Migrer une application pour utiliser des connexions sans mot de passe avec le service Stockage Blob Azure

Les demandes d’application adressées aux services Azure doivent être authentifiées à l’aide de configurations telles que des clés d’accès de compte ou de connexions sans mot de passe. Toutefois, vous devez hiérarchiser les connexions sans mot de passe dans vos applications lorsque cela est possible. Les méthodes d’authentification traditionnelles qui utilisent des mots de passe ou des clés secrètes créent des risques et des complications de sécurité. Visitez le hub de connexions sans mot de passe pour Azure Services pour découvrir l’avantage des connexions sans mot de passe.

Le tutoriel suivant explique comment migrer une application existante pour se connecter et utiliser des connexions sans mot de passe. Ces mêmes étapes de migration doivent s’appliquer, que vous utilisiez des clés d’accès, des chaînes de connexion ou une autre approche basée sur des secrets.

Configurer des rôles et des utilisateurs pour l’authentification de développement local

Lors du développement local, assurez-vous que le compte d’utilisateur qui accède aux données blob dispose des autorisations appropriées. Vous aurez besoin du Contributeur aux données Blob de stockage pour lire et écrire des données blob. Pour vous attribuer ce rôle, vous aurez besoin du rôle Administrateur de l’accès utilisateur ou d’un autre rôle qui inclut l’action Microsoft.Authorization/roleAssignments/write. Vous pouvez attribuer des rôles RBAC Azure à un utilisateur à l’aide du Portail Azure, Azure CLI ou Azure PowerShell. Vous pouvez en savoir plus sur les étendues disponibles pour les attributions de rôles dans la page vue d’ensemble de l’étendue .

Dans ce scénario, vous allez attribuer des autorisations à votre compte d’utilisateur, étendues au compte de stockage, pour suivre le Principe des privilèges minimum. Cette pratique offre aux utilisateurs uniquement les autorisations minimales nécessaires et crée des environnements de production plus sécurisés.

L’exemple suivant affecte le rôle Contributeur aux données Blob du stockage à votre compte d’utilisateur, qui fournit à la fois un accès en lecture et en écriture aux données d’objet blob dans votre compte de stockage.

Important

Dans la plupart des cas, la propagation de l’attribution de rôle dans Azure peut prendre une ou deux minutes, mais dans de rares cas, cela peut prendre jusqu’à huit minutes. Si vous recevez des erreurs d’authentification lorsque vous exécutez votre code pour la première fois, patientez quelques instants et réessayez.

Azure portal

1. Dans le Portail Azure, recherchez votre compte de stockage à l’aide de la barre de recherche principale ou de la navigation gauche.

2. Dans la page vue d’ensemble du compte de stockage, sélectionnez Contrôle d’accès (IAM) dans le menu de gauche.

3. Sur la page Contrôle d’accès (IAM), sélectionnez l’onglet Attributions de rôles.

4. Sélectionnez + Ajouter dans le menu supérieur, puis Ajouter une attribution de rôle dans le menu déroulant résultant.

   

5. Utilisez la zone de recherche pour filtrer les résultats sur le rôle souhaité. Pour cet exemple, recherchez Contributeur aux données Blob du stockage, sélectionnez le résultat correspondant, puis choisissez Suivant.

6. Sous Attribuer l’accès à, sélectionnez Utilisateur, groupe ou principal de service, puis sélectionnez + Sélectionner des membres.

7. Dans la boîte de dialogue, recherchez votre nom d’utilisateur Microsoft Entra (généralement votre adresse e-mail utilisateur@domaine), puis choisissez Sélectionner en bas de la boîte de dialogue.

8. Sélectionnez Vérifier + affecter pour accéder à la page finale, puis Vérifier + attribuer à nouveau pour terminer le processus.

