Affecter à une identité managée l’accès à un rôle d’application avec PowerShell

Les identités managées pour les ressources Azure fournissent aux services Azure une identité dans Azure Active Directory. Elles fonctionnent sans avoir besoin d’informations d’identification dans votre code. Les services Azure utilisent cette identité pour s’authentifier auprès des services prenant en charge l’authentification Azure AD. Les rôles d’application fournissent une forme de contrôle d’accès en fonction du rôle et permettent à un service d’implémenter des règles d’autorisation.

Notes

Les jetons que votre application reçoit sont mis en cache par l’infrastructure sous-jacente, ce qui signifie que tout changement apporté aux rôles de l’identité managée peut nécessiter un certain temps avant de prendre effet. Pour plus d’informations, consultez Limitation de l’utilisation des identités managées pour l’autorisation.

Dans cet article, vous allez apprendre à affecter une identité managée à un rôle d’application exposé par une autre application avec Azure AD PowerShell.

Prérequis

• Si vous n’êtes pas familiarisé avec les identités managées pour ressources Azure, consultez la section Vue d’ensemble. Veillez à consulter la différence entre les identités managées affectées par le système et celles affectées par l’utilisateur .
• Si vous n’avez pas encore de compte Azure, inscrivez-vous à un essai gratuit avant de continuer.
• Pour exécuter les exemples de scripts, vous avez deux options :
  • Utiliser Azure Cloud Shell, que vous pouvez ouvrir en utilisant le bouton Essayer dans le coin supérieur droit des blocs de code.
  • Exécuter les scripts localement en installant la dernière version du module Az PowerShell. Vous pouvez également utiliser le kit SDK Microsoft Graph PowerShell.

Affecter à une identité managée l’accès au rôle d’application d’une autre application

1. Activez l’identité managée sur une ressource Azure, telle qu’une machine virtuelle Azure.

2. Recherchez l’ID d’objet du principal de service de l’identité managée.

   Pour une identité managée affectée par le système, vous pouvez rechercher l’ID d’objet dans le portail Azure, dans la page Identité de la ressource. Vous pouvez également utiliser le script PowerShell suivant pour rechercher l’ID d’objet. Vous aurez besoin de l’ID de ressource de la ressource que vous avez créée à l’étape 1, qui est disponible dans le portail Azure, dans la page Propriétés de la ressource.

   $resourceIdWithManagedIdentity = '/subscriptions/{my subscription ID}/resourceGroups/{my resource group name}/providers/Microsoft.Compute/virtualMachines/{my virtual machine name}'
   (Get-AzResource -ResourceId $resourceIdWithManagedIdentity).Identity.PrincipalId
   

   Pour une identité managée affectée par l’utilisateur, vous pouvez rechercher l’ID d’objet de l’identité managée dans le portail Azure, dans la page Vue d’ensemble de la ressource. Vous pouvez également utiliser le script PowerShell suivant pour rechercher l’ID d’objet. Vous aurez besoin de l’ID de ressource de l’identité managée affectée par l’utilisateur.

   $userManagedIdentityResourceId = '/subscriptions/{my subscription ID}/resourceGroups/{my resource group name}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{my managed identity name}'
   (Get-AzResource -ResourceId $userManagedIdentityResourceId).Properties.PrincipalId
   

3. Créez une nouvelle inscription d’application pour représenter le service auquel votre identité managée enverra une demande. Si l’API ou le service qui expose l’octroi de rôle d’application à l’identité managée a déjà un principal de service dans votre locataire Azure AD, ignorez cette étape. Par exemple, si vous souhaitez octroyer à l’identité managée l’accès à l’API Microsoft Graph, vous pouvez ignorer cette étape.

4. Recherchez l’ID d’objet du principal de service de l’application de service. Vous le trouverez en utilisant le portail Azure. Accédez à Azure Active Directory et ouvrez la page Applications d’entreprise, puis recherchez l’application et recherchez l’ID d’objet. Vous pouvez également rechercher l’ID d’objet du principal de service par son nom d’affichage à l’aide du script PowerShell suivant :

   Azure PowerShell

   $serverServicePrincipalObjectId = (Get-AzureADServicePrincipal -Filter "DisplayName eq '$applicationName'").ObjectId
   

   Microsoft Graph

   $serverServicePrincipalObjectId = (Get-MgServicePrincipal -Filter "DisplayName eq '$applicationName'").Id
   

   Notes

   Les noms d’affichage des applications ne sont pas uniques et vous devez vérifier que vous obtenez le principal de service de l’application appropriée.

