S’authentifier dans votre espace de travail à l’aide d’un principal de service
Il n’est pas toujours pertinent d’utiliser l’authentification interactive ni de s’authentifier en tant que compte d’utilisateur, par exemple pour envoyer des travaux à partir d’un service web, d’un autre rôle de travail ou d’un système automatisé. Une option consiste à configurer une identité managé. Une autre option consiste à utiliser un principal de service, comme l’explique cet article.
Prérequis : Création d’un principal de service et d’un secret d’application
Pour pouvoir vous authentifier en tant que principal de service, vous devez commencer par créer un principal de service.
Pour créer un principal du service, attribuer l’accès et générer des informations d’identification, procédez comme suit :
Créer une application Azure AD :
Remarque
Il n’est pas nécessaire de définir un URI de redirection.
- Ensuite, écrivez les valeurs ID d’application (client) et ID de répertoire (locataire).
Créez des informations d’identification pour vous connecter sous l’identité de l’application :
- Dans les paramètres de votre application, sélectionnez Certificats et secrets.
- Sous Clés secrètes client, sélectionnez Créer un secret.
- Indiquez une description et une durée, puis sélectionnez Ajouter.
- Copiez immédiatement la valeur du secret dans un endroit sûr. Vous ne la verrez plus ensuite.
Accordez au principal de service les autorisations nécessaires pour accéder à votre espace de travail :
- Ouvrez le portail Azure.
- Dans la barre de recherche, entrez le nom du groupe de ressources dans lequel vous avez créé votre espace de travail. Sélectionnez le groupe de ressources lorsqu’il apparaît dans les résultats.
- Dans la vue d’ensemble du groupe de ressources, sélectionnez Contrôle d’accès (IAM).
- Sélectionnez Ajouter une attribution de rôle.
- Recherchez, puis sélectionnez le principal de service.
- Attribuez-lui le rôle Contributeur ou Propriétaire.
Remarque
Pour créer une attribution de rôle sur le groupe de ressources ou l’espace de travail, vous devez être un propriétaire ou un administrateur de l’accès utilisateur au niveau de l’attribution de rôle. Si vous ne disposez pas des autorisations nécessaires pour créer le principal de service dans votre abonnement, vous devez demander l’autorisation du propriétaire ou de l’administrateur de l’abonnement Azure.
Si vous disposez d’autorisations uniquement au niveau du groupe de ressources ou de l’espace de travail, vous pouvez essayer de créer le principal de service dans le rôle de contributeur en utilisant :
az ad sp create-for-rbac --role Contributor --scopes /subscriptions/<SUBSCRIPTION-ID>
Authentification comme principal de service
Option 1 : utilisation de variables d’environnement : DefaultAzureCredential comprend les informations d’identification par défaut utilisées lors de la création de l’objet Workspace
et tente plusieurs types d’authentification.
En premier, vous avez EnvironmentCredential. Passez les informations d’identification du principal de service par le biais des variables d’environnement suivantes :
- AZURE_TENANT_ID : ID du locataire du principal de service. Également appelé ID d’annuaire.
- AZURE_CLIENT_ID : ID client du principal de service.
- AZURE_CLIENT_SECRET : l’un des secrets client du principal de service.
Option 2 : utilisation de ClientSecretCredential : passez ClientSecretCredential pendant l’instanciation de l’objet Workspace
ou définissez la propriété credentials
.
from azure.identity import ClientSecretCredential
tenant_id = os.environ["AZURE_TENANT_ID"]
client_id = os.environ["AZURE_CLIENT_ID"]
client_secret = os.environ["AZURE_CLIENT_SECRET"]
credential = ClientSecretCredential(tenant_id=tenant_id, client_id=client_id, client_secret=client_secret)
workspace.credentials = credential
Remarque
La méthode workspace.login()
a été dépréciée et n’est plus nécessaire. Lors du premier appel au service, une authentification est tentée à l’aide des informations d’identification passées dans le constructeur Workspace
ou sa propriété credentials
. En l’absence d’informations d’identification passées, plusieurs méthodes d’authentification sont tentées par DefaultAzureCredential.