Autoriser l’accès à Azure App Configuration à l’aide de Microsoft Entra ID

  • Article

En plus d’utiliser le code HMAC (Hash-based Message Authentication Code), Azure App Configuration prend en charge l’utilisation de Microsoft Entra ID pour autoriser les requêtes adressées aux instances d’App Configuration. Microsoft Entra ID vous permet d’utiliser le contrôle d’accès en fonction du rôle (RBAC Azure) pour octroyer des autorisations à un principal de sécurité. Un utilisateur, une identité managée ou un principal du service d’application peuvent être des principaux de sécurité. Pour en savoir plus sur les rôles et les attributions de rôles, consultez Comprendre les différents rôles.

Vue d’ensemble

Les requêtes, effectuées par un principal de sécurité pour accéder à une ressource App Configuration, doivent être autorisées. Avec Microsoft Entra ID, l’accès à une ressource est un processus en deux étapes :

  1. L’identité du principal de sécurité est authentifiée, et un jeton OAuth 2.0 est renvoyé. Le nom de la ressource permettant de demander un jeton est https://login.microsoftonline.com/{tenantID}, où {tenantID} correspond à l’ID de tenant (locataire) Microsoft Entra auquel appartient le principal de service.
  2. Le jeton est transmis dans une requête adressée au service App Configuration pour autoriser l’accès à la ressource spécifiée.

L’étape d’authentification nécessite qu’une requête d’application contienne un jeton d’accès OAuth 2.0 au moment de l’exécution. Si une application s’exécute à partir d’une entité Azure telle qu’une application Azure Functions, une application web Azure ou une machine virtuelle Azure, elle peut utiliser une identité managée pour accéder aux ressources. Pour découvrir comment authentifier les requêtes effectuées par une identité managée auprès d’Azure App Configuration, consultez Authentifier l’accès aux ressources Azure App Configuration avec Microsoft Entra ID et les identités managées pour les ressources Azure.

L’étape d’autorisation exige qu’un ou plusieurs rôles Azure soient attribués au principal de sécurité. Azure App Configuration fournit des rôles Azure qui englobent des ensembles d’autorisations pour les ressources App Configuration. Les rôles qui sont attribués à un principal de sécurité déterminent les autorisations fournies au principal. Pour plus d’informations sur les rôles Azure, consultez Rôles Azure intégrés pour Azure App Configuration.

Attribuer des rôles Azure pour les droits d’accès

Microsoft Entra autorise les droits d’accès aux ressources sécurisées via le contrôle d’accès en fonction du rôle (RBAC Azure).

Quand un rôle Azure est attribué à un principal de sécurité Microsoft Entra, Azure octroie l’accès à ces ressources pour ce principal de sécurité. L’accès est limité à la ressource App Configuration. Un principal de sécurité Microsoft Entra peut correspondre à un utilisateur, à un groupe, à un principal de service d’application ou à une identité managée pour les ressources Azure.

Rôles Azure intégrés pour Azure App Configuration

Azure fournit les rôles intégrés Azure suivants pour autoriser l’accès aux données App Configuration à l’aide de Microsoft Entra ID :

  • Propriétaire des données App Configuration : Utilisez ce rôle pour accorder un accès en lecture/écriture/suppression aux données App Configuration. Ce rôle ne donne pas accès à la ressource App Configuration.
  • Lecteur des données App Configuration : Utilisez ce rôle pour accorder un accès en lecture aux données App Configuration. Ce rôle ne donne pas accès à la ressource App Configuration.
  • Contributeur ou Propriétaire : Utilisez ce rôle pour gérer la ressource App Configuration. Il accorde l’accès aux clés d’accès de la ressource. Bien que les données d’App Configuration soient accessibles à l’aide de clés d’accès, ce rôle n’octroie pas d’accès direct aux données via Microsoft Entra ID. Ce rôle est requis si vous accédez aux données App Configuration via un modèle ARM, Bicep ou Terraform pendant le déploiement. Pour plus d’informations, voir Déploiement.
  • Lecteur : Utilisez ce rôle pour accorder un accès en lecture à la ressource App Configuration. Ce rôle n’accorde pas l’accès aux clés d’accès de la ressource ni aux données stockées dans App Configuration.

Remarque

Après l’attribution d’un rôle à une identité, il faut attendre jusqu’à 15 minutes pour que l’autorisation se propage avant d’accéder aux données stockées dans App Configuration en utilisant cette identité.

Étapes suivantes

En savoir plus sur l’utilisation des identités managées pour gérer votre service App Configuration.