Configurez votre App Service ou votre application Azure Functions pour la connexion à l’aide d’un fournisseur OpenID Connect
Cet article vous montre comment configurer Azure App Service ou Azure Functions pour utiliser un fournisseur d’authentification personnalisé qui respecte la spécification OpenID Connect. OpenID Connect (OIDC) est une norme de l’industrie utilisée par de nombreux fournisseurs d’identité. Vous n’avez pas besoin de comprendre les détails de la spécification pour configurer votre application de manière à utiliser un fournisseur d’identité conforme.
Vous pouvez configurer votre application pour qu’elle utilise un ou plusieurs fournisseurs OIDC. Chacun doit recevoir un nom alphanumérique unique dans la configuration et seul l’un d’entre eux peut servir de cible de redirection par défaut.
Inscrire votre application auprès du fournisseur d’identité
Votre fournisseur vous demandera d’inscrire les détails de votre application. L’une de ces étapes implique la spécification d’un URI de redirection. Cet URI de redirection est au format <app-url>/.auth/login/<provider-name>/callback. Chaque fournisseur d’identité doit fournir des instructions supplémentaires sur la façon d’effectuer ces étapes. <provider-name> fait référence au nom convivial que vous donnez au nom du fournisseur OpenID dans Azure.
Notes
Certains fournisseurs peuvent exiger des étapes supplémentaires pour leur configuration et l’utilisation des valeurs qu’ils fournissent. Par exemple, Apple fournit une clé privée qui n’est pas elle-même utilisée comme secret client OIDC. Vous devez plutôt l’utiliser pour créer un jeton JWT qui est traité comme le secret que vous fournissez dans la configuration de votre application (voir la section « Création du secret client » de la documentation Connexion avec Apple)
Vous devrez collecter un ID client et un secret client pour votre application.
Important
La clé secrète client est une information d'identification de sécurité importante. Ne partagez cette clé secrète avec personne et ne la distribuez pas dans une application cliente.
En outre, vous aurez besoin des métadonnées OpenID Connect pour le fournisseur. Celles-ci sont souvent exposées via un document de métadonnées de configuration, qui est l’URL d’émetteur du fournisseur avec le suffixe /.well-known/openid-configuration. Notez cette URL de configuration.
Si vous ne pouvez pas utiliser un document de métadonnées de configuration, vous devrez collecter les valeurs suivantes séparément :
- L’URL d’émetteur (parfois indiquée comme
issuer) - Le point de terminaison d’autorisation OAuth 2.0 (parfois indiqué comme
authorization_endpoint) - Le point de terminaison de jeton OAuth 2.0 (parfois indiqué comme
token_endpoint) - L’URL du document Jeu de clés web OAuth 2.0 JSON (parfois indiqué comme
jwks_uri)
Ajouter des informations sur le fournisseur à votre application
- Connectez-vous au Portail Azure et accédez à votre application.
- Sélectionnez Authentification dans le menu de gauche. Sélectionnez Ajouter un fournisseur d’identité.
- Sélectionnez OpenID Connect dans la liste déroulante des fournisseurs d’identité.
- Indiquez le nom alphanumérique unique sélectionné précédemment dans Nom du fournisseur OpenID.
- Si vous avez l’URL du document de métadonnées du fournisseur d’identité, indiquez cette valeur dans URL des métadonnées. Sinon, sélectionnez l’option Fournir les points de terminaison séparément et placez chaque URL obtenue à partir du fournisseur d’identité dans le champ approprié.
- Indiquez l’ID client et le Secret client collectés précédemment dans les champs appropriés.
- Spécifiez un nom de paramètre d’application pour votre secret client. Votre secret client est stocké sous forme de paramètre d’application, ce qui garantit qu’il est stocké de manière sécurisée. Vous pouvez mettre à jour ce paramètre ultérieurement pour utiliser des références Key Vault si vous souhaitez gérer le secret dans Azure Key Vault.
- Appuyez sur le bouton Ajouter pour finir la configuration du fournisseur d’identité.
Notes
Le nom du fournisseur OpenID ne peut pas contenir de symboles tels que « - », car une configuration d’application sera créée sur cette base et ne la prend pas en charge. Utilisez plutôt « _ » à la place.
Notes
Azure nécessite les étendues « openid », « profil » et « e-mail ». Vérifiez que vous avez configuré votre inscription d’application dans votre fournisseur d’ID avec au moins ces étendues.