Authentifier les applications Java hébergées sur Azure vers les ressources Azure à l’aide d’une identité gérée assignée par l'utilisateur

L’approche recommandée pour authentifier une application hébergée Azure sur d’autres ressources Azure consiste à utiliser une identité managed. La plupart des services Azure prennent en charge cette approche, y compris les applications hébergées sur Azure App Service, Azure Container Apps et Azure Virtual Machines. Pour plus d’informations, consultez Azure services et types de ressources prenant en charge les identités managées. Pour plus d’informations sur les différentes techniques et approches d’authentification, consultez Authenticate Java applications pour Azure services à l’aide de la bibliothèque d’identités Azure.

Dans les sections suivantes, vous allez découvrir :

• Concepts essentiels de l’identité managée.
• Comment créer une identité managée assignée par l'utilisateur pour votre application.
• Comment attribuer des rôles à l'identité managée assignée par l'utilisateur.
• Comment s’authentifier à l’aide de l’identité managée affectée par l’utilisateur à partir de votre code d’application.

Concepts essentiels de l’identité managée

Une identité managée permet à votre application de se connecter en toute sécurité à d’autres ressources Azure sans utiliser de clés secrètes ou d’autres secrets d’application. En interne, Azure effectue le suivi de l'identité et des ressources auxquelles il est autorisé à se connecter. Azure utilise ces informations pour obtenir automatiquement des jetons Microsoft Entra pour que l’application lui permette de se connecter à d’autres ressources Azure.

Il existe deux types d’identités managées à prendre en compte lors de la configuration de votre application hébergée :

• Les identités managées affectées par le système sont activées directement sur une ressource Azure et sont liées à son cycle de vie. Lorsque la ressource est supprimée, Azure supprime automatiquement l’identité pour vous. Les identités affectées par le système fournissent une approche minimaliste de l’utilisation d’identités managées.
• Identités managées attribuées par l'utilisateur sont créées en tant qu'entités autonomes d'Azure et offrent une plus grande flexibilité et des fonctionnalités. Elles sont idéales pour les solutions impliquant plusieurs ressources Azure qui doivent partager les mêmes identités et autorisations. Par exemple, si plusieurs machines virtuelles doivent accéder au même ensemble de ressources Azure, une identité managée affectée par l’utilisateur fournit une réutilisation et une gestion optimisée.

Conseil / Astuce

En savoir plus sur la sélection et la gestion des identités managées affectées par le système et affectées par l’utilisateur dans l’article recommandations sur les meilleures pratiques d’identité managée .

Les sections suivantes décrivent les étapes permettant d’activer et d’utiliser une identité managée affectée par l’utilisateur pour une application hébergée Azure. Si vous devez utiliser une identité managée attribuée par le système, consultez Authentifier des applications Java hébergées sur Azure vers les ressources Azure en utilisant une identité managée attribuée par le système.

Créer une identité managée attribuée par l’utilisateur

Les identités managées affectées par l’utilisateur sont créées en tant que ressources autonomes dans votre abonnement Azure à l’aide du portail Azure ou du Azure CLI. Azure CLI commandes peuvent être exécutées dans le Azure Cloud Shell ou sur une station de travail avec le Azure CLI installé.

Azure

1. Dans le portail Azure, entrez Identités managées dans la barre de recherche principale et sélectionnez le résultat correspondant sous la section Services.

2. Dans la page Identités managés, sélectionnez + Créer.

   

3. Dans la page Créer une identité managée affectée par l’utilisateur , sélectionnez un abonnement, un groupe de ressources et une région pour l’identité managée affectée par l’utilisateur, puis fournissez un nom.

4. Sélectionnez Vérifier + créer pour passer en revue et valider vos entrées.

   

5. Sélectionnez Créer pour créer l’identité managée affectée par l’utilisateur.

6. Une fois l’identité créée, sélectionnez Accéder à la ressource.

7. Dans la page Vue d’ensemble de la nouvelle identité, copiez la valeur de l’ID client à utiliser ultérieurement lorsque vous configurez le code de l’application.

