Activer l’authentification et l’autorisation dans Azure Container Apps avec un fournisseur OpenID Connect personnalisé

Article
06/01/2023

Cet article vous montre comment configurer Azure Container Apps pour utiliser un fournisseur d’authentification personnalisé qui respecte la spécification OpenID Connect. OpenID Connect (OIDC) est une norme de l’industrie utilisée par de nombreux fournisseurs d’identité. Vous n’avez pas besoin de comprendre les détails de la spécification pour configurer votre application de manière à utiliser un fournisseur d’identité conforme.

Vous pouvez configurer votre application pour qu’elle utilise un ou plusieurs fournisseurs OIDC. Chacun doit recevoir un nom alphanumérique unique dans la configuration et seul l’un d’entre eux peut servir de cible de redirection par défaut.

Inscrire votre application auprès du fournisseur d’identité

Votre fournisseur vous demandera d’inscrire les détails de votre application. L’une de ces étapes implique la spécification d’un URI de redirection. Cet URI de redirection est au format <app-url>/.auth/login/<provider-name>/callback. Chaque fournisseur d’identité doit fournir des instructions supplémentaires sur la façon d’effectuer ces étapes.

Notes

Certains fournisseurs peuvent exiger des étapes supplémentaires pour leur configuration et l’utilisation des valeurs qu’ils fournissent. Par exemple, Apple fournit une clé privée qui n’est pas elle-même utilisée comme secret client OIDC. Vous devez plutôt l’utiliser pour créer un jeton JWT qui est traité comme le secret que vous fournissez dans la configuration de votre application (voir la section « Création du secret client » de la documentation Connexion avec Apple)

Vous devrez collecter un ID client et un secret client pour votre application.

Important

La clé secrète client est une information d'identification de sécurité importante. Ne partagez cette clé secrète avec personne et ne la distribuez pas dans une application cliente.

En outre, vous aurez besoin des métadonnées OpenID Connect pour le fournisseur. Ces informations sont souvent exposées via un document de métadonnées de configuration, qui est le suffixe de l’URL de l’émetteur du fournisseur avec /.well-known/openid-configuration. Notez cette URL de configuration.

Si vous ne pouvez pas utiliser un document de métadonnées de configuration, vous devrez collecter les valeurs suivantes séparément :

L’URL d’émetteur (parfois indiquée comme issuer)
Le point de terminaison d’autorisation OAuth 2.0 (parfois indiqué comme authorization_endpoint)
Le point de terminaison de jeton OAuth 2.0 (parfois indiqué comme token_endpoint)
L’URL du document Jeu de clés web OAuth 2.0 JSON (parfois indiqué comme jwks_uri)

Ajouter des informations sur le fournisseur à votre application

Connectez-vous au Portail Azure et accédez à votre application.
Sélectionnez Authentification dans le menu de gauche. Sélectionnez Ajouter un fournisseur d’identité.
Sélectionnez OpenID Connect dans la liste déroulante des fournisseurs d’identité.
Indiquez le nom alphanumérique unique sélectionné précédemment dans Nom du fournisseur OpenID.
Si vous avez l’URL du document de métadonnées du fournisseur d’identité, indiquez cette valeur dans URL des métadonnées. Sinon, sélectionnez l’option Fournir les points de terminaison séparément et placez chaque URL obtenue à partir du fournisseur d’identité dans le champ approprié.
Indiquez l’ID client et le Secret client collectés précédemment dans les champs appropriés.
Spécifiez un nom de paramètre d’application pour votre secret client. Votre secret client est stocké en tant que secret dans votre application conteneur.
Appuyez sur le bouton Ajouter pour finir la configuration du fournisseur d’identité.

Utilisation d’utilisateurs authentifiés

Utilisez les guides suivants pour plus d’informations sur l’utilisation des utilisateurs authentifiés.

Étapes suivantes

Vue d’ensemble de l’authentification et de l’autorisation

Partager via