Authentifier Java applications pour Azure services pendant le développement local à l’aide de principaux de service

Pendant le développement local, les applications doivent s’authentifier auprès de Azure pour accéder à différents services Azure. Vous pouvez vous authentifier localement à l’aide de l’une des approches suivantes :

• Utilisez un compte de développeur avec l’un des outils de développement pris en charge par la bibliothèque d’identités Azure. Pour plus d'informations, consultez Authentifier les applications Java aux services Azure à l'aide de comptes de développeurs pendant le développement local.
• Utilisez un compte principal de service.

Cet article explique comment utiliser un principal de service d'application. Pour plus d'informations sur les entités de service, consultez les objets d'application et de principal de service dans Microsoft Entra ID. Dans cet article, vous apprenez :

• Comment inscrire une application auprès de Microsoft Entra pour créer un principal de service.
• Comment utiliser des groupes Microsoft Entra pour gérer efficacement les autorisations.
• Comment attribuer des rôles aux permissions de périmètre.
• Comment s’authentifier à l’aide d’un principal de service à partir de votre code d’application.

L’utilisation des entités de service d’application dédiées vous permet de suivre le principe du moindre privilège lors de l’accès aux ressources Azure. Vous pouvez limiter les autorisations aux exigences spécifiques de l’application pendant le développement pour empêcher l’accès accidentel à Azure ressources destinées à d’autres applications ou services. Cette approche vous permet également d’éviter les problèmes lorsque vous déplacez l’application en production en vous assurant qu’elle n’est pas sur-privilégiée dans l’environnement de développement.

Lorsque vous inscrivez l’application dans Azure, un principal de service d’application est créé. Pour le développement local, vous devez :

• Créez une inscription d’application distincte pour chaque développeur travaillant sur l’application afin que chaque développeur dispose de son propre principal de service d’application et n’ait pas besoin de partager les informations d’identification.
• Créez une inscription d’application distincte pour chaque application afin de limiter les autorisations de l’application uniquement à ce qui est nécessaire.

Pendant le développement local, définissez des variables d’environnement avec l’identité du principal du service d’application. La bibliothèque Azure Identity lit ces variables d’environnement pour authentifier l’application auprès des ressources Azure requises.

Inscrire l’application dans Azure

Les objets principaux du service d’application sont créés via une inscription d’application dans Azure à l’aide du portail Azure ou de Azure CLI.

Azure

1. Dans le portail Azure, utilisez la barre de recherche pour accéder à la page App registrations.

2. Dans la page App registrations, sélectionnez + Nouvelle inscription.

3. Dans la page Inscrire une application :

   • Pour le champ Nom, entrez une valeur descriptive qui inclut le nom de l’application et l’environnement cible.
   • Pour Types de comptes pris en charge, sélectionnez Comptes qui se trouvent uniquement dans cet annuaire organisationnel (géré par le client uniquement - locataire unique), ou l’option qui correspond le mieux à vos besoins.

4. Sélectionnez Inscrire pour inscrire votre application et créer le principal du service.

   capture d’écran

5. Dans la page d'inscription de l'application , copiez l'ID d'application (client) et l'ID de répertoire (locataire) et collez-les dans un emplacement temporaire pour une utilisation ultérieure dans les configurations de code de votre application.

6. Sélectionnez Ajouter un certificat ou un secret pour configurer des informations d’identification pour votre application.

7. Sur la page Certificats & secrets, sélectionnez + Nouvelle clé secrète client.

8. Dans le panneau volant Ajouter un secret client qui s’ouvre :

   • Pour la Description, entrez la valeur Current.
   • Pour la Expire valeur, conservez la valeur recommandée par défaut de 180 jours.
   • Sélectionnez Ajouter pour ajouter le secret.

9. Sur la page Certificats & secrets, copiez la propriété Valeur du secret client à utiliser dans une étape ultérieure.

   Note

   La valeur de la clé secrète client n’est affichée qu’une fois après la création de l'inscription de l'application. Vous pouvez ajouter d’autres secrets client sans invalider ce secret client, mais il n’existe aucun moyen d’afficher cette valeur à nouveau.

Azure CLI

Azure CLI commandes peuvent être exécutées dans le Azure Cloud Shell ou sur une station de travail avec le Azure CLI installé.

1. Utilisez la commande az ad sp create-for-rbac pour créer une inscription et un principal de service pour l’application.

   az ad sp create-for-rbac --name <service-principal-name>
   

   La sortie de cette commande ressemble au code JSON suivant :

   {
     "appId": "00000000-0000-0000-0000-000000000000",
     "displayName": "<service-principal-name>",
     "password": "abcdefghijklmnopqrstuvwxyz",
     "tenant": "11111111-1111-1111-1111-111111111111"
   }
   

2. Copiez cette sortie dans un fichier temporaire dans un éditeur de texte, car vous aurez besoin de ces valeurs dans une prochaine étape.

   Note

   La valeur de la clé secrète client n’est affichée qu’une fois après la création de l'inscription de l'application. Vous pouvez ajouter d’autres secrets client sans invalider ce secret client, mais il n’existe aucun moyen d’afficher cette valeur à nouveau.