Azure CLI

Utilisez la commande Azure CLI az identity create pour créer une identité managée :

az identity create \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query 'clientId' \
    --output json

La sortie de la commande imprime l’ID client de l’identité managée attribuée par l’utilisateur qui a été créée. L’ID client est utilisé pour configurer le code d’application qui s’appuie sur l’identité.

Vous pouvez toujours afficher à nouveau les propriétés d’identité managée à l’aide de la az identity show commande :

az identity show \
    --resource-group <your-resource-group> \
    --name <your-managed-identity-name> \
    --output json

Affecter l’identité managée à votre application

Une identité managée affectée par l’utilisateur peut être associée à une ou plusieurs ressources Azure. Toutes les ressources qui utilisent cette identité bénéficient des autorisations appliquées via les rôles de l’identité.

Azure

1. Dans le portail Azure, accédez à la ressource qui héberge le code de votre application, telle qu’une instance Azure App Service ou Azure Container Apps.

2. Dans la page Vue d'ensemble de la ressource, développez Paramètres et sélectionnez Identité dans la navigation.

3. Dans la page Identité, basculez vers l’onglet Utilisateur affecté.

4. Sélectionnez + Ajouter pour ouvrir le panneau Ajouter une identité managée affectée par l’utilisateur .

5. Dans le panneau Ajouter une identité managée affectée par l’utilisateur , utilisez la liste déroulante Abonnement pour filtrer les résultats de recherche de vos identités. Utilisez la zone de recherche Utilisateur affecté aux identités managées pour rechercher l’identité managée affectée par l’utilisateur que vous avez activée pour la ressource Azure hébergeant votre application.

6. Sélectionnez l’identité et choisissez Ajouter en bas du panneau pour continuer.

   

Azure CLI

Le Azure CLI fournit différentes commandes pour affecter une identité managée affectée par l’utilisateur à différents types de services d’hébergement.

1. Pour affecter une identité managée affectée par l'utilisateur à une ressource telle qu'une application web Azure App Service à l'aide de l'Azure CLI, vous aurez besoin de l'ID de ressource de l'identité. Utilisez la az identity show commande pour récupérer l’ID de ressource :

   az identity show \
       --resource-group <your-resource-group> \
       --name <your-managed-identity-name> \
       --output json \
       --query id
   

2. Une fois que vous disposez de l’ID de ressource, utilisez la commande Azure CLI az <resourceType> identity assign pour associer l’identité managée affectée par l’utilisateur à différentes ressources, par exemple :

   Pour Azure App Service, utilisez la commande Azure CLI az webapp identity assign :

   az webapp identity assign \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --identities <user-assigned-identity-resource-id>
   

   Pour Azure Container Apps, utilisez la commande Azure CLI az containerapp identity assign :

   az containerapp identity assign \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --user-assigned <user-assigned-identity-resource-id>
   

   Pour Azure Virtual Machines, utilisez la commande Azure CLI az vm identity assign :

   az vm identity assign \
       --resource-group <resource-group-name> \
       --name <vm-name> \
       --identities <user-assigned-identity-resource-id>
   

Attribuer des rôles à l’identité managée

Ensuite, déterminez les rôles dont votre application a besoin et attribuez ces rôles à l’identité managée. Vous pouvez attribuer des rôles à une identité managée dans les étendues suivantes :

• ressource: les rôles attribués s’appliquent uniquement à cette ressource spécifique.
• groupe de ressources: les rôles attribués s’appliquent à toutes les ressources contenues dans le groupe de ressources.
• Abonnement: les rôles attribués s’appliquent à toutes les ressources contenues dans l’abonnement.

L’exemple suivant montre comment attribuer des rôles à l’étendue du groupe de ressources, car de nombreuses applications gèrent toutes leurs ressources Azure associées à l’aide d’un seul groupe de ressources.

