Partager via

Utiliser un certificat client pour l’authentification dans votre application web Node.js

S’applique à : cercle vert avec un symbole de coche blanc qui indique que le contenu suivant s’applique aux locataires externes. Locataires externes (en savoir plus)

L’ID externe Microsoft Entra prend en charge deux types d’authentification pour les applications clientes confidentielles ; Authentification par mot de passe (par exemple, clé secrète client) et authentification basée sur un certificat. Pour un niveau de sécurité plus élevé, nous vous recommandons d’utiliser un certificat (au lieu d’un secret client) comme informations d’identification dans vos applications clientes confidentielles.

En production, vous devez acheter un certificat signé par une autorité de certification connue, puis utiliser Azure Key Vault pour gérer l’accès aux certificats et la durée de vie. Toutefois, à des fins de test, vous pouvez créer un certificat auto-signé et configurer vos applications pour qu’elles l’utilisent pour l’authentification.

Dans cet article, vous allez apprendre à générer un certificat auto-signé à l’aide d’Azure Key Vault sur le portail Azure, OpenSSL ou PowerShell. Si vous avez déjà une clé secrète client, vous allez apprendre à la supprimer en toute sécurité.

Si nécessaire, vous pouvez également créer un certificat auto-signé par programmation à l’aide de .NET, Node.js, Go, Python ou des bibliothèques clientes Java .

Conditions préalables

Créer un certificat auto-signé

Si vous disposez d’un certificat auto-signé existant sur votre ordinateur local, vous pouvez ignorer cette étape, puis continuer à charger le certificat dans votre inscription d’application.

Vous pouvez utiliser Azure Key Vault pour générer un certificat auto-signé pour votre application. En utilisant Azure Key Vault, vous bénéficiez d’avantages comme l’attribution d’une autorité de certification partenaire et l’automatisation de la permutation des certificats.

Si vous disposez d’un certificat auto-signé existant dans Azure Key Vault et que vous souhaitez l’utiliser sans le télécharger, ignorez cette étape, puis passez à utiliser un certificat auto-signé directement à partir d’Azure Key Vault. Sinon, utilisez les étapes suivantes pour générer votre certificat

  1. Suivez les étapes décrites dans Définir et récupérer un certificat à partir d’Azure Key Vault à l’aide du portail Azure pour créer et télécharger votre certificat.

  2. Après avoir créé votre certificat, téléchargez le fichier .cer et le fichier .pfx tel que ciam-client-app-cert.cer et ciam-client-app-cert.pfx. Le fichier .cer contient la clé publique et correspond à ce que vous chargez dans votre centre d’administration Microsoft Entra.

  3. Dans votre terminal, exécutez la commande suivante pour extraire la clé privée du fichier .pfx . Lorsque vous êtes invité à taper une phrase de passe, appuyez simplement sur Entrée si vous ne souhaitez pas en définir une. Sinon, tapez une phrase secrète de votre choix :

    openssl pkcs12 -in ciam-client-app-cert.pfx -nocerts -out ciam-client-app-cert.key

    Le fichier ciam-client-app-cert.key est ce que vous utilisez dans votre application.

Charger le certificat dans votre inscription d’application

Pour utiliser votre certificat d’application cliente, vous devez associer l’application que vous avez inscrite dans le centre d’administration Microsoft Entra au certificat :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application au moins.

  2. Si vous avez accès à plusieurs locataires, utilisez l’icône Paramètres dans le menu supérieur pour basculer vers votre locataire externe à partir du menu Répertoires + abonnements.

  3. Accédez à Entra ID>enregistrements d'applications.

  4. Dans la liste d’inscriptions d’application, sélectionnez l’application que vous souhaitez associer au certificat, par exemple ciam-client-app.

  5. Sous Gérer, sélectionnez Certificats et secrets.

  6. Sélectionnez Certificats, puis chargez le certificat.

  7. Sélectionnez l’icône Sélectionner un fichier de fichier , puis sélectionnez le certificat que vous souhaitez charger, tel que ciam-client-app-cert.pem ou ciam-client-app-cert.cer ou ciam-client-app-cert.crt.

