Activer l’authentification et l’autorisation dans Azure Container Apps avec Microsoft Entra ID

Cet article explique comment configurer l’authentification pour Azure Container Apps afin que votre application utilise la Plateforme d’identités Microsoft comme fournisseur d’authentification pour la connexion des utilisateurs.

La fonctionnalité d’authentification Container Apps peut créer automatiquement une inscription d’application avec la plateforme d’identités Microsoft. Vous pouvez également utiliser une inscription créée séparément par vous-même ou par un administrateur de répertoire.

• Créer une inscription d’application automatiquement
• Utiliser une inscription existante créée séparément

Option 1 : Créer une inscription d’application automatiquement

Cette option est conçue pour simplifier l’authentification et ne nécessite que quelques étapes.

1. Connectez-vous au Portail Azure et accédez à votre application.

2. Sélectionnez Authentification dans le menu de gauche. Sélectionnez Ajouter un fournisseur d’identité.

3. Sélectionnez Microsoft dans la liste déroulante de fournisseurs d’identité. L’option permettant de créer une nouvelle inscription est sélectionnée par défaut. Vous pouvez modifier le nom de l’inscription ou les types de comptes pris en charge.

   Une clé secrète client est créée et stockée en tant que clé secrète dans l’application conteneur.

4. Si vous configurez le premier fournisseur d’identité pour cette application, vous êtes invité à utiliser une section Paramètres d’authentification Container Apps. Sinon, passez à l’étape suivante.

   Ces options déterminent la manière dont votre application répond aux requêtes non authentifiées, et les sélections par défaut redirigent toutes les requêtes de connexion à l’aide de ce nouveau fournisseur. Vous pouvez personnaliser ce comportement maintenant ou ajuster ces paramètres ultérieurement à partir de l’écran principal Authentification en choisissant Modifier en regard de Paramètres d’authentification. Pour en savoir plus sur ces options, consultez Flux d’authentification.

5. (Facultatif) Sélectionnez Suivant : Autorisations et ajoutez les étendues nécessaires à l’application. Celles-ci sont ajoutées à l’inscription de l’application, mais vous pouvez également les modifier ultérieurement.

6. Sélectionnez Ajouter.

Vous êtes maintenant prêt à utiliser la plateforme d’identités Microsoft pour l’authentification dans votre application. Le fournisseur est répertorié sur l’écran Authentification. À partir de là, vous pouvez modifier ou supprimer cette configuration de fournisseur.

Option 2 : Utiliser une inscription existante créée séparément

Vous pouvez également inscrire manuellement votre application pour la plateforme d’identités Microsoft, personnaliser l’inscription et configurer l’authentification Container Apps avec les détails de l’inscription. Cette approche est utile lorsque vous souhaitez utiliser une inscription d’application à partir d’un autre locataire Microsoft Entra que celui dans lequel votre application est définie.

Créer une inscription d’application dans Microsoft Entra ID pour votre application conteneur

Tout d’abord, créez votre inscription d’application. Au cours de cette opération, recueillez les informations suivantes, car vous en aurez besoin plus tard pour configurer l’authentification dans l’application conteneur :

• ID client
• ID client
• Clé secrète client (facultative)
• URI d’ID d’application

Pour inscrire l’application, effectuez les étapes suivantes :

1. Connectez-vous au Portail Azure, recherchez et sélectionnez Container Apps, puis sélectionnez votre application. Notez l’URL de votre application. Utilisez-les pour configurer l’inscription de votre application Microsoft Entra.

2. Dans le menu du portail, sélectionnez Microsoft Entra ID, accédez à l’onglet Inscriptions d’applications, puis sélectionnez Nouvelle inscription.

3. Sur la page Inscrire une application, entrez un Nom pour votre inscription d'application.

4. Sous URI de redirection, sélectionnez Web, puis entrez <app-url>/.auth/login/aad/callback. Par exemple : https://<hostname>.azurecontainerapps.io/.auth/login/aad/callback.

5. Sélectionnez Inscription.

6. Une fois l’inscription d’application créée, copiez l’ID de l’application (client) et l’ID de l’annuaire (locataire) pour plus tard.

7. Sélectionnez Authentification. Sous Octroi implicite et flux hybrides, activez Jetons d’ID pour autoriser les connexions utilisateur OpenID Connect à partir de Container Apps. Sélectionnez Enregistrer.

8. (Facultatif) Sélectionnez Personnalisation. Dans URL de la page d’accueil, entrez l’URL de votre application conteneur, puis sélectionnez Enregistrer.

9. Sélectionnez Exposer une API , puis sélectionnez Définir en regard de URI d’ID d’application. La valeur d’ID identifie de façon unique votre application lorsqu’elle est utilisée comme ressource, ce qui permet aux jetons demandés d’accorder l’accès. Cette valeur est également utilisée comme préfixe pour les étendues que vous créez.

   Pour une application à locataire unique, vous pouvez utiliser la valeur par défaut, qui se présente sous la forme api://<application-client-id>. Vous pouvez également spécifier un URI plus lisible comme https://contoso.com/api basé sur l’un des domaines vérifiés pour votre locataire. Pour une application mutualisée, vous devez fournir un URI personnalisé. Pour en savoir plus sur les formats acceptés pour les URI ID d’application, consultez les informations de référence sur les recommandations relatives aux inscriptions d’applications.

