Authentification du registre confidentiel Azure avec Microsoft Entra ID
La méthode recommandée pour accéder à un registre confidentiel Azure consiste à s’authentifier auprès du service Microsoft Entra ID. Elle garantit que le registre confidentiel Azure ne dispose jamais des informations d’identification du répertoire principal.
Pour ce faire, le client suit un processus en deux étapes :
- Dans la première étape, le client :
- Communique avec le service Microsoft Entra.
- S’authentifie auprès du service Microsoft Entra.
- Demande un jeton d’accès émis spécifiquement pour un registre confidentiel Azure.
- Au cours de la deuxième étape, le client émet des demandes au registre confidentiel Azure, en fournissant à celui-ci le jeton d’accès acquis à la première étape en guise de preuve d’identité .
Le registre confidentiel Azure exécute alors la requête pour le compte principal de sécurité pour lequel Microsoft Entra ID a émis le jeton d’accès. Toutes les vérifications d’autorisation sont effectuées à l’aide de cette identité.
Dans la plupart des cas, il est recommandé d’utiliser l’un des kits de développement logiciel (SDK) de registre confidentiel Azure pour accéder au service par programmation, car ils éliminent une grande partie des difficultés d’implémentation du flux ci-dessus (et bien plus encore). Consultez, par exemple, la bibliothèque de client Python et la bibliothèque de client .NET.
Les principaux scénarios d’authentification sont les suivants :
Application cliente authentifiant un utilisateur connecté : dans ce scénario, une application interactive (cliente) déclenche une invite Microsoft Entra demandant à l’utilisateur de fournir ses informations d’identification (par exemple, nom d’utilisateur et mot de passe). Consultez Authentification d’utilisateur.
Application « sans tête » : dans ce scénario, une application s’exécute sans la présence de l’utilisateur pour fournir les informations d’identification. Au lieu de cela, l’application s’authentifie en tant qu’« elle-même » auprès de Microsoft Entra ID à l’aide des informations d’identification avec lesquelles elle a été configurée. Consultez Authentification d’application.
Authentification On-Behalf-Of. Dans ce scénario, parfois appelé scénario « service web » ou « application web », l’application obtient un jeton d’accès Microsoft Entra à partir une autre application, et le convertit en un autre jeton d’accès Microsoft Entra utilisable avec le registre confidentiel Azure. En d’autres termes, l’application agit comme médiateur entre l’utilisateur ou l’application qui a fourni des informations d’identification et le service de registre confidentiel Azure. Consultez Authentification On-Behalf-Of.
Paramètres Microsoft Entra
Ressource Microsoft Entra pour le registre confidentiel Azure
Lors de l’acquisition d’un jeton d’accès à partir de Microsoft Entra ID, le client doit indiquer la ressource Microsoft Entra à laquelle le jeton doit être émis. La ressource Microsoft Entra d’un point de terminaison de registre confidentiel Azure est l’URI du point de terminaison, sauf pour les informations sur le port et le chemin d’accès.
Par exemple, si vous aviez un registre confidentiel Azure appelé « myACL », l’URI serait :
https://myACL.confidential-ledger.azure.com
ID de locataire Microsoft Entra
Microsoft Entra ID est un service multilocataire, et chaque organisation peut créer un objet appelé répertoire dans Microsoft Entra ID. L’objet d’annuaire contient des objets liés à la sécurité, tels que des comptes d’utilisateur, des applications et des groupes. Microsoft Entra ID fait souvent référence au répertoire en tant que locataire. Les locataires Microsoft Entra sont identifiés par un GUID (ID de locataire). Dans de nombreux cas, les locataires Microsoft Entra peuvent également être identifiés par le nom de domaine de l’organisation.
Par exemple, une organisation nommée « Contoso » peut avoir l’ID de locataire aaaabbbb-0000-cccc-1111-dddd2222eeee et le nom de domaine contoso.com.
Point de terminaison de l’autorité Microsoft Entra
Microsoft Entra ID a plusieurs points de terminaison pour l’authentification :
- Quand le locataire hébergeant le principal authentifié est connu (autrement dit, quand on sait dans quel répertoire Microsoft Entra l’utilisateur ou l’application se trouvent), le point de terminaison Microsoft Entra est
https://login.microsoftonline.com/{tenantId}. Ici,{tenantId}est soit l’ID de locataire de l’organisation dans Microsoft Entra ID, soit son nom de domaine (par exemple,contoso.com). - Quand le locataire hébergeant le principal authentifié n’est pas connu, le point de terminaison « commun » peut être utilisé en remplaçant
{tenantId}ci-dessus par la valeurcommon.