Créer un groupe Microsoft Entra pour le développement local

Créez un groupe Microsoft Entra pour encapsuler les rôles (autorisations) dont l’application a besoin dans le développement local plutôt que d’affecter les rôles à des objets de principal de service individuels. Cette approche offre les avantages suivants :

• Chaque développeur a les mêmes rôles attribués au niveau du groupe.
• Si un nouveau rôle est nécessaire pour l’application, il doit uniquement être ajouté au groupe de l’application.
• Si un nouveau développeur rejoint l’équipe, un nouveau principal du service d’application est créé pour le développeur et ajouté au groupe, ce qui garantit que le développeur dispose des autorisations appropriées pour travailler sur l’application.

Azure

1. Accédez à la page de présentation Microsoft Entra ID dans le portail Azure.

2. Sélectionnez Tous les groupes dans le menu de gauche.

3. Dans la page Groupes , sélectionnez Nouveau groupe.

4. Dans la page Nouveau groupe , renseignez les champs de formulaire suivants :

   • Type de groupe : Sélectionnez Sécurité.
   • Nom du groupe : entrez un nom pour le groupe qui inclut une référence à l’application ou au nom de l’environnement.
   • Description du groupe : entrez une description qui explique l’objectif du groupe.

   capture d’écran

5. Sélectionnez le lien Aucun membre sélectionné sous Membres pour ajouter des membres au groupe.

6. Dans le volet volant qui s’ouvre, recherchez le principal de service que vous avez créé précédemment et sélectionnez-le dans les résultats filtrés. Choisissez le bouton Sélectionner en bas du panneau pour confirmer votre sélection.

7. Sélectionnez Créer en bas de la page Nouveau groupe pour créer le groupe et revenir à la page Tous les groupes . Si vous ne voyez pas le nouveau groupe répertorié, attendez un instant et actualisez la page.

Azure CLI

1. Utilisez la commande az ad group create pour créer des groupes dans Microsoft Entra ID.

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   Les paramètres --display-name et --mail-nickname sont obligatoires. Le nom donné au groupe doit être basé sur le nom et l’environnement de l’application pour indiquer l’objectif du groupe.

2. Pour ajouter des membres au groupe, vous avez besoin de l’ID d’objet du principal du service d’application, qui est différent de l’ID d’application. Utilisez la commande az ad sp list pour répertorier les principaux de service disponibles :

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   Le paramètre --filter accepte les filtres de style OData et peut être utilisé pour filtrer la liste comme indiqué. Le paramètre --query limite la sortie aux seules colonnes intéressantes.

3. Utilisez la commande az ad group member add pour ajouter des membres au groupe :

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

Attribuer des rôles au groupe

Ensuite, déterminez les rôles (autorisations) dont votre application a besoin sur les ressources et attribuez ces rôles au groupe Microsoft Entra que vous avez créé. Les groupes peuvent être affectés à un rôle au niveau de la ressource, du groupe de ressources ou de l’étendue de l’abonnement. Cet exemple montre comment attribuer des rôles à l’étendue du groupe de ressources, car la plupart des applications regroupent toutes leurs ressources Azure en un seul groupe de ressources.

Azure

1. Dans le portail Azure, accédez à la page Overview du groupe de ressources qui contient votre application.

2. Dans le menu de navigation de gauche, sélectionnez Contrôle d’accès (IAM) .

3. Dans la page Contrôle d’accès (IAM), sélectionnez + Ajouter , puis choisissez Ajouter une attribution de rôle dans le menu déroulant. La page Ajouter une attribution de rôle fournit plusieurs onglets pour configurer et attribuer des rôles.

4. Sous l’onglet Rôle , utilisez la zone de recherche pour localiser le rôle que vous souhaitez attribuer. Sélectionnez le rôle, puis choisissez Suivant.

5. Sous l’onglet Membres :

   • Pour la valeur Attribuer l’accès à, sélectionnez Utilisateur, groupe ou principal de service.
   • Pour la valeur Membres , choisissez + Sélectionner des membres pour ouvrir le volet volant Sélectionner des membres .
   • Recherchez le groupe Microsoft Entra que vous avez créé précédemment et sélectionnez-le dans les résultats filtrés. Choisissez Sélectionner pour choisir le groupe et fermer le volet déroulant.
   • Sélectionnez Vérifier + affecter en bas de l’onglet Membres .

   capture d’écran

6. Sous l’onglet Révision + affectation , sélectionnez Vérifier + affecter en bas de la page.

Azure CLI

1. Utilisez la commande az role definition list pour obtenir les noms des rôles auxquels un groupe Microsoft Entra ou un principal de service peut être affecté à :

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. Utilisez la commande az role assignment create pour attribuer un rôle au groupe Microsoft Entra que vous avez créé :

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Pour plus d’informations sur l’attribution d’autorisations au niveau de la ressource ou de l’abonnement à l’aide du Azure CLI, consultez Assigner des rôles Azure à l’aide du Azure CLI.

