Authentifier des applications Go hébergées par Azure sur des ressources Azure à l’aide d’une identité managée affectée par le système

L’approche recommandée pour authentifier une application hébergée par Azure auprès d’autres ressources Azure consiste à utiliser une identité managée. Cette approche est prise en charge pour la plupart des services Azure, notamment les applications hébergées sur Azure App Service, Azure Container Apps et les machines virtuelles Azure. Découvrez-en davantage sur les différentes techniques et approches d’authentification sur la page vue d’ensemble de l’authentification . Dans les sections à venir, vous allez apprendre :

Concepts essentiels de l’identité managée
Comment créer une identité managée affectée par le système pour votre application
Comment attribuer des rôles à l’identité managée affectée par le système
Comment s’authentifier à l’aide de l’identité managée affectée par le système à partir de votre code d’application

Concepts essentiels de l’identité managée

Une identité managée permet à votre application de se connecter en toute sécurité à d’autres ressources Azure sans utiliser de clés secrètes ou d’autres secrets d’application. En interne, Azure effectue le suivi de l’identité et des ressources auxquelles il est autorisé à se connecter. Azure utilise ces informations pour obtenir automatiquement des jetons Microsoft Entra pour que l’application lui permette de se connecter à d’autres ressources Azure.

Il existe deux types d’identités managées à prendre en compte lors de la configuration de votre application hébergée :

Les identités managées affectées par le système sont activées directement sur une ressource Azure et sont liées à son cycle de vie. Lorsque la ressource est supprimée, Azure supprime automatiquement l’identité pour vous. Les identités affectées par le système fournissent une approche minimaliste de l’utilisation d’identités managées.
Les identités managées affectées par l’utilisateur sont créées en tant que ressources Azure autonomes et offrent une plus grande flexibilité et des fonctionnalités. Elles sont idéales pour les solutions impliquant plusieurs ressources Azure qui doivent partager les mêmes identités et autorisations. Par exemple, si plusieurs machines virtuelles doivent accéder au même ensemble de ressources Azure, une identité managée affectée par l’utilisateur fournit une réutilisation et une gestion optimisée.

Conseil / Astuce

En savoir plus sur la sélection et la gestion des identités managées affectées par le système et affectées par l’utilisateur dans l’article recommandations sur les meilleures pratiques d’identité managée .

Les sections suivantes décrivent les étapes permettant d’activer et d’utiliser une identité managée affectée par le système pour une application hébergée par Azure. Si vous devez utiliser une identité managée affectée par l’utilisateur, consultez l’article sur les identités managées affectées par l’utilisateur pour plus d’informations.

Activer une identité managée affectée par le système sur la ressource d’hébergement Azure

Pour commencer à utiliser une identité managée affectée par le système avec votre application, activez l’identité sur la ressource Azure hébergeant votre application, telle qu’azure App Service, Azure Container App ou une machine virtuelle Azure.

Vous pouvez activer une identité managée affectée par le système pour une ressource Azure à l’aide du portail Azure ou d’Azure CLI.

portail Azure
Azure CLI

Dans le portail Azure, accédez à la ressource qui héberge votre code d’application, telle qu’une instance Azure App Service ou Azure Container App.
Dans la page Vue d’ensemble de la ressource, développez Paramètres et sélectionnez Identité dans le volet de navigation.
Dans la page Identité , basculez le curseur Étatsur Activé.
Sélectionnez Enregistrer pour appliquer vos modifications.

Les commandes Azure CLI peuvent être exécutées dans le Azure Cloud Shell ou sur une station de travail avec l'Azure CLI installée.

Les commandes Azure CLI utilisées pour activer l’identité managée pour une ressource Azure sont de la forme az <command-group> identity --resource-group <resource-group-name> --name <resource-name>. Les commandes spécifiques pour les services Azure populaires sont indiquées ci-dessous.

Azure App Service :

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <web-app-name>

Machine virtuelle Azure :

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>

Le résultat doit être similaire au suivant :

{
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
  "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
  "type": "SystemAssigned",
  "userAssignedIdentities": null
}

La principalId valeur est l’ID unique de l’identité managée. Conservez une copie de cette sortie, car vous aurez besoin de ces valeurs à l’étape suivante.