Azure CLI

Pour attribuer un rôle au niveau de la ressource à l’aide d’Azure CLI, vous devez d’abord récupérer l’ID de ressource à l’aide de la commande az storage account show. Vous pouvez filtrer les propriétés de sortie à l’aide du paramètre --query.

az storage account show --resource-group '<your-resource-group-name>' --name '<your-storage-account-name>' --query id

Copiez la sortie Id de la commande précédente. Vous pouvez ensuite attribuer des rôles à l’aide de la commande az role de l’interface de ligne de commande Azure.

az role assignment create --assignee "<user@domain>" \
    --role "Storage Blob Data Contributor" \
    --scope "<your-resource-id>"

PowerShell

Pour attribuer un rôle au niveau de la ressource à l’aide d’Azure PowerShell, vous devez d’abord récupérer l’ID de ressource à l’aide de la commande Get-AzResource.

Get-AzResource -ResourceGroupName "<yourResourceGroupname>" -Name "<yourStorageAccountName>"

Copiez la valeur Id de la sortie de commande précédente. Vous pouvez ensuite attribuer des rôles à l’aide de la commande New-AzRoleAssignment dans PowerShell.

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope <yourStorageAccountId>

Connectez-vous et migrez le code de l’application pour utiliser des connexions sans mot de passe

Pour le développement local, vérifiez que vous êtes authentifié avec le même compte Microsoft Entra auquel vous avez attribué le rôle. Vous pouvez vous authentifier au moyen d’outils de développement populaires, comme Azure CLI ou Azure PowerShell. Les outils de développement avec lesquels vous pouvez vous authentifier dépendent de la langue.

Azure CLI

Connectez-vous à Azure via Azure CLI à l’aide de la commande suivante :

az login

Visual Studio

Sélectionnez le bouton Se connecter en haut à droite de Visual Studio.

Connectez-vous à l’aide du compte Microsoft Entra auquel vous avez attribué un rôle précédemment.

Visual Studio Code

Vous devez installer l’interface Azure CLI pour l’utiliser DefaultAzureCredential dans Visual Studio Code.

Dans le menu principal de Visual Studio Code, accédez au Terminal > Nouveau terminal.

Connectez-vous à Azure via Azure CLI à l’aide de la commande suivante :

az login

PowerShell

Connectez-vous à Azure à l’aide de PowerShell via la commande suivante :

Connect-AzAccount

Ensuite, mettez à jour votre code pour utiliser des connexions sans mot de passe.

.NET

1. Pour utiliser DefaultAzureCredential dans une application .NET, installez le Azure.Identity package :

   dotnet add package Azure.Identity
   

2. Ajoutez le code suivant en haut de votre fichier :

   using Azure.Identity;
   

3. Identifiez les emplacements de votre code qui créent une instance BlobServiceClient pour la connexion au Stockage Blob Azure. Mettez à jour votre code pour le faire correspondre à l’exemple suivant :

   DefaultAzureCredential credential = new();
   
   BlobServiceClient blobServiceClient = new(
       new Uri($"https://{storageAccountName}.blob.core.windows.net"),
       credential);
   

Go

1. Pour utiliser DefaultAzureCredential dans une application Go, installez le module azidentity :

   go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity
   

2. Ajoutez le code suivant en haut de votre fichier :

   import (
       "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
   )
   

3. Identifiez les emplacements de votre code qui créent une instance Client pour la connexion au Stockage Blob Azure. Mettez à jour votre code pour le faire correspondre à l’exemple suivant :

   cred, err := azidentity.NewDefaultAzureCredential(nil)
   if err != nil {
       // handle error
   }
   
   serviceURL := fmt.Sprintf("https://%s.blob.core.windows.net", storageAccountName)
   client, err := azblob.NewClient(serviceURL, cred, nil)
   if err != nil {
       // handle error
   }
   

Java

1. Pour utiliser DefaultAzureCredential dans une application Java, installez le package à l’aide azure-identity de l’une des approches suivantes :

   1. Inclure le fichier de nomenclature.
   2. Inclure une dépendance directe.

2. Ajoutez le code suivant en haut de votre fichier :

   import com.azure.identity.DefaultAzureCredentialBuilder;
   

3. Identifiez les emplacements de votre code qui créent un objet BlobServiceClient pour la connexion au Stockage Blob Azure. Mettez à jour votre code pour le faire correspondre à l’exemple suivant :

   DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
       .build();
   String endpoint = 
       String.format("https://%s.blob.core.windows.net", storageAccountName);
   
   BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
       .endpoint(endpoint)
       .credential(credential)
       .buildClient();
   

Node.JS

1. Pour utiliser DefaultAzureCredential dans une application Node.js, installez le package @azure/identity :

   npm install --save @azure/identity
   

2. Ajoutez le code suivant en haut de votre fichier :

   import { DefaultAzureCredential } from "@azure/identity";
   

3. Identifiez les emplacements de votre code qui créent un objet BlobServiceClient pour la connexion au Stockage Blob Azure. Mettez à jour votre code pour le faire correspondre à l’exemple suivant :

   const credential = new DefaultAzureCredential();
   
   const blobServiceClient = new BlobServiceClient(
     `https://${storageAccountName}.blob.core.windows.net`,
     credential
   );    
   

Python

1. Pour utiliser DefaultAzureCredential dans une application Python, installez le package azure-identity :

   pip install azure-identity
   

2. Ajoutez le code suivant en haut de votre fichier :

   from azure.identity import DefaultAzureCredential
   

3. Identifiez les emplacements de votre code qui créent un objet BlobServiceClient pour la connexion au Stockage Blob Azure. Mettez à jour votre code pour le faire correspondre à l’exemple suivant :

   credential = DefaultAzureCredential()
   
   blob_service_client = BlobServiceClient(
       account_url = "https://%s.blob.core.windows.net" % storage_account_name,
       credential = credential
   )
   

4. Veillez à mettre à jour le nom du compte de stockage dans l’URI de votre BlobServiceClient. Vous trouverez le nom du compte de stockage dans la page de vue d’ensemble du portail Azure.

   

Exécutez l’application localement.

Après avoir apporté ces modifications de code, exécutez votre application localement. La nouvelle configuration doit récupérer vos informations d’identification locales, telles qu’Azure CLI, Visual Studio ou IntelliJ. Les rôles que vous avez attribués à votre utilisateur de développement local dans Azure permettent à votre application de se connecter au service Azure localement.

Configurer l’environnement d’hébergement Azure

Une fois que votre application est configurée pour utiliser des connexions sans mot de passe et s’exécute localement, le même code peut s’authentifier auprès des services Azure après son déploiement sur Azure. Les sections suivantes expliquent comment configurer une application déployée pour se connecter à Stockage Blob Azure à l’aide d’une identité managée.

Créer l’identité managée

Vous pouvez créer une identité managée affectée par l’utilisateur à l’aide du Portail Azure ou d’Azure CLI. Votre application utilise l’identité pour s’authentifier auprès d’autres services.

Azure portal

1. À partir du Portail Azure, recherchez Identités managées. Sélectionnez le résultat Identités managées.
2. Sélectionnez + Créer en haut de la page de présentation des Identités managées.
3. Sous l’onglet Informations de base, entrez les valeurs suivantes :
   • Abonnement : sélectionnez l’option souhaitée.
   • Groupe de ressources : sélectionnez votre groupe de ressources souhaité.
   • Région : sélectionnez une région proche de votre emplacement.
   • Nom : entrez un nom reconnaissable pour votre identité, par exemple MigrationIdentity.
4. Au bas de la page, sélectionnez Examiner et créer.
5. Une fois les vérifications de validation terminées, sélectionnez Créer. Azure crée une identité affectée par l’utilisateur.

Une fois la ressource créée, sélectionnez Accéder à la ressource pour afficher les détails de l’identité managée.

Azure CLI

Pour créer une identité managée affectée par l’utilisateur, utilisez la commande az identity create :

az identity create --name MigrationIdentity --resource-group <your-resource-group>

Associer l’identité managée à votre application web

Vous devez configurer votre application web pour utiliser l’identité managée créée. Attribuez l’identité à votre application à l’aide du Portail Azure ou d’Azure CLI.