5. Ajoutez un rôle d’application à l’application que vous avez créée à l’étape 3. Vous pouvez créer le rôle à l’aide du portail Azure ou de Microsoft Graph. Par exemple, vous pouvez ajouter un rôle d’application en exécutant la requête suivante dans l’Afficheur Graph :

   PATCH /applications/{id}/
   
   {
       "appRoles": [
           {
               "allowedMemberTypes": [
                   "User",
                   "Application"
               ],
               "description": "Read reports",
               "id": "1e250995-3081-451e-866c-0f6efef9c638",
               "displayName": "Report reader",
               "isEnabled": true,
               "value": "report.read"
           }
       ]
   }
   

6. Affectez le rôle d’application à l’identité managée. Vous aurez besoin des informations suivantes pour affecter le rôle d’application :

   • managedIdentityObjectId : ID d’objet du principal de service de l’identité managée, que vous avez trouvé à l’étape 2.
   • serverServicePrincipalObjectId : ID d’objet du principal de service de l’application serveur, que vous avez trouvé à l’étape 4.
   • appRoleId : ID du rôle d’application exposé par l’application serveur, que vous avez généré à l’étape 5 – dans cet exemple, l’ID du rôle d’application est 0566419e-bb95-4d9d-a4f8-ed9a0f147fa6.

   Exécutez le script PowerShell suivant pour ajouter l’attribution de rôle :

   Azure PowerShell

   New-AzureADServiceAppRoleAssignment `
       -ObjectId $managedIdentityObjectId `
       -Id $appRoleId `
       -PrincipalId $managedIdentityObjectId `
       -ResourceId $serverServicePrincipalObjectId
   

   Microsoft Graph

   New-MgServicePrincipalAppRoleAssignment `
       -ServicePrincipalId $managedIdentityObjectId `
       -PrincipalId $managedIdentityObjectId `
       -ResourceId $serverServicePrincipalObjectId `
       -AppRoleId $appRoleId
   

Terminer le script

Cet exemple de script montre comment affecter une identité managée d’une application web Azure à un rôle d’application.

Azure PowerShell

# Install the module. This step requires you to be an administrator on your machine.
# Install-Module AzureAD

# Your tenant ID (in the Azure portal, under Azure Active Directory > Overview).
$tenantID = '<tenant-id>'

# The name of your web app, which has a managed identity that should be assigned to the server app's app role.
$webAppName = '<web-app-name>'
$resourceGroupName = '<resource-group-name-containing-web-app>'

# The name of the server app that exposes the app role.
$serverApplicationName = '<server-application-name>' # For example, MyApi

# The name of the app role that the managed identity should be assigned to.
$appRoleName = '<app-role-name>' # For example, MyApi.Read.All

# Look up the web app's managed identity's object ID.
$managedIdentityObjectId = (Get-AzWebApp -ResourceGroupName $resourceGroupName -Name $webAppName).identity.principalid

Connect-AzureAD -TenantId $tenantID

# Look up the details about the server app's service principal and app role.
$serverServicePrincipal = (Get-AzureADServicePrincipal -Filter "DisplayName eq '$serverApplicationName'")
$serverServicePrincipalObjectId = $serverServicePrincipal.ObjectId
$appRoleId = ($serverServicePrincipal.AppRoles | Where-Object {$_.Value -eq $appRoleName }).Id

# Assign the managed identity access to the app role.
New-AzureADServiceAppRoleAssignment `
    -ObjectId $managedIdentityObjectId `
    -Id $appRoleId `
    -PrincipalId $managedIdentityObjectId `
    -ResourceId $serverServicePrincipalObjectId

Microsoft Graph

# Install the module.
# Install-Module Microsoft.Graph -Scope CurrentUser

# Your tenant ID (in the Azure portal, under Azure Active Directory > Overview).
$tenantID = '<tenant-id>'

# The name of your web app, which has a managed identity that should be assigned to the server app's app role.
$webAppName = '<web-app-name>'
$resourceGroupName = '<resource-group-name-containing-web-app>'

# The name of the server app that exposes the app role.
$serverApplicationName = '<server-application-name>' # For example, MyApi

# The name of the app role that the managed identity should be assigned to.
$appRoleName = '<app-role-name>' # For example, MyApi.Read.All

# Look up the web app's managed identity's object ID.
$managedIdentityObjectId = (Get-AzWebApp -ResourceGroupName $resourceGroupName -Name $webAppName).identity.principalid

Connect-MgGraph -TenantId $tenantId -Scopes 'Application.Read.All','Application.ReadWrite.All','AppRoleAssignment.ReadWrite.All','Directory.AccessAsUser.All','Directory.Read.All','Directory.ReadWrite.All'

# Look up the details about the server app's service principal and app role.
$serverServicePrincipal = (Get-MgServicePrincipal -Filter "DisplayName eq '$serverApplicationName'")
$serverServicePrincipalObjectId = $serverServicePrincipal.ObjectId
$appRoleId = ($serverServicePrincipal.AppRoles | Where-Object {$_.Value -eq $appRoleName }).Id

# Assign the managed identity access to the app role.
New-MgServicePrincipalAppRoleAssignment `
    -ServicePrincipalId $managedIdentityObjectId `
    -PrincipalId $managedIdentityObjectId `
    -ResourceId $serverServicePrincipalObjectId `
    -AppRoleId $appRoleId

Étapes suivantes

• Vue d’ensemble de l’identité managée pour les ressources Azure
• Pour activer l’identité managée sur une machine virtuelle Azure, consultez Configurer des identités managées pour ressources Azure sur une machine virtuelle Azure à l’aide de PowerShell.