   La valeur est enregistrée automatiquement.

10. Sélectionnez Ajouter une étendue.

    1. Dans Ajouter une étendue, l’URI d’ID d’application est la valeur que vous avez définie à l’étape précédente. Sélectionnez Enregistrer et continuer.
    2. Dans Nom de l’étendue, entrez user_impersonation.
    3. Dans les zones de texte, entrez le nom et la description de l’étendue de consentement que vous voulez que les utilisateurs voient dans la page de consentement. Par exemple, entrez Accéder à <nom-application> .
    4. Sélectionnez Ajouter une étendue.

11. (Facultatif) Pour créer une clé secrète client, sélectionnez Certificats et secrets>Clés secrètes client>Nouvelle clé secrète client. Entrez une description et une expiration, puis sélectionnez Ajouter. Copiez la valeur de clé secrète client affichée sur la page, car le site ne l’affichera plus par la suite.

12. (Facultatif) Pour ajouter plusieurs URL de réponse, sélectionnez Authentification.

Activer Microsoft Entra ID dans votre application conteneur

1. Connectez-vous au Portail Azure et accédez à votre application.

2. Sélectionnez Authentification dans le menu de gauche. Sélectionnez Ajouter un fournisseur d’identité.

3. Sélectionnez Microsoft dans la liste déroulante de fournisseurs d’identité.

4. Pour le Type d’inscription de l’application, vous pouvez choisir de Choisir une inscription d’application existante dans ce répertoire, ce qui regroupe automatiquement les informations d’application nécessaires. Si votre inscription provient d’un autre locataire ou si vous n’avez pas l’autorisation d’afficher l’objet d’inscription, choisissez Fournir les détails d’une inscription d’application existante. Pour cette option, vous devez renseigner les détails de configuration suivants :

   Champ	Description
   ID d’application (client)	Utilisez l'ID d’application (client) de l’inscription de l’application.
   Clé secrète client	Utilisez la clé secrète client que vous avez générée lors de l’inscription de l’application. Avec une clé secrète client, le flux hybride est utilisé et l’application retourne les jetons d’accès et d’actualisation. Lorsque la clé secrète client n’est pas définie, le flux implicite est utilisé et seul un jeton d’ID est retourné. Le fournisseur envoie les jetons et ils sont stockés dans le magasin de jetons EasyAuth.
   URL de l’émetteur	Utilisez <authentication-endpoint>/<TENANT-ID>/v2.0, puis remplacez <authentication-endpoint> par le point de terminaison d’authentification pour votre environnement cloud (par exemple, « https://login.microsoftonline.com" » pour Azure global), puis <TENANT-ID> par l’ID du répertoire (locataire) dans lequel l’inscription de l’application a été créée. Cette valeur sert à rediriger les utilisateurs vers le bon locataire Microsoft Entra, et à télécharger les métadonnées appropriées pour déterminer les clés de signature de jetons et la valeur de revendication de l’émetteur de jeton qui conviennent, par exemple. Pour les applications qui utilisent Azure AD v1, omettez /v2.0 dans l’URL.
   Audiences de jeton autorisées	L’ID d’application client configuré est toujours implicitement considéré comme une audience autorisée. Si cette valeur fait également référence à une application cloud ou serveur et que vous souhaitez accepter des jetons d’authentification à partir d’une application conteneur cliente (le jeton d’authentification peut être récupéré dans l'en-tête X-MS-TOKEN-AAD-ID-TOKEN), ajoutez ici l'ID d’application (client) de l’application cliente.

   La clé secrète client est stockée en tant que secrets dans votre application conteneur.

5. S’il s’agit du premier fournisseur d’identité configuré pour l’application, vous êtes également invité à fournir une section Paramètres d’authentification Container Apps. Sinon, passez à l’étape suivante.

   Ces options déterminent la manière dont votre application répond aux requêtes non authentifiées, et les sélections par défaut redirigent toutes les requêtes de connexion à l’aide de ce nouveau fournisseur. Vous pouvez modifier ce comportement maintenant ou ajuster ces paramètres ultérieurement à partir de l’écran principal Authentification en choisissant Modifier en regard de Paramètres d’authentification. Pour en savoir plus sur ces options, consultez Flux d’authentification.

6. Sélectionnez Ajouter.

Vous êtes maintenant prêt à utiliser la plateforme d’identités Microsoft pour l’authentification dans votre application. Le fournisseur est répertorié sur l’écran Authentification. À partir de là, vous pouvez modifier ou supprimer cette configuration de fournisseur.

Configurer des applications clientes pour qu’elles accèdent à votre application conteneur

Dans la section précédente, vous avez inscrit votre application conteneur pour authentifier les utilisateurs. Dans cette section, vous inscrivez des applications clientes ou démon natives. Elles peuvent ensuite demander l’accès aux API exposées par votre application conteneur pour le compte des utilisateurs ou pour eux-mêmes. Il n’est pas nécessaire d’effectuer les étapes de cette section si vous souhaitez uniquement authentifier les utilisateurs.

