Affecter à une identité managée l’accès à un rôle d’application à l’aide d’Azure CLI
Les identités managées pour les ressources Azure fournissent aux services Azure une identité dans Microsoft Entra ID. Elles fonctionnent sans avoir besoin d’informations d’identification dans votre code. Les services Azure utilisent cette identité pour s’authentifier sur les services prenant en charge l’authentification Microsoft Entra. Les rôles d’application fournissent une forme de contrôle d’accès en fonction du rôle et permettent à un service d’implémenter des règles d’autorisation.
Notes
Les jetons que votre application reçoit sont mis en cache par l’infrastructure sous-jacente, ce qui signifie que toute modification apportée aux rôles de l’identité managée peut prendre un certain temps. Pour plus d’informations, consultez Limitation de l’utilisation des identités managées pour l’autorisation.
Dans cet article, vous allez apprendre à affecter une identité managée à un rôle d’application exposé par une autre application à l’aide d’Azure CLI.
Prérequis
- Si vous n’êtes pas familiarisé avec les identités managées pour ressources Azure, consultez la section Vue d’ensemble. Veillez à consulter la différence entre les identités managées affectées par le système et celles affectées par l’utilisateur .
Utilisez l’environnement Bash dans Azure Cloud Shell. Pour plus d’informations, consultez Démarrage rapide pour Bash dans Azure Cloud Shell.
Si vous préférez exécuter les commandes de référence de l’interface de ligne de commande localement, installez l’interface Azure CLI. Si vous exécutez sur Windows ou macOS, envisagez d’exécuter Azure CLI dans un conteneur Docker. Pour plus d’informations, consultez Guide pratique pour exécuter Azure CLI dans un conteneur Docker.
Si vous utilisez une installation locale, connectez-vous à Azure CLI à l’aide de la commande az login. Pour finir le processus d’authentification, suivez les étapes affichées dans votre terminal. Pour connaître les autres options de connexion, consultez Se connecter avec Azure CLI.
Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première utilisation. Pour plus d’informations sur les extensions, consultez Utiliser des extensions avec Azure CLI.
Exécutez az version pour rechercher la version et les bibliothèques dépendantes installées. Pour effectuer une mise à niveau vers la dernière version, exécutez az upgrade.
Affecter à une identité managée l’accès au rôle d’application d’une autre application
Activez l’identité managée sur une ressource Azure, telle qu’une machine virtuelle Azure.
Recherchez l’ID d’objet du principal de service de l’identité managée.
Pour une identité managée affectée par le système, vous pouvez rechercher l’ID d’objet dans le portail Azure, dans la page Identité de la ressource. Vous pouvez également utiliser le script suivant pour rechercher l’ID d’objet. Vous aurez besoin de l’ID de ressource de la ressource que vous avez créée à l’étape 1, qui est disponible dans le portail Azure, dans la page Propriétés de la ressource.
resourceIdWithManagedIdentity="/subscriptions/{my subscription ID}/resourceGroups/{my resource group name}/providers/Microsoft.Compute/virtualMachines/{my virtual machine name}" oidForMI=$(az resource show --ids $resourceIdWithManagedIdentity --query "identity.principalId" -o tsv | tr -d '[:space:]') echo "object id for managed identity is: $oidForMI"
Pour une identité managée affectée par l’utilisateur, vous pouvez rechercher l’ID d’objet de l’identité managée dans le portail Azure, dans la page Vue d’ensemble de la ressource. Vous pouvez également utiliser le script suivant pour rechercher l’ID d’objet. Vous aurez besoin de l’ID de ressource de l’identité managée affectée par l’utilisateur.
userManagedIdentityResourceId="/subscriptions/{my subscription ID}/resourceGroups/{my resource group name}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{my managed identity name}" oidForMI=$(az resource show --id $userManagedIdentityResourceId --query "properties.principalId" -o tsv | tr -d '[:space:]') echo "object id for managed identity is: $oidForMI"
Créez une nouvelle inscription d’application pour représenter le service auquel votre identité managée enverra une demande. Si l’API ou le service qui expose l’octroi de rôle d’application à l’identité managée a déjà un principal de service dans votre locataire Microsoft Entra, ignorez cette étape.
Recherchez l’ID d’objet du principal de service de l’application de service. Vous le trouverez en utilisant le portail Azure. Accédez à Microsoft Entra ID et ouvrez la page Applications d’entreprise, puis recherchez l’application et recherchez l’ID d’objet. Vous pouvez également rechercher l’ID d’objet du principal de service par son nom d’affichage à l’aide du script suivant :
appName="{name for your application}" serverSPOID=$(az ad sp list --filter "displayName eq '$appName'" --query '[0].id' -o tsv | tr -d '[:space:]') echo "object id for server service principal is: $serverSPOID"
Notes
Les noms d’affichage des applications ne sont pas uniques et vous devez vérifier que vous obtenez le principal de service de l’application appropriée.
Ou vous pouvez rechercher l’ID d’objet par l’ID d’application unique pour votre inscription d’application :
appID="{application id for your application}" serverSPOID=$(az ad sp list --filter "appId eq '$appID'" --query '[0].id' -o tsv | tr -d '[:space:]') echo "object id for server service principal is: $serverSPOID"
Ajoutez un rôle d’application à l’application que vous avez créée à l’étape 3. Vous pouvez créer ce rôle à l’aide du portail Azure ou de Microsoft Graph. Par exemple, vous pouvez ajouter un rôle d’application comme suit :
{ "allowedMemberTypes": [ "Application" ], "displayName": "Read data from MyApi", "id": "0566419e-bb95-4d9d-a4f8-ed9a0f147fa6", "isEnabled": true, "description": "Allow the application to read data as itself.", "value": "MyApi.Read.All" }
Affectez le rôle d’application à l’identité managée. Vous aurez besoin des informations suivantes pour affecter le rôle d’application :
managedIdentityObjectId
: ID d’objet du principal de service de l’identité managée, que vous avez trouvé à l’étape 2.serverServicePrincipalObjectId
: ID d’objet du principal de service de l’application serveur, que vous avez trouvé à l’étape 4.appRoleId
: ID du rôle d’application exposé par l’application serveur, que vous avez généré à l’étape 5 – dans cet exemple, l’ID du rôle d’application est0566419e-bb95-4d9d-a4f8-ed9a0f147fa6
.
Exécutez le script suivant pour ajouter l’attribution de rôle. Notez que cette fonctionnalité n’est pas directement exposée sur l’Azure CLI, et qu’une commande REST est utilisée ici à la place :
roleguid="0566419e-bb95-4d9d-a4f8-ed9a0f147fa6" az rest -m POST -u https://graph.microsoft.com/v1.0/servicePrincipals/$oidForMI/appRoleAssignments -b "{\"principalId\": \"$oidForMI\", \"resourceId\": \"$serverSPOID\",\"appRoleId\": \"$roleguid\"}"
Étapes suivantes
- Vue d’ensemble de l’identité managée pour les ressources Azure
- Pour activer l’identité managée sur une machine virtuelle Azure, consultez Configurer des identités managées pour ressources Azure sur une machine virtuelle Azure à l’aide de PowerShell.