Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure App Configuration prend en charge l’autorisation des requêtes d’accès aux magasins App Configuration à l’aide de Microsoft Entra ID. Avec Microsoft Entra ID, vous pouvez tirer parti du contrôle d’accès en fonction du rôle Azure (Azure RBAC) pour octroyer des autorisations aux principaux de sécurité, qui peuvent être des principaux d’utilisateur, des identités managées ou des principaux de service.
Présentation
L’accès à un magasin App Configuration à l’aide de Microsoft Entra ID comprend deux étapes :
Authentification : consiste à obtenir un jeton du principal de sécurité auprès de Microsoft Entra ID pour App Configuration. Pour plus d’informations, consultez Authentification Microsoft Entra dans App Configuration.
Autorisation : consiste à passer le jeton dans le cadre d’une requête adressée à un magasin App Configuration. Pour autoriser l’accès au magasin App Configuration spécifié, le principal de sécurité doit se voir attribuer à l’avance les rôles appropriés. Pour plus d’informations, consultez Autorisation Microsoft Entra dans App Configuration.
Rôles Azure intégrés pour Azure App Configuration
Azure fournit les rôles intégrés Azure suivants pour autoriser l’accès aux données App Configuration à l’aide de Microsoft Entra ID :
Accès au plan de données
Les requêtes relatives aux opérations de plan de données sont envoyées au point de terminaison de votre magasin App Configuration. Ces requêtes concernent les données App Configuration.
- Propriétaire des données App Configuration : utilisez ce rôle pour accorder un accès en lecture, écriture et suppression aux données App Configuration. Ce rôle n’accorde pas l’accès à la ressource App Configuration.
- Lecteur des données App Configuration : utilisez ce rôle pour accorder un accès en lecture aux données App Configuration. Ce rôle n’accorde pas l’accès à la ressource App Configuration.
Accès au plan de contrôle
Toutes les requêtes relatives aux opérations de plan de contrôle sont envoyées à l’URL d’Azure Resource Manager. Ces requêtes concernent la ressource App Configuration.
- Contributeur App Configuration : utilisez ce rôle pour gérer uniquement la ressource App Configuration. Ce rôle n’octroie pas d’accès permettant de gérer d’autres ressources Azure. Il accorde l’accès aux clés d’accès de la ressource. Alors que les données d’App Configuration sont accessibles à l’aide de clés d’accès, ce rôle n’accorde pas l’accès aux données avec Microsoft Entra ID. Il octroie l’accès permettant de récupérer les ressources App Configuration supprimées, mais pas de les supprimer définitivement. Pour supprimer définitivement des ressources App Configuration, utilisez le rôle Contributeur.
- Lecteur App Configuration : utilisez ce rôle pour lire uniquement la ressource App Configuration. Ce rôle n’octroie pas d’accès permettant de lire d’autres ressources Azure. Il n’accorde pas l’accès aux clés d’accès de la ressource ni aux données stockées dans App Configuration.
- Contributeur ou Propriétaire : utilisez ce rôle pour gérer la ressource App Configuration ainsi que d’autres ressources Azure. Ce rôle est un rôle d’administrateur privilégié. Il accorde l’accès aux clés d’accès de la ressource. Alors que les données d’App Configuration sont accessibles à l’aide de clés d’accès, ce rôle n’accorde pas l’accès aux données avec Microsoft Entra ID.
- Lecteur : utilisez ce rôle pour lire la ressource App Configuration ainsi que d’autres ressources Azure. Ce rôle n’accorde pas l’accès aux clés d’accès de la ressource ni aux données stockées dans App Configuration.
Remarque
Après l’attribution d’un rôle à une identité, il faut attendre jusqu’à 15 minutes pour que l’autorisation se propage avant d’accéder aux données stockées dans App Configuration en utilisant cette identité.
Authentification à l’aide d’informations d’identification de jeton
Pour permettre à votre application de s’authentifier auprès de Microsoft Entra ID, la bibliothèque Azure Identity prend en charge diverses informations d’identification de jeton dans le cadre de l’authentification Microsoft Entra ID. Par exemple, vous pouvez choisir les informations d’identification Visual Studio quand vous développez votre application dans Visual Studio, les informations d’identification d’identité de charge de travail quand votre application s’exécute sur Kubernetes, ou les informations d’identification d’identité managée quand votre application est déployée dans des services Azure tels qu’Azure Functions.