Azure

1. Accédez à la page Vue d’ensemble du groupe de ressources qui contient l’application avec l’identité managée affectée par l’utilisateur.

2. Sélectionnez Contrôle d'accès (IAM) dans le menu de gauche.

3. Dans la page contrôle d’accès (IAM), sélectionnez + Ajouter dans le menu supérieur, puis choisissez Ajouter une attribution de rôle pour accéder à la page Ajouter une attribution de rôle.

   

4. La page d'Ajouter une attribution de rôle présente un flux de travail à onglets et à plusieurs étapes pour assigner des rôles à des identités. Sous l'onglet Rôle initial, utilisez la zone de recherche en haut pour localiser le rôle que vous souhaitez attribuer à l'identité.

5. Sélectionnez le rôle dans les résultats, puis choisissez Suivant pour accéder à l’onglet Membres.

6. Pour l'option Attribuer l'accès à, sélectionnez Identité gérée.

7. Pour l'option Membres, choisissez + Sélectionner les membres pour ouvrir le panneau Sélectionner les identités gérées.

8. Dans le panneau Sélectionner les identités gérées, utilisez les menus déroulants Abonnement et Identité gérée pour filtrer les résultats de la recherche de vos identités. Utilisez la zone de recherche Select pour rechercher l’identité managée affectée par l’utilisateur que vous avez activée pour la ressource Azure hébergeant votre application.

   

9. Sélectionnez l’identité et choisissez Sélectionnez en bas du panneau pour continuer.

10. Sélectionnez Réviser + assigner en bas de la page.

11. Sous l’onglet final Révision + affecter, sélectionnez Révision + affecter pour compléter le processus de travail.

Azure CLI

1. Pour attribuer un rôle à une identité managée affectée par l'utilisateur à l'aide de l'Azure CLI, vous aurez besoin de l'ID principal de l'identité. Utilisez la commande az identity show pour récupérer l'ID principal :

   az identity show \
       --resource-group <your-resource-group> \
       --name <your-managed-identity-name> \
       --output json \
       --query principalId
   

2. Utilisez la commande az role definition list pour explorer les rôles auxquels une identité managée peut être affectée :

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

3. Attribuez un rôle à une identité managée à l’aide de la commande az role assignment create :

   az role assignment create \
       --assignee <your-principal-id> \
       --role <role-name> \
       --scope <scope>
   

   Par exemple, pour autoriser l’identité managée avec l’ID de 99999999-9999-9999-9999-999999999999 accès en lecture, écriture et suppression aux conteneurs d'objets blob et aux données d'Azure Storage dans tous les comptes de stockage du groupe de ressources msdocs-sdk-auth-example, affectez le principal du service d’application dans le rôle Storage Blob Data Contributor à l’aide de la commande suivante :

   az role assignment create \
       --assignee 99999999-9999-9999-9999-999999999999 \
       --role "Storage Blob Data Contributor" \
       --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-sdk-auth-example"
   

Pour plus d’informations sur l’attribution d’autorisations au niveau de la ressource ou de l’abonnement à l’aide de l’Azure CLI, consultez l’article Assigner les rôles Azure à l’aide du Azure CLI.

S’authentifier auprès de Azure services à partir de votre application

La bibliothèque Azure Identity offre des informations d’identification différentes en tant qu’implémentations de TokenCredential. Chaque implémentation prend en charge différents scénarios et Microsoft Entra flux d’authentification. Pour les identités managées affectées par l’utilisateur, spécifiez l’ID client, l’ID de ressource ou l’ID d’objet de l’identité lorsque vous configurez les informations d’identification.

Implémenter le code

Ajoutez la azure-identity dépendance à votre pom.xml fichier :

<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
</dependency>

Vous accédez aux services Azure à l’aide de classes client spécialisées à partir des bibliothèques clientes Azure SDK. Les exemples de code suivants vous montrent comment configurer les credentials pour l’authentification par identité managée attribuée par l’utilisateur.

