp identity assign --name myApp --resource-group myResourceGroup

Pour App Service

Exécutez la commande Set-AzWebApp -AssignIdentity pour créer une identité affectée par le système pour App Service :

Set-AzWebApp -AssignIdentity $true -Name <app-name> -ResourceGroupName <group-name>

Pour Functions

Exécutez la commande Update-AzFunctionApp -IdentityType pour créer une identité affectée par le système pour une application de fonction :

Update-AzFunctionApp -Name $functionAppName -ResourceGroupName $resourceGroupName -IdentityType SystemAssigned

Vous pouvez utiliser un modèle Azure Resource Manager pour automatiser le déploiement de vos ressources Azure. Pour en savoir plus sur le déploiement sur App Service et Functions, consultez Automatiser le déploiement de ressources dans App Service et Automatiser le déploiement de ressources dans Azure Functions.

Vous pouvez créer n’importe quelle ressource de type Microsoft.Web/sites avec une identité en incluant la propriété suivante dans la définition de la ressource :

"identity": {
    "type": "SystemAssigned"
}

L’ajout du type attribué par le système indique à Azure de créer et de manager l’identité de votre application.

Par exemple, un modèle d’application web peut ressembler au code JSON suivant :

{
    "apiVersion": "2022-03-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "SystemAssigned"
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]"
    ]
}

Quand le site est créé, il a les propriétés supplémentaires suivantes :

"identity": {
    "type": "SystemAssigned",
    "tenantId": "<tenant-id>",
    "principalId": "<principal-id>"
}

La propriété tenantId identifie le tenant Microsoft Entra auquel appartient l’identité. La propriété principalId est un identificateur unique pour la nouvelle identité de l’application. Dans Microsoft Entra ID, le principal de service a le même nom que celui que vous avez donné à votre instance App Service ou Azure Functions.

Si vous devez référencer ces propriétés dans une étape ultérieure du modèle, vous pouvez le faire via la fonction de modèle reference() avec l’indicateur 'Full', comme dans cet exemple :

{
    "tenantId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.tenantId]",
    "objectId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.principalId]",
}

Ajouter une identité attribuée par l’utilisateur

La création d’une application avec une identité attribuée par l’utilisateur nécessite la création de l’identité, puis l’ajout de son identificateur de ressource à la configuration de votre application.

Tout d’abord, vous devrez créer une ressource d’identité attribuée par l’utilisateur.

Créez une ressource d’identité managée attribuée par l’utilisateur en suivant ces instructions.
Dans le volet de navigation gauche de la page de votre application, faites défiler la page vers le bas jusqu’au groupe Paramètres.
Sélectionnez Identité.
Sélectionnez Attribuée par l’utilisateur>Ajouter.
Recherchez l’identité précédemment créée, sélectionnez-la, puis sélectionnez Ajouter.

Après la sélection de l’option Ajouter, l’application redémarre.

Créer uneidentité affectée par l’utilisateur.

az identity create --resource-group <group-name> --name <identity-name>

Exécutez la commande az webapp identity assign pour attribuer l’identité à l’application.

az webapp identity assign --resource-group <group-name> --name <app-name> --identities <identity-id>

Pour App Service

L’ajout d’une identité affectée par l’utilisateur dans App Service n’est pas pris en charge actuellement.

Pour Functions

Créer uneidentité affectée par l’utilisateur.

Install-Module -Name Az.ManagedServiceIdentity -AllowPrerelease
$userAssignedIdentity = New-AzUserAssignedIdentity -Name $userAssignedIdentityName -ResourceGroupName <group-name>

Exécutez la commande Update-AzFunctionApp -IdentityType UserAssigned -IdentityId pour attribuer l’identité dans Functions :

Update-AzFunctionApp -Name <app-name> -ResourceGroupName <group-name> -IdentityType UserAssigned -IdentityId $userAssignedIdentity.Id

Vous pouvez créer n’importe quelle ressource de type Microsoft.Web/sites avec une identité en incluant le bloc suivant dans la définition de la ressource, en remplaçant <resource-id> par l’ID de ressource de l’identité requise :

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<resource-id>": {}
    }
}

Notes

Une application peut avoir simultanément une identité attribuée par le système et une identité attribuée par l’utilisateur. Dans ce cas, la propriété type est SystemAssigned,UserAssigned

L’ajout du type attribué par l’utilisateur indique à Azure d’utiliser l’identité affectée par l’utilisateur qui est spécifiée pour votre application.