Azure portal

Effectuez les étapes suivantes dans le Portail Azure pour associer une identité à votre application. Ces mêmes étapes s’appliquent aux services Azure suivants :

• Azure Spring Apps
• Azure Container Apps
• Machines virtuelles Azure
• Azure Kubernetes Service

1. Accédez à la page de présentation de votre application web front-end.

2. Sélectionnez Identité dans la barre de navigation de gauche.

3. Dans la page Identité, basculez vers l’onglet Utilisateur affecté.

4. Sélectionnez + Ajouter pour ouvrir le menu volant Ajouter une identité managée affectée par l’utilisateur.

5. Sélectionnez l’abonnement utilisé précédemment pour créer l’identité.

6. Recherchez MigrationIdentity par nom et sélectionnez-le dans les résultats de la recherche.

7. Sélectionnez Ajouter pour associer l’identité à votre application.

   

Azure CLI

Utilisez les commandes Azure CLI suivantes pour associer une identité à votre application :

Récupérez l’ID de l’identité managée que vous avez créée à l’aide de la commande az identity show. Copiez la valeur de sortie pour l’utiliser à l’étape suivante.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Azure App Service

Vous pouvez affecter une identité managée à une instance Azure App Service avec la commande az webapp identity assign.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name>
    --identities <managed-identity-id>

Azure Spring Apps

Vous pouvez affecter une identité managée à une instance Azure Spring Apps avec la commande az spring app identity assign.

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name>
    --user-assigned <managed-identity-id>

Azure Container Apps

Vous pouvez affecter une identité managée à une machine virtuelle à l’aide de la commande az containerapp identity assign.

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name>
    --user-assigned <managed-identity-id>

Machines virtuelles Azure

Vous pouvez affecter une identité managée à une machine virtuelle avec la commande az vm identity assign.

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>
    --identities <managed-identity-id>

Azure Kubernetes Service

Vous pouvez affecter une identité managée à une instance Azure Kubernetes Service (AKS) avec la commande az aks update.

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Connecteur de service

Vous pouvez utiliser un connecteur de services pour créer une connexion entre un environnement d’hébergement de calcul Azure et un service cible à l’aide d’Azure CLI. Les commandes CLI Service Connector attribuent automatiquement le rôle approprié à votre identité. Vous pouvez en savoir plus sur Service Connector et les scénarios pris en charge sur la page de vue d’ensemble.

1. Récupérez l’ID client de l’identité managée que vous avez créée à l’aide de la commande az identity show. Copiez la valeur en vue d'une utilisation ultérieure.

   az identity show --name MigrationIdentity --resource-group <your-resource-group> --query clientId
   

2. Utilisez la commande CLI appropriée pour établir la connexion de service :

   Azure App Service

   Si vous utilisez une Azure App Service, utilisez la commande az webapp connection :

   az webapp connection create storage-blob \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Spring Apps

   Si vous utilisez Azure Spring Apps, utilisez la commande az spring-cloud connection :

   az spring-cloud connection create storage-blob \
       --resource-group <resource-group-name> \
       --service <service-instance-name> \
       --app <app-name> \
       --deployment <deployment-name> \
       --target-resource-group <target-resource-group> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Container Apps

   Si vous utilisez Azure Container Apps, utilisez la commande az containerapp connection :

   az containerapp connection create storage-blob \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

Attribuer des rôles à l’identité managée

Ensuite, vous devez accorder des autorisations à l’identité managée que vous avez créée pour accéder à votre compte de stockage. Accordez des autorisations en affectant un rôle à l’identité managée, comme vous l’avez fait avec votre utilisateur de développement local.

Azure portal

1. Accédez à la page vue d’ensemble de votre compte de stockage et sélectionnez Access Control (IAM) dans la navigation de gauche.

2. Choisissez Ajouter une attribution de rôle

   

3. Dans la zone de recherche de Rôle, recherchez le Contributeur de données blob de stockage, qui est un rôle commun utilisé pour gérer les opérations de données pour les objets blob. Vous pouvez attribuer le rôle approprié pour votre cas d’usage. Sélectionnez le contributeur de données blob de stockage dans la liste, puis choisissez Suivant.

4. Sur l’écran Ajouter une attribution de rôle, pour l’option Attribuer l’accès à l’option , sélectionnez Identité managée. Choisissez ensuite +Sélectionner des membres.