Utilisez DefaultAzureCredential

Utilisez DefaultAzureCredential comme informations d’identification pour les applications hébergées par Azure. Pour les identités gérées assignées par l'utilisateur, configurez l’ID client en utilisant la méthode managedIdentityClientId :

import com.azure.identity.DefaultAzureCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

// Configure DefaultAzureCredential with the user-assigned managed identity's client ID
DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
    .managedIdentityClientId("<user-assigned-managed-identity-client-id>")
    .build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Utiliser ManagedIdentityCredential

Si vous souhaitez utiliser explicitement les identifiants de l'identité managée et éviter la recherche dans la chaîne d’identités dans DefaultAzureCredential, utilisez ManagedIdentityCredential directement. Pour les identités managées affectées par l’utilisateur, vous pouvez spécifier l’identité à l’aide de l’ID client, de l’ID de ressource ou de l’ID d’objet.

ID du client

Utilisez l’ID client pour identifier une identité managée lorsque vous configurez des applications ou des services qui doivent s’authentifier à l’aide de cette identité.

Récupérez l’ID client affecté à une identité managée affectée par l’utilisateur à l’aide de la commande suivante :

az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query clientId \
    --output tsv

Configurez ManagedIdentityCredential avec l’ID client :

import com.azure.identity.ManagedIdentityCredential;
import com.azure.identity.ManagedIdentityCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

// Specify the client ID of the user-assigned managed identity
ManagedIdentityCredential credential = new ManagedIdentityCredentialBuilder()
    .clientId("<user-assigned-managed-identity-client-id>")
    .build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

ID de ressource

L’ID de ressource est le chemin d’accès complet Azure Resource Manager (ARM) à la ressource d’identité managée attribuée par l’utilisateur.

Récupérez l’ID de ressource affecté à une identité managée affectée par l’utilisateur à l’aide de la commande suivante :

az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query id \
    --output tsv

Configurez ManagedIdentityCredential avec l’ID de ressource :

import com.azure.identity.ManagedIdentityCredential;
import com.azure.identity.ManagedIdentityCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

// Specify the resource ID of the user-assigned managed identity
ManagedIdentityCredential credential = new ManagedIdentityCredentialBuilder()
    .resourceId("/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity-name>")
    .build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

ID d’objet

L'ID d'objet est l'identificateur unique du principal de service de l'identité managée dans Microsoft Entra ID.

Récupérez l’ID d’objet affecté à une identité managée affectée par l’utilisateur à l’aide de la commande suivante :

az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query principalId \
    --output tsv

Configurez ManagedIdentityCredential avec l’ID d’objet :

import com.azure.identity.ManagedIdentityCredential;
import com.azure.identity.ManagedIdentityCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;

// Specify the object ID of the user-assigned managed identity
ManagedIdentityCredential credential = new ManagedIdentityCredentialBuilder()
    .objectId("<user-assigned-managed-identity-object-id>")
    .build();

// Azure SDK client builders accept the credential as a parameter
SecretClient client = new SecretClientBuilder()
    .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
    .credential(credential)
    .buildClient();

Prochaines étapes

Cet article a abordé l’authentification à l’aide d’une identité managée affectée par l’utilisateur. Cette forme d’authentification est l’une des différentes façons dont vous pouvez vous authentifier dans le Azure SDK pour Java. Les articles suivants décrivent d’autres façons de s’authentifier :

• Authentifier les applications Java hébergées sur Azure aux ressources Azure à l’aide d’une identité gérée affectée par le système
• Authentifier les applications Java pour les services Azure pendant le développement local à l’aide de comptes de développeur
• Authentifier les applications Java auprès des services Azure pendant le développement local à l'aide d'entités de service

Si vous rencontrez des problèmes liés à l’authentification d’application hébergée par Azure, consultez Troubleshoot Azure-hosted application authentication.

Une fois l’authentification principale effectuée, consultez Configure de journalisation dans le Azure SDK pour Java pour plus d’informations sur les fonctionnalités de journalisation fournies par le Kit de développement logiciel (SDK).