Par exemple, un modèle d’application web peut ressembler au code JSON suivant :

{
    "apiVersion": "2022-03-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

Quand le site est créé, il a les propriétés supplémentaires suivantes :

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<resource-id>": {
            "principalId": "<principal-id>",
            "clientId": "<client-id>"
        }
    }
}

principalId est un identificateur unique pour l’identité qui est utilisée pour l’administration de Microsoft Entra. clientId est un identificateur unique pour la nouvelle identité de l’application qui est utilisée pour spécifier l’identité à utiliser lors des appels de runtime.

Configurer la ressource cible

Vous pouvez être amené à configurer la ressource cible pour autoriser l’accès à partir de votre application ou fonction. Par exemple, si vous demandez un jeton pour accéder à Key Vault, vous devez également ajouter une stratégie d’accès qui comprend l’identité managée de votre application ou de votre fonction. Sinon, vos appels à Key Vault seront rejetés, même si vous utilisez un jeton valide. Il en va de même pour Azure SQL Database. Pour en savoir plus sur les ressources qui prennent en charge les jetons Microsoft Entra, consultez Services Azure prenant en charge l’authentification Microsoft Entra.

Important

Les services principaux pour les identités gérées conservent un cache par URI de ressource pendant environ 24 heures. Si vous mettez à jour la stratégie d’accès d’une ressource cible particulière et que vous récupérez immédiatement un jeton pour cette ressource, vous pouvez continuer à obtenir un jeton mis en cache avec des autorisations obsolètes jusqu’à ce que ce jeton expire. Il n’existe actuellement aucun moyen de forcer l’actualisation d’un jeton.

Connexion aux services Azure dans le code de l’application

Grâce à son identité managée, une application peut obtenir des jetons pour les ressources Azure qui sont protégées par Microsoft Entra ID, comme Azure SQL Database, Azure Key Vault et Stockage Azure. Ces jetons représentent l’application qui accède à la ressource, pas un utilisateur spécifique de l’application.

App Service et Azure Functions fournissent un point de terminaison REST accessible en interne pour la récupération des jetons. Le point de terminaison REST est accessible depuis l’application avec une instruction HTTP GET standard, qui peut être implémentée avec un client HTTP générique dans chaque langage. Pour les langages .NET, JavaScript, Java et Python, la bibliothèque de client Azure Identity fournit une abstraction sur ce point de terminaison REST et simplifie l’expérience de développement. Pour se connecter à d’autres services Azure, il suffit d’ajouter un objet d’informations d’identification au client spécifique au service.

La requête HTTP GET brute ressemble à l’exemple suivant :

GET /MSI/token?resource=https://vault.azure.net&api-version=2019-08-01 HTTP/1.1
Host: localhost:4141
X-IDENTITY-HEADER: 853b9a84-5bfa-4b22-a3f3-0b9a43d9ad8a

Et voici un exemple de réponse :

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJ0eXAi…",
    "expires_on": "1586984735",
    "resource": "https://vault.azure.net",
    "token_type": "Bearer",
    "client_id": "5E29463D-71DA-4FE0-8E69-999B57DB23B0"
}

Cette réponse est la même que la réponse pour la demande de jeton d’accès de service à service de Microsoft Entra. Pour accéder à Key Vault, vous ajouterez ensuite la valeur de access_token à une connexion cliente avec le coffre.

Notes

Lorsque vous vous connectez à des sources de données Azure SQL avec Entity Framework Core, pensez à utiliser Microsoft.Data.SqlClient, qui fournit des chaînes de connexion spéciales pour la connectivité de l’identité managée. Pour voir un exemple, consultez Tutoriel : Sécuriser la connexion Azure SQL Database à partir d’App Service à l’aide d’une identité managée.

Pour les fonctions et applications .NET, la façon la plus simple d’utiliser une identité managée consiste à recourir à la bibliothèque de client Azure Identity pour .NET. Pour des instructions détaillées, consultez Tutoriel : Connexion à des bases de données Azure à partir d’App Service sans secrets à l’aide d’une identité managée.

Pour plus d’informations, consultez les titres de documentation respectifs de la bibliothèque de client :

Les exemples liés utilisent DefaultAzureCredential. C’est utile pour la majorité des scénarios, car le même modèle fonctionne dans Azure (avec des identités managées) et sur votre ordinateur local (sans identités managées).

Pour les applications Node.js et les fonctions JavaScript, la façon la plus simple d’utiliser une identité managée consiste à recourir à la bibliothèque de client Azure Identity pour JavaScript. Pour des instructions détaillées, consultez Tutoriel : Connexion à des bases de données Azure à partir d’App Service sans secrets à l’aide d’une identité managée.