Attribuer des rôles à l’identité managée

Ensuite, déterminez les rôles dont votre application a besoin et attribuez ces rôles à l’identité managée. Vous pouvez attribuer des rôles à une identité managée dans les étendues suivantes :

Ressource : les rôles attribués s’appliquent uniquement à cette ressource spécifique.
Groupe de ressources : les rôles attribués s’appliquent à toutes les ressources contenues dans le groupe de ressources.
Abonnement : les rôles attribués s’appliquent à toutes les ressources contenues dans l’abonnement.

L’exemple suivant montre comment attribuer des rôles à l’étendue du groupe de ressources, car de nombreuses applications gèrent toutes leurs ressources Azure associées à l’aide d’un seul groupe de ressources.

portail Azure
Azure CLI

Accédez à la page Vue d’ensemble du groupe de ressources qui contient l’application avec l’identité managée affectée par le système.
Sélectionnez Contrôle d’accès (IAM) dans le volet de navigation gauche.
Dans la page Contrôle d’accès (IAM), sélectionnez + Ajouter dans le menu supérieur, puis choisissez Ajouter une attribution de rôle pour accéder à la page Ajouter une attribution de rôle .
La page Ajouter une attribution de rôle présente un flux de travail à onglets et à plusieurs étapes pour attribuer des rôles à des identités. Sous l’onglet Rôle initial, utilisez la zone de recherche en haut pour localiser le rôle que vous souhaitez affecter à l’identité.
Sélectionnez le rôle dans les résultats, puis choisissez Suivant pour accéder à l’onglet Membres .
Pour l’option Attribuer l’accès à , sélectionnez Identité managée.
Pour l’option Membres , choisissez + Sélectionner des membres pour ouvrir le panneau Sélectionner des identités managées .
Dans le panneau Sélectionner des identités managées , utilisez les listes déroulantes Abonnement et Identité managée pour filtrer les résultats de recherche de vos identités. Utilisez la zone de recherche Sélectionner pour localiser l’identité système que vous avez activée pour la ressource Azure hébergeant votre application.
Sélectionnez l’identité, puis sélectionnez Sélectionner en bas du panneau pour continuer.
Sélectionnez Vérifier + affecter en bas de la page.
Sous l’onglet Révision + affectation finale, sélectionnez Vérifier + affecter pour terminer le flux de travail.

Une identité managée est affectée à un rôle dans Azure à l’aide de la commande az role assignment create :

az role assignment create \
    --assignee "{managedIdentityId}" \
    --role "{roleName}" \
    --scope "{scope}"

Pour obtenir les noms de rôles auxquels un principal de service peut être affecté, utilisez la commande az role definition list :

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Par exemple, pour autoriser l’identité managée avec l’ID de lecture, d’écriture et de suppression de aaaaaaaa-bbbb-cccc-1111-222222222222 l’accès aux conteneurs et données d’objets blob Stockage Azure à tous les comptes de stockage du groupe de ressources msdocs-sdk-auth-example , affectez le principal du service d’application au rôle Contributeur aux données blob de stockage à l’aide de la commande suivante :

az role assignment create \
    --assignee aaaaaaaa-bbbb-cccc-1111-222222222222 \
    --role "Storage Blob Data Contributor" \
    --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-sdk-auth-example"

Pour plus d’informations sur l’attribution d’autorisations au niveau de la ressource ou de l’abonnement à l’aide d’Azure CLI, consultez l’article Affecter des rôles Azure à l’aide d’Azure CLI.

S’authentifier auprès des services Azure à partir de votre application

Le module azidentity fournit différentes informations d’identification – des implémentations de TokenCredential adaptées à la prise en charge de différents scénarios et flux d’authentification Microsoft Entra. Étant donné que l’identité managée n’est pas disponible lors de l’exécution locale, les étapes à suivre illustrent les informations d’identification à utiliser dans quel scénario :

Environnement de développement local : pendant le développement local uniquement, utilisez DefaultAzureCredential pour une chaîne d’informations d’identification préconfigurée et avisée. DefaultAzureCredential découvre les informations d’identification de l’utilisateur à partir de vos outils de développement locaux, comme Azure CLI. Il offre également une flexibilité et une commodité pour les nouvelles tentatives, les temps d’attente pour les réponses et la prise en charge de plusieurs options d’authentification. Consultez l’article s’authentifier auprès des services Azure pendant l’article de développement local pour en savoir plus.
Applications hébergées par Azure : lorsque votre application s’exécute dans Azure, utilisez ManagedIdentityCredential pour découvrir en toute sécurité l’identité managée configurée pour votre application. La spécification de ce type exact d’informations d’identification empêche les autres informations d’identification disponibles d’être récupérées de manière inattendue.