Le point de terminaison de service Microsoft Entra utilisé pour l’authentification est également appelé URL de l’autorité Microsoft Entra ou simplement Autorité Microsoft Entra.
Remarque
Le point de terminaison de service Microsoft Entra change dans les clouds nationaux. Si vous utilisez un service de registre confidentiel Azure déployé dans un cloud national, définissez le point de terminaison du service Microsoft Entra national correspondant. Pour modifier le point de terminaison, définissez une variable d’environnement AadAuthorityUri sur l’URI requis.
Authentification utilisateur
La manière la plus simple d’accéder à un registre confidentiel Azure avec une authentification d’utilisateur consiste à utiliser le Kit de développement logiciel (SDK) de registre confidentiel Azure en définissant la propriété Federated Authentication de la chaîne de connexion au registre confidentiel Azure sur true. La première fois que le Kit de développement logiciel (SDK) est utilisé pour envoyer une requête au service, l’utilisateur se voit présenter un formulaire de connexion dans lequel saisir les informations d’identification Microsoft Entra. Une fois l’authentification réussie, la demande est envoyée au registre confidentiel Azure.
Les applications qui n’utilisent pas le Kit de développement logiciel (SDK) de registre confidentiel Azure peuvent toujours utiliser la Bibliothèque d’authentification Microsoft (MSAL) au lieu d’implémenter le client de protocole de sécurité du service Microsoft Entra. Consultez Permettez à vos applications web de connecter des utilisateurs et d’appeler des API avec la plateforme d’identité Microsoft pour les développeurs.
Si votre application est destinée à faire office de serveur frontal et à authentifier des utilisateurs pour un cluster de registre confidentiel Azure, elle doit disposer d’autorisations déléguées sur le registre confidentiel Azure.
Authentification de l’application
Les applications qui utilisent un registre confidentiel Azure s’authentifient à l’aide d’un jeton Microsoft Entra ID. Le propriétaire de l’application doit d’abord l’inscrire dans Microsoft Entra ID. L’inscription a également pour effet de créer un deuxième objet d’application qui identifie l’application sur tous les locataires.
Pour connaître les étapes détaillées sur l’inscription d’une application de registre confidentiel Azure avec Microsoft Entra ID, consultez les articles suivants :
- Inscription d’une application de registre confidentiel Azure avec Microsoft Entra ID
- Utiliser le portail pour créer une application et un principal de service Microsoft Entra pouvant accéder aux ressources
- Créer un principal du service Azure à l’aide d’Azure CLI.
À la fin de l’inscription, le propriétaire de l’application obtient les valeurs suivantes :
- ID d’application (également appelé ID client Microsoft Entra ou appID)
- Une clé d’authentification (également appelée secret partagé).
L’application doit présenter les deux valeurs à Microsoft Entra ID pour obtenir un jeton.
Les kits de développement logiciel (SDK) de registre confidentiel Azure utilisent une bibliothèque de client Azure Identity qui permet une authentification transparente au registre confidentiel Azure dans des environnements avec le même code.
| .NET | Python | Java | JavaScript |
|---|---|---|---|
| SDK de l’identité Azure .NET | SDK de l’identité Azure Python | SDK de l’identité Azure Java | SDK de l’identité Azure Javascript |
Authentification On-Behalf-Of
Dans ce scénario, une application a reçu un jeton d’accès Microsoft Entra pour une ressource arbitraire qu’elle gère. Elle utilise ce jeton pour acquérir un nouveau jeton d’accès Microsoft Entra pour la ressource de registre confidentiel Azure. Ainsi, l’application peut accéder au registre confidentiel pour le compte du principal indiqué par le jeton d’accès Microsoft Entra d’origine.
Ce flux est appeléflux d’échange de jeton OAuth2. Généralement, plusieurs étapes sont nécessaires pour la configuration avec Microsoft Entra ID, et dans certains cas (en fonction de la configuration du locataire Microsoft Entra) un consentement spécial de l’administrateur du locataire Microsoft Entra est requis.
Étapes suivantes
- Inscription d’une application de registre confidentiel Azure avec Microsoft Entra ID
- Vue d’ensemble de Registre confidentiel Microsoft Azure
- Intégration d’applications avec Microsoft Entra ID
- Utiliser le portail pour créer une application et un principal de service Microsoft Entra pouvant accéder aux ressources
- Créer un principal du service Azure à l’aide d’Azure CLI.
- Authentification de nœuds Registre confidentiel Azure