Utilisez DefaultAzureCredential
DefaultAzureCredential est une chaîne d’informations d’identification de jeton préconfigurée, qui tente automatiquement d’exécuter une séquence ordonnée des méthodes d’authentification les plus courantes. L’utilisation de DefaultAzureCredential vous permet de conserver le même code dans les environnements de développement local et Azure. Toutefois, il est important de savoir quelles sont les informations d’identification utilisées dans chaque environnement, car vous devez octroyer les rôles appropriés pour que l’autorisation fonctionne. Par exemple, autorisez votre propre compte quand vous prévoyez que DefaultAzureCredential va revenir à votre identité d’utilisateur durant le développement local. De même, activez l’identité managée dans Azure Functions, puis attribuez-lui le rôle nécessaire quand vous prévoyez que DefaultAzureCredential va revenir à ManagedIdentityCredential quand votre application de fonction s’exécutera dans Azure.
Attribuer des rôles pour les données App Configuration
Quelles que soient les informations d’identification que vous utilisez, vous devez leur attribuer les rôles appropriés pour permettre l’accès à votre magasin App Configuration. Si votre application a uniquement besoin de lire des données dans votre magasin App Configuration, attribuez-lui le rôle Lecteur de données App Configuration. Si votre application doit également écrire des données dans votre magasin App Configuration, attribuez-lui le rôle Propriétaire des données App Configuration.
Suivez ces étapes pour attribuer des rôles de données App Configuration à vos informations d’identification.
Dans le portail Azure, accédez à votre magasin App Configuration, puis sélectionnez Contrôle d’accès (IAM).
Sélectionnez Ajouter->Ajouter une attribution de rôle.
Si vous n’avez pas l'autorisation d'attribuer des rôles, l’option Ajouter une attribution de rôle sera désactivée. Seuls les utilisateurs disposant des rôles Propriétaire ou Administrateur de l’accès utilisateur peuvent effectuer des attributions de rôles.
Sous l’onglet Rôle, sélectionnez le rôle Lecteur de données App Configuration (ou un autre rôle App Configuration, selon le cas), puis sélectionnez Suivant.
Sous l’onglet Membres, suivez l’Assistant pour sélectionner les informations d’identification auxquelles vous octroyez l’accès, puis sélectionnez Suivant.
Enfin, dans l’onglet Passer en revue + affecter, sélectionnez Passer en revue + affecter pour affecter le rôle.
Configuration d’une audience spécifique au cloud pour l’authentification Entra ID
Lorsque vous utilisez l’ID Entra et les bibliothèques Azure App Configuration suivantes dans des clouds autres que le cloud Azure, Azure Government et Microsoft Azure gérés par 21Vianet, un public d’ID Entra approprié doit être configuré pour activer l’authentification.
L’audience du cloud cible doit être configurée pour les packages suivants.
- Kit de développement logiciel (SDK) Azure pour .NET : Azure.Data.AppConfiguration >= 1.6.0
- Fournisseur de configuration .NET : Microsoft.Extensions.Configuration.AzureAppConfiguration >= 8.2.0
Dans le Kit de développement logiciel (SDK) Azure pour .NET, l’audience est configurée en utilisant les appels d’API suivants :
- Le constructeur ConfigurationClient accepte ConfigurationClientOptions
- ConfigurationClientOptions permet à Audience d’être définie
L’extrait de code suivant montre comment instancier un client de configuration avec un public spécifique au cloud.
var configurationClient = new ConfigurationClient(
myStoreEndpoint,
new DefaultAzureCredential(),
new ConfigurationClientOptions
{
Audience = "{Cloud specific audience here}"
});
Dans le fournisseur de configuration .NET, l’audience est configurée en utilisant les appels d’API suivants :
- AzureAppConfigurationOptions expose une méthode ConfigureClientOptions
L’extrait de code suivant montre comment ajouter le fournisseur Azure App Configuration à une application .NET avec un public spécifique au cloud.
builder.AddAzureAppConfiguration(o =>
{
o.Connect(
myStoreEndpoint,
new DefaultAzureCredential());
o.ConfigureClientOptions(clientOptions => clientOptions.Audience = "{Cloud specific audience here}");
});
Public visé
Pour Azure App Configuration dans le cloud Azure global, utilisez l’audience suivante :
https://appconfig.azure.com
Pour Azure App Configuration dans les clouds nationaux, utilisez l’audience applicable spécifiée dans le tableau ci-dessous :
| Cloud national | Public ciblé |
|---|---|
| Azure Government | https://appconfig.azure.us |
| Microsoft Azure géré par 21Vianet | https://appconfig.azure.cn |
| Bleu | https://appconfig.sovcloud-api.fr |
Étapes suivantes
Découvrez comment utiliser les identités managées pour accéder à votre magasin App Configuration.