Application cliente native

Vous pouvez inscrire des clients natifs afin qu’ils puissent demander l’accès aux API de votre application conteneur pour le compte d’un utilisateur connecté.

1. Dans le Portail Azure, sélectionnez Microsoft Entra ID>Ajouter>Inscriptions d’applications.

2. Sur la page Inscrire une application, entrez un Nom pour votre inscription d'application.

3. Dans URI de redirection, sélectionnez Client public (mobile et bureau) et entrez l’URL <app-url>/.auth/login/aad/callback. Par exemple, https://<hostname>.azurecontainerapps.io/.auth/login/aad/callback

   Remarque

   Pour une application Microsoft Store, utilisez plutôt le SID de package en guise d’URI.

4. Sélectionnez Créer.

5. Une fois l’inscription d’application créée, copiez la valeur de l’ID d’application (client) .

6. Sélectionnez Autorisations des API>Ajouter une autorisation>Mes API.

7. Sélectionnez l’inscription d'application que vous avez créée précédemment pour votre application conteneur. Si celle-ci n’apparaît pas, vérifiez que vous avez ajouté l’étendue user_impersonation dans Créer une inscription d’application dans Microsoft Entra ID pour votre application conteneur.

8. Sous Autorisations déléguées, sélectionnez user_impersonation, puis Ajouter des autorisations.

Dans cette section, vous avez configuré une application cliente native qui peut demander l’accès à votre application conteneur pour le compte d’un utilisateur.

Application cliente démon (appels de service à service)

Votre application peut acquérir un jeton pour appeler une API web hébergée dans votre application conteneur pour son propre compte (et non pour le compte d’un utilisateur). Ce scénario est utile pour les applications de démon non interactives qui effectuent des tâches sans utilisateur connecté. Il utilise l’octroi d’informations d’identification du client OAuth 2.0 standard.

1. Dans le Portail Azure, sélectionnez Microsoft Entra ID>Ajouter>Inscriptions d’applications.
2. Dans la page Inscrire une application, entrez un Nom pour votre inscription d’application.
3. Pour une application démon, vous n’avez pas besoin d’un URI de redirection. Vous pouvez donc conserver cette zone vide.
4. Sélectionnez Créer.
5. Une fois l’inscription d’application créée, copiez la valeur de l’ID d’application (client) .
6. Sélectionnez Certificats & secrets>Nouvelle clé secrète client>Ajouter. Copiez la valeur de la clé secrète client qui s'affiche sur la page. Elle ne s’affichera plus.

Vous pouvez maintenant demander un jeton d’accès à l’aide de l’ID client et de la clé secrète client en définissant le paramètre resource sur l’URI d’ID d’application de l’application cible. Le jeton d’accès obtenu peut ensuite être présenté à l’application cible à l’aide de l’en-tête d’autorisation OAuth 2.0 standard. La fonction Authentification/autorisation Container Apps valide et utilise le jeton comme d’habitude pour indiquer que l’appelant (en l’occurrence, une application, pas un utilisateur) est authentifié.

Ce processus permet à n’importe quelle application cliente de votre locataire Microsoft Entra de demander un jeton d’accès et de s’authentifier auprès de l’application cible. Si vous souhaitez également appliquer un autorisation pour n’autoriser que certaines applications clientes, vous devez ajuster la configuration.

1. Définissez un rôle d’application dans le manifeste de l’inscription d’application représentant l’application conteneur que vous souhaitez protéger.
2. Sur l’inscription de l’application représentant le client qui doit être autorisé, sélectionnez Autorisations de l’API>Ajouter une autorisation>Mes API.
3. Sélectionnez l’inscription d’application que vous avez créée précédemment. Si vous ne voyez pas l’inscription d’application, assurez-vous que vous avez ajouté un rôle d’application.
4. Sous Autorisations d’application, choisissez le rôle d’application que vous avez créé précédemment, puis sélectionnez Ajouter des autorisations.
5. Veillez à sélectionner Accorder un consentement administrateur pour autoriser l’application cliente à demander l’autorisation.
6. Comme pour le scénario précédent (avant l’ajout de rôles), vous pouvez maintenant demander un jeton d’accès pour la même resource cible, et le jeton d’accès inclut une revendication roles contenant les rôles d’application qui ont été autorisés pour l’application cliente.
7. Dans le code Container Apps cible, vous pouvez maintenant valider que les rôles attendus sont présents dans le jeton. La couche d’authentification Container Apps n’effectue pas les étapes de validation. Pour plus d’informations, consultez la section Revendications d’utilisateurs d’accès.

Dans cette section, vous avez configuré une application cliente démon qui peut accéder à votre application conteneur en utilisant sa propre identité.

Utilisation d’utilisateurs authentifiés

Utilisez les guides suivants pour plus d’informations sur l’utilisation des utilisateurs authentifiés.

• Personnaliser les connexions et les déconnexions
• Accéder aux revendications de l’utilisateur dans le code de l’application

Étapes suivantes

Vue d’ensemble de l’authentification et de l’autorisation