Définir les variables d’environnement d’application

Lors de l’exécution, certaines authentifications de la bibliothèque d’identités Azure, telles que DefaultAzureCredential, EnvironmentCredential et ClientSecretCredential, recherchent par convention les informations de principal de service dans les variables d’environnement. Lorsque vous utilisez Java, vous pouvez configurer des variables d’environnement de différentes façons en fonction de vos outils et de votre environnement.

Quelle que soit l’approche choisie, configurez les variables d’environnement suivantes pour un principal de service :

• AZURE_CLIENT_ID : utilisé pour identifier l’application inscrite dans Azure.
• AZURE_TENANT_ID : ID du locataire Microsoft Entra.
• AZURE_CLIENT_SECRET: informations d’identification secrètes générées pour l’application.

Bash

Ajoutez les lignes suivantes à votre ~/.bashrc ou ~/.zshrc fichier. Remplacez les valeurs d’espace réservé par les valeurs réelles de l'enregistrement de votre application :

export AZURE_CLIENT_ID="<your-client-id>"
export AZURE_TENANT_ID="<your-tenant-id>"
export AZURE_CLIENT_SECRET="<your-client-secret>"

Après avoir modifié le fichier, exécutez source ~/.bashrc ou source ~/.zshrc pour appliquer les modifications à votre session actuelle.

Visual Studio Code

Configurer des variables d’environnement dans .vscode/launch.json:

{
    "version": "0.2.0",
    "configurations": [
        {
            "type": "java",
            "name": "Launch App",
            "request": "launch",
            "mainClass": "com.example.App",
            "env": {
                "AZURE_CLIENT_ID": "<your-client-id>",
                "AZURE_TENANT_ID": "<your-tenant-id>",
                "AZURE_CLIENT_SECRET": "<your-client-secret>"
            }
        }
    ]
}

IntelliJ IDEA

Configurez les variables d’environnement dans la configuration d’exécution :

1. Sélectionnez Exécuter > Modifier les configurations....

2. Sélectionnez la configuration de votre application.

3. Dans le champ Variables d’environnement , ajoutez vos variables :

   AZURE_CLIENT_ID=<your-client-id>;AZURE_TENANT_ID=<your-tenant-id>;AZURE_CLIENT_SECRET=<your-client-secret>
   

4. Sélectionnez Appliquer, puis OK.

S’authentifier auprès de Azure services à partir de votre application

La bibliothèque d’identités Azure fournit différentes informations d'identification - implémentations de TokenCredential qui prennent en charge différents scénarios et flux d’authentification de Microsoft Entra. Les étapes suivantes vous montrent comment utiliser ClientSecretCredential lorsque vous travaillez avec des principaux de service localement et en production.

Implémenter le code

Ajoutez la azure-identity dépendance à votre pom.xml fichier :

<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
</dependency>

Vous accédez aux services Azure à l’aide de classes clientes spécialisées à partir des différentes bibliothèques clientes Azure SDK. Pour tout code Java qui crée un objet client Azure SDK dans votre application, procédez comme suit :

1. Importez la ClientSecretCredentialBuilder classe à partir du com.azure.identity package.
2. Créez un ClientSecretCredential objet en utilisant ClientSecretCredentialBuilder avec le tenantId, clientId, et clientSecret.
3. Transmettez l'instance ClientSecretCredential à la méthode credential du générateur d'objets client Azure SDK.

Un exemple de cette approche est illustré dans le segment de code suivant :

import com.azure.identity.ClientSecretCredential;
import com.azure.identity.ClientSecretCredentialBuilder;
import com.azure.storage.blob.BlobServiceClient;
import com.azure.storage.blob.BlobServiceClientBuilder;

String tenantId = System.getenv("AZURE_TENANT_ID");
String clientId = System.getenv("AZURE_CLIENT_ID");
String clientSecret = System.getenv("AZURE_CLIENT_SECRET");

ClientSecretCredential credential = new ClientSecretCredentialBuilder()
    .tenantId(tenantId)
    .clientId(clientId)
    .clientSecret(clientSecret)
    .build();

BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
    .endpoint("https://<account-name>.blob.core.windows.net")
    .credential(credential)
    .buildClient();

Prochaines étapes

Cet article a abordé l’authentification par le biais d’un principal de service. Cette forme d’authentification est l’une des nombreuses façons dont vous pouvez vous authentifier dans le Azure SDK pour Java. Les articles suivants décrivent d’autres façons de s’authentifier :

• Authentifier les applications Java pour les services Azure pendant le développement local à l’aide de comptes de développeur
• Authentifier les applications Java hébergées sur Azure aux ressources Azure à l’aide d’une identité gérée affectée par le système
• Authentifier les applications Java hébergées sur Azure pour les ressources Azure à l'aide d'une identité managée attribuée par l'utilisateur

Si vous rencontrez des problèmes liés à l’authentification du principal de service, consultez Résoudre les problèmes d’authentification du principal de service.

Une fois l’authentification principale effectuée, consultez Configure de journalisation dans le Azure SDK pour Java pour plus d’informations sur les fonctionnalités de journalisation fournies par le Kit de développement logiciel (SDK).