S’authentifier auprès des ressources Azure à partir d’applications Go hébergées localement

Les applications hébergées en dehors d’Azure, comme localement ou dans un centre de données, doivent utiliser un principal de service d’application pour s’authentifier auprès d’Azure lors de l’accès aux ressources Azure. Les objets principaux du service d’application sont créés à l’aide du processus d’inscription d’application dans Azure. Lorsque vous créez un principal de service d’application, un ID client et une clé secrète client sont générés pour votre application. Stockez l’ID client, la clé secrète client et votre ID de locataire dans les variables d’environnement afin que le Kit de développement logiciel (SDK) Azure pour Go puisse les utiliser pour authentifier votre application auprès d’Azure au moment de l’exécution.

Créez une inscription d’application différente pour chaque environnement où l’application est hébergée. Cette configuration vous permet de configurer des autorisations de ressources spécifiques à l’environnement pour chaque principal de service et de s’assurer qu’une application déployée dans un environnement n’accède pas aux ressources Azure dans un autre environnement.

1 - Inscrire l’application dans Azure

Vous pouvez inscrire une application auprès d’Azure à l’aide du portail Azure ou d’Azure CLI.

Azure CLI

az ad sp create-for-rbac --name <app-name>

La sortie de commande est similaire à ce qui suit. Notez ces valeurs ou laissez cette fenêtre ouverte, car vous en avez besoin dans les étapes suivantes et ne pouvez pas afficher à nouveau la valeur de mot de passe (clé secrète client).

{
  "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "displayName": "msdocs-python-sdk-auth-prod",
  "password": "Ee5Ff~6Gg7.-Hh8Ii9Jj0Kk1Ll2Mm3_Nn4Oo5Pp6",
  "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
}

portail Azure

Connectez-vous au portail Azure et effectuez ces étapes.

Instructions	Screenshot
Dans le portail Azure : Entrez les inscriptions d’applications dans la barre de recherche en haut du portail Azure. Sélectionnez les inscriptions d’application étiquetées sous le titre Services dans le menu qui apparaît sous la barre de recherche.
Dans la page Inscriptions d’applications, sélectionnez + Nouvelle inscription.
Dans la page Inscrire une application , remplissez le formulaire comme suit. Nom → Entrez un nom pour l’inscription d’application dans Azure. Il est recommandé que ce nom inclue le nom de l’application et l’environnement (test, prod) pour lequel l’inscription de l’application est destinée. Les types de comptes pris en charge → Comptes dans cet annuaire organisationnel uniquement. Sélectionnez Inscrire pour inscrire votre application et créer le principal du service d’application.
Dans la page d’inscription d’application pour votre application : ID d’application (client) → Il s’agit de l’ID d’application que votre application utilisera pour accéder à Azure pendant le développement local. Copiez cette valeur dans un emplacement temporaire dans un éditeur de texte, car vous en aurez besoin dans une prochaine étape. ID d’annuaire (locataire) → Cette valeur sera également nécessaire pour votre application lorsqu’elle s’authentifie sur Azure. Copiez cette valeur dans un emplacement temporaire dans un éditeur de texte, elle sera également nécessaire lors d’une prochaine étape. Les informations d’identification du client → Vous devez définir les informations d’identification du client pour l’application avant que votre application puisse s’authentifier auprès d’Azure et utiliser les services Azure. Sélectionnez Ajouter un certificat ou un secret pour ajouter des informations d’identification pour votre application.
Dans la page Certificats et secrets, sélectionnez + Nouveau secret client.
La boîte de dialogue Ajouter une clé secrète client apparaît depuis le côté droit de la page. Dans cette boîte de dialogue : Description → Entrez une valeur actuelle. Expire → Sélectionnez une valeur de 24 mois. Sélectionnez Ajouter pour ajouter le secret. IMPORTANT : Définissez un rappel dans votre calendrier avant la date d’expiration du secret. De cette façon, vous pouvez ajouter un nouveau secret avant et mettre à jour vos applications avant l’expiration de ce secret et éviter une interruption de service dans votre application.
La page Certificats et secrets affiche la valeur de la clé secrète client. Copiez cette valeur dans un emplacement temporaire dans un éditeur de texte, car vous en avez besoin dans une prochaine étape. IMPORTANT : Il s’agit de la seule fois où vous verrez cette valeur. Une fois que vous quittez ou actualisez cette page, vous ne pourrez plus voir cette valeur. Vous pouvez ajouter un autre secret client sans invalider ce secret client, mais vous ne verrez pas cette valeur à nouveau.

2 - Attribuer des rôles au principal du service d’application

Ensuite, vous devez déterminer quels rôles (autorisations) votre application a besoin sur les ressources et affecter ces rôles à votre application. Les rôles peuvent être attribués au niveau d’une ressource, d’un groupe de ressources ou d’une étendue d’abonnement. Cet exemple montre comment attribuer des rôles pour le principal de service dans l’étendue du groupe de ressources, car la plupart des applications regroupent toutes leurs ressources Azure dans un seul groupe de ressources.

Azure CLI

Attribuez un rôle à un principal de service dans Azure à l’aide de la commande az role assignment create .

az role assignment create --assignee {appId} \
    --scope /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName} \
    --role "{roleName}" 

Pour obtenir les noms de rôles auxquels un principal de service peut être affecté, utilisez la commande az role definition list .