5. Dans le menu volant, recherchez l’identité managée que vous avez créée par nom, puis sélectionnez-la dans les résultats. Choisissez Sélectionner pour fermer le menu volant.

   

6. Sélectionnez Suivant quelques fois jusqu’à ce que vous puissiez sélectionner Vérifier + attribuer pour terminer l’attribution de rôle.

Azure CLI

Pour affecter un rôle au niveau de la ressource à l’aide d’Azure CLI, vous devez d’abord récupérer l’ID de ressource à l’aide de la commande show az storage account. Vous pouvez filtrer les propriétés de sortie à l’aide du paramètre --query.

az storage account show \
    --resource-group '<your-resource-group-name>' \
    --name '<your-storage-account-name>' \
    --query id

Copiez l’ID de sortie à partir de la commande précédente. Vous pouvez ensuite attribuer des rôles à l’aide de la commande az role assignment d’Azure CLI.

az role assignment create \
    --assignee "<your-username>" \
    --role "Storage Blob Data Contributor" \
    --scope "<your-resource-id>"

Connecteur de service

Si vous avez connecté vos services à l’aide de Service Connector, vous n’avez pas besoin d’effectuer cette étape. Les configurations de rôle nécessaires ont été traitées pour vous lorsque vous avez exécuté les commandes CLI de Service Connector.

Mettre à jour le code d’application

Vous devez configurer votre code d’application pour rechercher l’identité managée spécifique créée lors du déploiement sur Azure. Dans certains scénarios, la définition explicite de l’identité managée pour l’application empêche également d’autres identités d’environnement d’être détectées et utilisées automatiquement par accident.

1. Dans la page de présentation de l’identité managée, copiez la valeur de l’ID client dans votre Presse-papiers.

2. Appliquez les modifications spécifiques au langage suivantes :

   .NET

   Créez un objet DefaultAzureCredentialOptions et transmettez-le à DefaultAzureCredential. Définissez la propriété ManagedIdentityClientId sur l’ID client.

   DefaultAzureCredential credential = new(
       new DefaultAzureCredentialOptions
       {
           ManagedIdentityClientId = managedIdentityClientId
       });
   

   Go

   Définissez la variable d’environnement AZURE_CLIENT_ID sur l’ID client de l’identité managée. DefaultAzureCredential lit cette variable d’environnement.

   Java

   Appelez la méthode managedIdentityClientId. Transmettez-lui l’ID client.

   DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
       .managedIdentityClientId(managedIdentityClientId)
       .build();
   

   Node.JS

   Créez un objet DefaultAzureCredentialClientIdOptions avec sa propriété managedIdentityClientId définie sur l’ID client. Transmettez cet objet au constructeur DefaultAzureCredential.

   const credential = new DefaultAzureCredential({
     managedIdentityClientId
   });
   

   Python

   Définissez le paramètre managed_identity_client_id du constructeur DefaultAzureCredential sur l’ID client.

   credential = DefaultAzureCredential(
       managed_identity_client_id = managed_identity_client_id
   )
   

3. Redéployez votre code vers Azure après avoir apporté cette modification afin que les mises à jour de configuration soient appliquées.

Tester l’application

Après avoir déployé le code mis à jour, naviguez vers votre application hébergée dans le navigateur. Votre application doit être en mesure de se connecter au compte de stockage avec succès. N’oubliez pas qu’il peut falloir plusieurs minutes pour que les attributions de rôle se propagent dans l’environnement Azure. Votre application est désormais configurée pour s’exécuter localement et dans un environnement de production sans que les développeurs n’aient à gérer les secrets dans l’application elle-même.

Étapes suivantes

Dans ce didacticiel, vous avez appris à migrer une application vers des connexions sans mot de passe.

Vous pouvez lire les ressources suivantes pour explorer les concepts abordés dans cet article plus en détails :

• Autoriser l’accès aux objets blob à l’aide Microsoft Entra ID
• Pour en savoir plus sur .NET Core, consultez Prise en main de .NET en 10 minutes.