Implémenter le code

Ajoutez le module azidentity .

Dans un terminal de votre choix, accédez au répertoire du projet d’application et exécutez les commandes suivantes :

go get github.com/Azure/azure-sdk-for-go/sdk/azidentity

Les services Azure sont accessibles à l’aide de clients spécialisés à partir des différentes bibliothèques clientes du Kit de développement logiciel (SDK) Azure. Pour tout code Go qui instancie un client du Kit de développement logiciel (SDK) Azure dans votre application, vous devez :

Importez le azidentity package.
Créez une instance de DefaultAzureCredential type.
Transmettez l’instance de type DefaultAzureCredential au constructeur du client Azure SDK.
Définissez la AZURE_TOKEN_CREDENTIALS variable d’environnement à ManagedIdentityCredential pour garantir que DefaultAzureCredential utilise uniquement l'identité managée. Cette pratique rend l’authentification plus prévisible et plus facile à déboguer lors du déploiement sur Azure. Pour plus d’informations, consultez Utiliser des informations d’identification spécifiques.

Vous trouverez un exemple de ces étapes dans le segment de code suivant avec un client Blob Stockage Azure.

import (
	"context"
	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/storage/azblob"
)

const (
	account       = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/"
	containerName = "sample-container"
	blobName      = "sample-blob"
	sampleFile    = "path/to/sample/file"
)

func main() {
	// create a credential
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
	  // TODO: handle error
	}

	// create a client for the specified storage account
	client, err := azblob.NewClient(account, cred, nil)
	if err != nil {
	  // TODO: handle error
	}

	// TODO: perform some action with the azblob Client
	// _, err = client.DownloadFile(context.TODO(), <containerName>, <blobName>, <target_file>, <DownloadFileOptions>)
}

Comme indiqué dans l’article de présentation de l’authentification Azure SDK pour Go , DefaultAzureCredential prend en charge plusieurs méthodes d’authentification et détermine la méthode d’authentification utilisée au moment de l’exécution. L’avantage de cette approche est que votre application peut utiliser différentes méthodes d’authentification dans différents environnements sans implémenter de code spécifique à l’environnement. Lorsque le code précédent est exécuté sur votre station de travail pendant le développement local, DefaultAzureCredential utilise un principal de service d’application, tel que déterminé par les paramètres d’environnement ou les informations d’identification de l’outil développeur pour s’authentifier auprès d’autres ressources Azure. Par conséquent, le même code peut être utilisé pour authentifier votre application auprès des ressources Azure pendant le développement local et lors du déploiement sur Azure.

Important

DefaultAzureCredential simplifie l’authentification lors du développement d’applications qui se déploient sur Azure en combinant les informations d’identification utilisées dans les environnements d’hébergement Azure et les informations d’identification utilisées dans le développement local. En production, il est préférable d’utiliser un type d’informations d’identification spécifique afin que l’authentification soit plus prévisible et plus facile à déboguer.

Une alternative à DefaultAzureCredential est d’utiliser ManagedIdentityCredential. Les étapes d’utilisation ManagedIdentityCredential sont les mêmes que pour l’utilisation du DefaultAzureCredential type.

Vous trouverez un exemple de ces étapes dans le segment de code suivant avec un client Blob Stockage Azure.

import (
	"context"
	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/storage/azblob"
)

const (
                    // Replace placeholder text with your storage account name
	account       = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/"
	containerName = "sample-container"
	blobName      = "sample-blob"
	sampleFile    = "path/to/sample/file"
)

func main() {
	// create a credential
	cred, err := azidentity.NewManagedIdentityCredential(nil)
	
	// When using User Assigned Managed Identity use this instead and pass your client id in the options
	// clientID := azidentity.ClientID("abcd1234-...")
	// opts := azidentity.ManagedIdentityCredentialOptions{ID: clientID}
	// cred, err := azidentity.NewManagedIdentityCredential(&opts)
	
	if err != nil {
	  // TODO: handle error
	}
	
	// create a client for the specified storage account
	client, err := azblob.NewClient(account, cred, nil)
	if err != nil {
	  // TODO: handle error
	}
	
	// TODO: perform some action with the azblob Client
	// _, err = client.DownloadFile(context.TODO(), <containerName>, <blobName>, <target_file>, <DownloadFileOptions>)
}

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-12-04