Pour plus d’informations, consultez les titres de documentation respectifs de la bibliothèque de client :

Pour obtenir plus d’exemples de code de la bibliothèque de client Azure Identity pour JavaScript, consultez Exemples Azure Identity.

Pour les fonctions et applications Python, la façon la plus simple d’utiliser une identité managée consiste à recourir à la bibliothèque de client Azure Identity pour Python. Pour des instructions détaillées, consultez Tutoriel : Connexion à des bases de données Azure à partir d’App Service sans secrets à l’aide d’une identité managée.

Pour plus d’informations, consultez les titres de documentation respectifs de la bibliothèque de client :

Pour les fonctions et applications Java, la façon la plus simple d’utiliser une identité managée consiste à recourir à la bibliothèque de client Azure Identity pour Java. Pour des instructions détaillées, consultez Tutoriel : Connexion à des bases de données Azure à partir d’App Service sans secrets à l’aide d’une identité managée.

Pour plus d’informations, consultez les titres de documentation respectifs de la bibliothèque de client :

Pour obtenir plus d’exemples de code de la bibliothèque de client Azure Identity pour Java, consultez Exemples Azure Identity.

Utilisez le script suivant pour récupérer un jeton à partir du point de terminaison local en spécifiant un URI de ressource d’un service Azure :

$resourceURI = "https://<AAD-resource-URI-for-resource-to-obtain-token>"
$tokenAuthURI = $env:IDENTITY_ENDPOINT + "?resource=$resourceURI&api-version=2019-08-01"
$tokenResponse = Invoke-RestMethod -Method Get -Headers @{"X-IDENTITY-HEADER"="$env:IDENTITY_HEADER"} -Uri $tokenAuthURI
$accessToken = $tokenResponse.access_token

Pour plus d’informations sur le point de terminaison REST, consultez Référence du point de terminaison REST.

Supprimer une identité

Lorsque vous supprimez une identité affectée par le système, elle est supprimée de Microsoft Entra ID. Les identités affectées par le système sont également automatiquement supprimées de Microsoft Entra ID lorsque vous supprimez la ressource d’application elle-même.

Dans le volet de navigation gauche de la page de votre application, faites défiler la page vers le bas jusqu’au groupe Paramètres.
Sélectionnez Identité. Suivez ensuite les étapes en fonction du type d’identité :
- Identité affectée par le système : Dans l’onglet Affectée par le système, basculez État sur Désactivé. Cliquez sur Enregistrer.
- Identité affectée par l’utilisateur : Sélectionnez l’onglet Affectée par l’utilisateur, cochez la case de l’identité, puis sélectionnez Supprimer. Sélectionnez Oui pour confirmer.

Pour supprimer l’identité affectée par le système :

az webapp identity remove --name <app-name> --resource-group <group-name>

Pour supprimer une ou plusieurs identités affectées par l’utilisateur :

az webapp identity remove --name <app-name> --resource-group <group-name> --identities <identity-id1> <identity-id2> ...

Vous pouvez également supprimer l’identité affectée par le système en spécifiant [system] dans --identities.

Pour App Service

Exécutez la commande Set-AzWebApp -AssignIdentity pour supprimer une identité affectée par le système pour App Service :

Set-AzWebApp -AssignIdentity $false -Name <app-name> -ResourceGroupName <group-name>

Pour Functions

Pour supprimer toutes les identités dans Azure PowerShell (Azure Functions uniquement) :

# Update an existing function app to have IdentityType "None".
Update-AzFunctionApp -Name $functionAppName -ResourceGroupName $resourceGroupName -IdentityType None

Pour supprimer toutes les identités dans un modèle ARM :

"identity": {
    "type": "None"
}

Notes

Vous pouvez également définir le paramètre d’application WEBSITE_DISABLE_MSI, qui désactive uniquement le service de jetons local. Toutefois, cela ne touche pas à l’identité, et les outils continueront d’afficher l’identité managée comme étant activée. Par conséquent, l’utilisation de ce paramètre n’est pas recommandée.

Référence du point de terminaison REST

Une application avec une identité managée rend ce point de terminaison disponible en définissant deux variables d’environnement :

IDENTITY_ENDPOINT - URL du service de jetons local.
IDENTITY_HEADER - en-tête utilisé afin de limiter les attaques par falsification de requête côté serveur (SSRF). La plateforme effectue la rotation de la valeur.

