Configurer l’authentification unique à l’aide de l’ID Microsoft Entra pour Spring Cloud Gateway et du portail d’API

Cet article s’applique à :❌ De base/Standard ✔️ Entreprise

Cet article explique comment configurer l’authentification unique (SSO) pour Spring Cloud Gateway ou le portail API à l’aide de l’ID Microsoft Entra en tant que fournisseur d’identification OpenID.

Prérequis

• Une instance de plan Entreprise avec Spring Cloud Gateway ou le portail d’API activé. Pour plus d’informations, consultez Démarrage rapide : Créer et déployer des applications sur Azure Spring Apps à l’aide du plan Entreprise.
• Autorisations suffisantes pour gérer les applications Microsoft Entra.

Pour activer l’authentification unique pour Spring Cloud Gateway ou le portail d’API, vous avez besoin de configurer les quatre propriétés suivantes :

Propriété de l’authentification unique	Configuration de Microsoft Entra
clientId	Voir Inscrire l’application
clientSecret	Voir Créer un secret client
scope	Voir Configurer l’étendue
issuerUri	Voir Générer l’URI de l’émetteur

Vous allez configurer les propriétés dans Microsoft Entra ID dans les étapes suivantes.

Attribuer un point de terminaison pour Spring Cloud Gateway ou le portail d’API

Tout d’abord, vous devez obtenir le point de terminaison public attribué pour Spring Cloud Gateway et le portail d’API en procédant comme suit :

1. Ouvrez votre instance de service de plan Entreprise dans le Portail Azure.
2. Sélectionnez Spring Cloud Gateway ou Portail d’API sous Composants VMware Tanzu dans le menu de gauche.
3. Sélectionnez Oui en regard de Attribuer un point de terminaison.
4. Copiez l’URL à utiliser dans la section suivante de cet article.

Créer une inscription d’application Microsoft Entra

Inscrivez votre application pour établir une relation d’approbation entre votre application et la Plateforme d’identités Microsoft en procédant comme suit :

1. Dans l’écran d’accueil, sélectionnez Microsoft Entra ID dans le menu de gauche.
2. Sélectionnez Inscriptions d’applications sous Gérer, puis sélectionnez Nouvelle inscription.
3. Entrez un nom complet pour votre application sous Nom, puis sélectionnez un type de compte à inscrire sous Types de comptes pris en charge.
4. Dans URI de redirection (facultatif), sélectionnez Web, puis entrez l’URL de la section ci-dessus dans la zone de texte. L’URI de redirection est l’emplacement où Microsoft Entra ID redirige votre client et envoie des jetons de sécurité après l’authentification.
5. Ensuite, sélectionnez Inscrire terminer l’inscription de l’application.

Une fois l’inscription terminée, vous verrez l’ID d’application (client) dans l’écran Vue d’ensemble de la page inscriptions d'applications*.

Ajouter un URI de redirection après l’inscription de l’application

Vous pouvez également ajouter des URI de redirection après l’inscription de l’application en procédant comme suit :

1. Dans la vue d’ensemble de votre application, sous Gérer dans le menu de gauche, sélectionnez Authentification.
2. Sélectionnez Web puis Ajouter un URI sous URI de redirection.
3. Ajoutez un nouvel URI de redirection, puis sélectionnez Enregistrer.

Pour plus d’informations sur l’inscription des applications, consultez Démarrage rapide : Inscrire une application auprès de l’Plateforme d'identités Microsoft.

Ajouter un secret client

L’application utilise une clé secrète client pour s’authentifier dans le workflow d’authentification unique. Vous pouvez ajouter une clé secrète client en procédant comme suit :

1. Dans la vue d’ensemble de votre application, sous Gérer dans le menu de gauche, sélectionnez Certificats et secrets.
2. Sélectionnez Clés secrètes client, puis Nouveau clé secrète client.
3. Entrez une description de la clé secrète client, puis définissez une date d’expiration.
4. Sélectionnez Ajouter.

Avertissement

N’oubliez pas d’enregistrer la clé secrète client dans un emplacement sécurisé. Vous ne pouvez pas la récupérer une fois que vous avez quitté cette page. La clé secrète client doit être fournie avec l’ID client lorsque vous vous connectez en tant qu’application.

Configurer l’étendue

La propriété scope de l’authentification unique est une liste d’étendues à inclure dans les jetons d’identité JWT. Elles sont souvent appelées autorisations. La plateforme d’identité prend en charge plusieurs étendues openID Connecter, telles que openid, emailet profile. Pour plus d’informations, consultez la section Étendues Connecter OpenID des étendues et des autorisations dans le Plateforme d'identités Microsoft.

Configurer l’URI de l’émetteur

L’URI de l’émetteur est l’URI déclaré comme identificateur de l’émetteur. Par exemple, si la propriété issuerUri fournie est https://example.com, une demande de configuration du fournisseur OpenID est envoyée à https://example.com/.well-known/openid-configuration.

L’URI de l’émetteur de l’ID Microsoft Entra est semblable <authentication-endpoint>/<Your-TenantID>/v2.0à . Remplacez <authentication-endpoint> par le point de terminaison d’authentification de votre environnement cloud (par exemple, https://login.microsoftonline.com pour Azure global) et remplacez <Your-TenantID> par l’ID d’annuaire (locataire) où l’application a été inscrite.

Configurer l’authentification unique

Après avoir configuré votre application Microsoft Entra, vous pouvez configurer les propriétés de l’authentification unique de Spring Cloud Gateway ou du portail d’API en procédant comme suit :

1. Sélectionnez Spring Cloud Gateway ou Portail d’API sous Composants VMware Tanzu dans le menu de gauche, puis Configuration.
2. Entrez Scope, Client Id, Client Secret et Issuer URI dans les champs appropriés. Séparez plusieurs étendues par une virgule.
3. Sélectionnez Enregistrer pour activer la configuration de l’authentification unique.

Remarque

Après avoir configuré les propriétés de l’authentification unique, n’oubliez pas d’activer l’authentification unique pour les itinéraires Spring Cloud Gateway en définissant ssoEnabled=true. Pour plus d’informations, consultez Configuration des itinéraires.

Étapes suivantes

• Configurer des itinéraires