  8. Pour Description, tapez une description, telle que le certificat d’application cliente CIAM, puis sélectionnez Ajouter pour charger votre certificat. Une fois le certificat téléchargé, l’empreinte, la date de début et la date d'expiration sont affichées.

  9. Enregistrez la valeur de l’empreinte numérique à utiliser ultérieurement lorsque vous configurez votre application cliente.

Si vous avez déjà une clé secrète client en place pour votre application, vous devez la supprimer pour éviter qu’une application malveillante s’approprie l’identité de votre application :

  1. Accédez à l’onglet Secrets client , puis sélectionnez l’icône Supprimer .
  2. Dans la fenêtre contextuelle qui s’affiche, sélectionnez Oui.

Configurer votre application Node.js pour utiliser un certificat

Une fois que vous avez associé votre inscription d’application au certificat, vous devez mettre à jour le code de votre application pour commencer à utiliser le certificat :

  1. Recherchez le fichier qui contient votre objet de configuration MSAL, tel que msalConfig dans authConfig.js, puis mettez-le à jour pour qu’il ressemble au code suivant. Si un secret client est présent, veillez à le supprimer :

    require('dotenv').config();
const fs = require('fs'); //// import the fs module for reading the key file
const crypto = require('crypto');
const TENANT_SUBDOMAIN = process.env.TENANT_SUBDOMAIN || 'Enter_the_Tenant_Subdomain_Here';
const REDIRECT_URI = process.env.REDIRECT_URI || 'http://localhost:3000/auth/redirect';
const POST_LOGOUT_REDIRECT_URI = process.env.POST_LOGOUT_REDIRECT_URI || 'http://localhost:3000';

const privateKeySource = fs.readFileSync('PATH_TO_YOUR_PRIVATE_KEY_FILE')

const privateKeyObject = crypto.createPrivateKey({
    key: privateKeySource,
    passphrase: 'Add_Passphrase_Here',
    format: 'pem'
});

const privateKey = privateKeyObject.export({
    format: 'pem',
    type: 'pkcs8'
});

/**
 * Configuration object to be passed to MSAL instance on creation.
 * For a full list of MSAL Node configuration parameters, visit:
 * https://github.com/AzureAD/microsoft-authentication-library-for-js/blob/dev/lib/msal-node/docs/configuration.md
 */
    const msalConfig = {
        auth: {
            clientId: process.env.CLIENT_ID || 'Enter_the_Application_Id_Here', // 'Application (client) ID' of app registration in Azure portal - this value is a GUID
            authority: process.env.AUTHORITY || `https://${TENANT_SUBDOMAIN}.ciamlogin.com/`, 
            clientCertificate: {
                thumbprint: "YOUR_CERT_THUMBPRINT", // replace with thumbprint obtained during step 2 above
                privateKey: privateKey
            }
        },
        //... Rest of code in the msalConfig object
    };

module.exports = {
    msalConfig,
    REDIRECT_URI,
    POST_LOGOUT_REDIRECT_URI,
    TENANT_SUBDOMAIN
};

    Dans votre code, remplacez les espaces réservés :

    • Add_Passphrase_Here par la phrase secrète que vous avez utilisée pour chiffrer votre clé privée.

    • YOUR_CERT_THUMBPRINT avec la valeur d’empreinte que vous avez enregistrée précédemment.

    • PATH_TO_YOUR_PRIVATE_KEY_FILE par le chemin de votre fichier de clé privée.

    • Enter_the_Application_Id_Here par l’ID d’application (client) de l’application que vous avez enregistrée précédemment.

    • Enter_the_Tenant_Subdomain_Here et remplacez-le par le sous-domaine (locataire) du répertoire. Par exemple, si le domaine principal de votre locataire est contoso.onmicrosoft.com, utilisez contoso. Si vous n’avez pas de nom de locataire, découvrez comment lire les détails de votre locataire.

    Comme nous avons chiffré la clé (nous vous recommandons d’en faire autant), nous devons la déchiffrer avant de la passer à l’objet de configuration MSAL.