IDENTITY_ENDPOINT est une URL locale à partir de laquelle votre application peut demander des jetons. Pour obtenir un jeton pour une ressource, effectuez une requête HTTP GET à destination de ce point de terminaison, en indiquant notamment les paramètres suivants :

Nom du paramètre Dans Description

resource Requête URI de ressource Microsoft Entra de la ressource pour laquelle un jeton doit être obtenu. Il peut s’agir d’un des services Azure prenant en charge l’authentification Microsoft Entra ou toute autre ressource URI.

api-version Requête Version de l’API de jeton à utiliser. Utiliser 2019-08-01.

X-IDENTITY-HEADER En-tête Valeur de la variable d’environnement IDENTITY_HEADER. Cet en-tête est utilisé afin de limiter les attaques de falsification de requêtes côté serveur (SSRF).

client_id Requête (Facultatif) ID de client de l’identité affectée par l’utilisateur qui doit être utilisée. Ne peut pas être utilisée sur une demande qui inclut principal_id, msi_res_id ou object_id. Si tous les paramètres d’ID (client_id, principal_id,object_id et msi_res_id) sont omis, l’identité affectée par le système est utilisée.

principal_id Requête (Facultatif) ID de principal de service de l’identité affectée par l’utilisateur qui doit être utilisée. object_id est un alias qui peut être utilisé à la place. Impossible d’utiliser une demande qui inclut client_id, msi_res_id ou object_id. Si tous les paramètres d’ID (client_id, principal_id,object_id et msi_res_id) sont omis, l’identité affectée par le système est utilisée.

msi_res_id Requête (Facultatif) L’ID de ressource Azure de l’identité affectée par l’utilisateur qui doit être utilisée. Ne peut pas être utilisée sur une demande qui inclut principal_id, client_id ou object_id. Si tous les paramètres d’ID (client_id, principal_id,object_id et msi_res_id) sont omis, l’identité affectée par le système est utilisée.

Nom du paramètre	Dans	Description
resource	Requête	URI de ressource Microsoft Entra de la ressource pour laquelle un jeton doit être obtenu. Il peut s’agir d’un des services Azure prenant en charge l’authentification Microsoft Entra ou toute autre ressource URI.
api-version	Requête	Version de l’API de jeton à utiliser. Utiliser `2019-08-01`.
X-IDENTITY-HEADER	En-tête	Valeur de la variable d’environnement IDENTITY_HEADER. Cet en-tête est utilisé afin de limiter les attaques de falsification de requêtes côté serveur (SSRF).
client_id	Requête	(Facultatif) ID de client de l’identité affectée par l’utilisateur qui doit être utilisée. Ne peut pas être utilisée sur une demande qui inclut `principal_id`, `msi_res_id` ou `object_id`. Si tous les paramètres d’ID (`client_id`, `principal_id`,`object_id` et `msi_res_id`) sont omis, l’identité affectée par le système est utilisée.
principal_id	Requête	(Facultatif) ID de principal de service de l’identité affectée par l’utilisateur qui doit être utilisée. `object_id` est un alias qui peut être utilisé à la place. Impossible d’utiliser une demande qui inclut client_id, msi_res_id ou object_id. Si tous les paramètres d’ID (`client_id`, `principal_id`,`object_id` et `msi_res_id`) sont omis, l’identité affectée par le système est utilisée.
msi_res_id	Requête	(Facultatif) L’ID de ressource Azure de l’identité affectée par l’utilisateur qui doit être utilisée. Ne peut pas être utilisée sur une demande qui inclut `principal_id`, `client_id` ou `object_id`. Si tous les paramètres d’ID (`client_id`, `principal_id`,`object_id` et `msi_res_id`) sont omis, l’identité affectée par le système est utilisée.

Important

Si vous tentez d’obtenir des jetons pour des identités affectées par l’utilisateur, vous devez inclure une des propriétés facultatives. Sinon, le service de jetons essaie d’obtenir un jeton pour une identité attribuée par le système, laquelle peut exister ou non.

Guide pratique pour utiliser des identités managées pour App Service et Azure Functions

Ajouter une identité affectée par le système

Pour App Service

Pour Functions

Ajouter une identité attribuée par l’utilisateur

Pour App Service

Pour Functions

Configurer la ressource cible

Connexion aux services Azure dans le code de l’application

Supprimer une identité

Pour App Service

Pour Functions

Référence du point de terminaison REST

Étapes suivantes

Ressources supplémentaires