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Par exemple, pour autoriser le principal de service avec l’appId de 00001111-aaaa-2222-bbbb-3333cccc4444 un accès en lecture, écriture et suppression aux conteneurs d’objets blob Azure Storage et aux données dans tous les comptes de stockage du groupe de ressources msdocs-go-sdk-auth-example dans l’abonnement portant l’ID aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e, vous devriez affecter le principal de service de l’application au rôle Contributeur aux données blob de stockage en utilisant la commande suivante.

az role assignment create --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
    --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-go-sdk-auth-example \
    --role "Storage Blob Data Contributor"

Pour plus d’informations sur l’attribution d’autorisations au niveau de la ressource ou de l’abonnement à l’aide d’Azure CLI, consultez l’article Affecter des rôles Azure à l’aide d’Azure CLI.

portail Azure

Instructions	Screenshot
Recherchez le groupe de ressources pour votre application en recherchant le nom du groupe de ressources à l’aide de la zone de recherche en haut du portail Azure. Accédez à votre groupe de ressources en sélectionnant le nom du groupe de ressources sous le titre Groupes de ressources dans la boîte de dialogue.
Dans la page du groupe de ressources, sélectionnez Contrôle d’accès (IAM) dans le menu de gauche.
Dans la page Contrôle d’accès (IAM) : Sélectionnez l’onglet Attributions de rôles. Sélectionnez + Ajouter dans le menu supérieur, puis ajoutez l’attribution de rôle dans le menu déroulant résultant.
La page Ajouter une attribution de rôle répertorie tous les rôles qui peuvent être attribués pour le groupe de ressources. Utilisez la zone de recherche pour filtrer la liste à une taille plus gérable. Cet exemple montre comment filtrer les rôles de Stockage Blob. Sélectionnez le rôle que vous souhaitez attribuer. Sélectionnez Suivant pour accéder à l’écran suivant.
La page Ajouter une attribution de rôle suivante vous permet de spécifier l’utilisateur auquel attribuer le rôle. Sélectionnez Utilisateur, groupe ou principal de service sous Attribuer l’accès. Sélectionner + Sélectionner des membres sous Membres Une boîte de dialogue s’ouvre sur le côté droit du portail Azure.
Dans la boîte de dialogue Sélectionner des membres : La zone de texte Sélectionner peut être utilisée pour filtrer la liste des utilisateurs et des groupes dans votre abonnement. Si nécessaire, tapez les premiers caractères du principal de service que vous avez créé pour que l’application filtre la liste. Sélectionnez le principal de service associé à votre application. Sélectionnez Sélectionner en bas de la boîte de dialogue pour continuer.
Le principal de service s’affiche comme sélectionné dans l’écran Ajouter une attribution de rôle . Sélectionnez Review + assign pour aller à la page finale, puis Review + assign à nouveau pour terminer le processus.

3 - Configurer des variables d’environnement pour l’application

Définissez les variables d'environnement AZURE_CLIENT_ID, AZURE_TENANT_ID, et AZURE_CLIENT_SECRET pour le processus exécutant votre application Go, afin de rendre disponibles les informations d'identification du principal du service d'application au moment de l'exécution. L’objet DefaultAzureCredential récupère les informations du principal de service à partir de ces variables d’environnement.

Nom de la variable	Valeur
AZURE_CLIENT_ID	ID d’application d’un principal de service Azure
AZURE_TENANT_ID	ID de locataire du locataire Microsoft Entra de l’application
AZURE_CLIENT_SECRET	Mot de passe du principal de service Azure

Bash

export AZURE_TENANT_ID="<active_directory_tenant_id>"
export AZURE_CLIENT_ID="<service_principal_appid>"
export AZURE_CLIENT_SECRET="<service_principal_password>"

PowerShell

$env:AZURE_TENANT_ID="<active_directory_tenant_id>"
$env:AZURE_CLIENT_ID="<service_principal_appid>"
$env:AZURE_CLIENT_SECRET="<service_principal_password>"

4 - Implémenter DefaultAzureCredential dans votre application

Pour authentifier les objets clients du Kit de développement logiciel (SDK) Azure sur Azure, votre application doit utiliser le DefaultAzureCredential type à partir du azidentity package.

Commencez par ajouter le azidentity package à votre application.

go get github.com/Azure/azure-sdk-for-go/sdk/azidentity

Ensuite, pour tout code Go qui instancie un client du Kit de développement logiciel (SDK) Azure dans votre application, procédez comme suit :

1. Importez le azidentity package.
2. Créez une instance de DefaultAzureCredential type.
3. Transmettez l’instance de type DefaultAzureCredential au constructeur du client Azure SDK.

Le segment de code suivant montre un exemple.

import (
	"context"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/storage/azblob"
)

const (
	account       = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/"
	containerName = "sample-container"
	blobName      = "sample-blob"
	sampleFile    = "path/to/sample/file"
)

func main() {
    // create a credential
    cred, err := azidentity.NewDefaultAzureCredential(nil)
    if err != nil {
      // TODO: handle error
    }
    
    // create a client for the specified storage account
    client, err := azblob.NewClient(account, cred, nil)
    if err != nil {
      // TODO: handle error
    }
    
    // TODO: perform some action with the azblob Client
    // _, err = client.DownloadFile(context.TODO(), <containerName>, <blobName>, <target_file>, <DownloadFileOptions>)
}

Lorsque le code instancie DefaultAzureCredential, il lit les variables AZURE_TENANT_ID, AZURE_CLIENT_ID et AZURE_CLIENT_SECRET pour récupérer les informations du principal de service d'application nécessaires pour se connecter à Azure.