    //...
const privateKeyObject = crypto.createPrivateKey({
    key: privateKeySource,
    passphrase: 'Add_Passphrase_Here',
    format: 'pem'
});

const privateKey = privateKeyObject.export({
    format: 'pem',
    type: 'pkcs8'
});
//...

  2. Utilisez les étapes de l’exécution et testez l’application web pour tester votre application.

Utiliser un certificat auto-signé directement à partir d’Azure Key Vault

Vous pouvez utiliser votre certificat existant directement à partir d’Azure Key Vault :

  1. Recherchez le fichier qui contient votre objet de configuration MSAL, par msalConfig exemple dans authConfig.js, puis supprimez la clientSecret propriété :

    const msalConfig = {
    auth: {
        clientId: process.env.CLIENT_ID || 'Enter_the_Application_Id_Here', // 'Application (client) ID' of app registration in Azure portal - this value is a GUID
        authority: process.env.AUTHORITY || `https://${TENANT_SUBDOMAIN}.ciamlogin.com/`, 
    },
    //...
};

  2. Installez Azure CLI, puis sur votre console, tapez la commande suivante pour vous connecter :

    az login --tenant YOUR_TENANT_ID

    Remplacez l’espace réservé YOUR_TENANT_ID par l’ID d’annuaire (locataire) que vous avez copié précédemment.

  3. Dans votre console, tapez la commande suivante pour installer les packages nécessaires :

    npm install --save @azure/identity @azure/keyvault-certificates @azure/keyvault-secrets

  4. Dans votre application cliente, utilisez le code suivant pour générer thumbprint et privateKey.

    const identity = require("@azure/identity");
const keyvaultCert = require("@azure/keyvault-certificates");
const keyvaultSecret = require('@azure/keyvault-secrets');

const KV_URL = process.env["KEY_VAULT_URL"] || "ENTER_YOUR_KEY_VAULT_URL"
const CERTIFICATE_NAME = process.env["CERTIFICATE_NAME"] || "ENTER_THE_NAME_OF_YOUR_CERTIFICATE_ON_KEY_VAULT";

// Initialize Azure SDKs
const credential = new identity.DefaultAzureCredential();
const certClient = new keyvaultCert.CertificateClient(KV_URL, credential);
const secretClient = new keyvaultSecret.SecretClient(KV_URL, credential);

async function getKeyAndThumbprint() {

    // Grab the certificate thumbprint
    const certResponse = await certClient.getCertificate(CERTIFICATE_NAME).catch(err => console.log(err));
    const thumbprint = certResponse.properties.x509Thumbprint.toString('hex')

    // When you upload a certificate to Key Vault, a secret containing your private key is automatically created
    const secretResponse = await secretClient.getSecret(CERTIFICATE_NAME).catch(err => console.log(err));;

    // secretResponse contains both public and private key, but we only need the private key
    const privateKey = secretResponse.value.split('-----BEGIN CERTIFICATE-----\n')[0]
}

getKeyAndThumbprint();

    Dans votre code, remplacez les espaces réservés :

    • ENTER_YOUR_KEY_VAULT_URL par l’URL de votre coffre de clés Azure.

    • ENTER_THE_NAME_OF_YOUR_CERTIFICATE_ON_KEY_VAULT par le nom de votre certificat dans Azure Key Vault.

  5. Utilisez les valeurs de thumbprint et privateKey pour mettre à jour votre configuration :

    let clientCert = {
    thumbprint: thumbprint, 
    privateKey: privateKey,
};

msalConfig.auth.clientCertificate = clientCert; //For this to work, you can't declares your msalConfig using const modifier

  6. Ensuite, instanciez votre client confidentiel, comme indiqué dans la méthode getMsalInstance :

    class AuthProvider {
    //...
    getMsalInstance(msalConfig) {
        return new msal.ConfidentialClientApplication(msalConfig);
    }
    //...
}

  7. Utilisez les étapes de l’exécution et testez l’application web pour tester votre application.

Contenu connexe

Découvrez comment :

  • Last updated on