Configurer l’authentification unique à l’aide de Microsoft Entra ID pour Spring Cloud Gateway et API Portal
Remarque
Les plans Essentiel, Standard et Entreprise seront déconseillés à compter de la mi-mars 2025, avec une période de mise hors service de 3 ans. Nous vous recommandons de passer à Azure Container Apps. Pour plus d’informations, consultez l’annonce de mise hors service d’Azure Spring Apps.
Le plan de consommation standard et dédiée sera déconseillé à compter du 30 septembre 2024, avec un arrêt complet après six mois. Nous vous recommandons de passer à Azure Container Apps. Pour plus d’informations, consultez Migrer le plan de consommation standard et dédiée Azure Spring Apps vers Azure Container Apps.
Cet article s’applique à : ❎ Essentiel/Standard ✅ Entreprise
Cet article explique comment configurer l’authentification unique (SSO) pour Spring Cloud Gateway ou API Portal en utilisant Microsoft Entra ID en tant que fournisseur d’identification OpenID.
Prérequis
- Instance de plan Entreprise avec Spring Cloud Gateway ou API Portal activé. Pour plus d’informations, consultez Démarrage rapide : Générer et déployer des applications sur Azure Spring Apps à l’aide du plan Enterprise.
- Autorisations suffisantes pour gérer les applications Microsoft Entra.
Pour activer l’authentification unique pour Spring Cloud Gateway ou le portail d’API, vous avez besoin de configurer les quatre propriétés suivantes :
Propriété de l’authentification unique | Configuration de Microsoft Entra |
---|---|
clientId | Voir Inscrire l’application |
clientSecret | Voir Créer un secret client |
scope | Voir Configurer l’étendue |
issuerUri | Voir Générer l’URI de l’émetteur |
Vous allez configurer les propriétés dans Microsoft Entra ID dans les étapes suivantes.
Attribuer un point de terminaison pour Spring Cloud Gateway ou le portail d’API
Tout d’abord, vous devez obtenir le point de terminaison public attribué pour Spring Cloud Gateway et le portail d’API en procédant comme suit :
- Ouvrez l’instance de service de votre plan Entreprise dans le portail Azure.
- Sélectionnez Spring Cloud Gateway ou Portail d’API sous Composants VMware Tanzu dans le menu de gauche.
- Sélectionnez Oui en regard de Attribuer un point de terminaison.
- Copiez l’URL à utiliser dans la section suivante de cet article.
Créer une inscription d’application Microsoft Entra
Inscrivez votre application pour établir une relation d’approbation entre votre application et la Plateforme d’identités Microsoft en procédant comme suit :
- À partir de l’écran Accueil, sélectionnez Microsoft Entra ID dans le menu de gauche.
- Sélectionnez Inscriptions d’applications sous Gérer, puis sélectionnez Nouvelle inscription.
- Entrez un nom complet pour votre application sous Nom, puis sélectionnez un type de compte à inscrire sous Types de comptes pris en charge.
- Dans URI de redirection (facultatif), sélectionnez Web, puis entrez l’URL de la section ci-dessus dans la zone de texte. L’URI de redirection est l’emplacement où Microsoft Entra ID redirige votre client et envoie des jetons de sécurité après l’authentification.
- Ensuite, sélectionnez Inscrire terminer l’inscription de l’application.
Une fois l’inscription terminée, vous verrez l’ID d’application (client) dans l’écran Vue d’ensemble de la page inscriptions d'applications*.
Ajouter un URI de redirection après l’inscription de l’application
Vous pouvez également ajouter des URI de redirection après l’inscription de l’application en procédant comme suit :
- Dans la vue d’ensemble de votre application, sous Gérer dans le menu de gauche, sélectionnez Authentification.
- Sélectionnez Web puis Ajouter un URI sous URI de redirection.
- Ajoutez un nouvel URI de redirection, puis sélectionnez Enregistrer.
Pour plus d’informations sur l’inscription d’application, consultez Démarrage rapide : Inscrire une application avec la Plateforme d’identités Microsoft.
Ajouter une clé secrète client
L’application utilise une clé secrète client pour s’authentifier dans le workflow d’authentification unique. Vous pouvez ajouter une clé secrète client en procédant comme suit :
- Dans la vue d’ensemble de votre application, sous Gérer dans le menu de gauche, sélectionnez Certificats et secrets.
- Sélectionnez Clés secrètes client, puis Nouveau clé secrète client.
- Entrez une description de la clé secrète client, puis définissez une date d’expiration.
- Sélectionnez Ajouter.
Avertissement
N’oubliez pas d’enregistrer la clé secrète client dans un emplacement sécurisé. Vous ne pouvez pas la récupérer une fois que vous avez quitté cette page. La clé secrète client doit être fournie avec l’ID client lorsque vous vous connectez en tant qu’application.
Configurer l’étendue
La propriété scope
de l’authentification unique est une liste d’étendues à inclure dans les jetons d’identité JWT. Ils sont souvent appelés autorisations. La plateforme d’identités prend en charge plusieurs étendues OpenID Connect, telles que openid
, email
et profile
. Pour plus d’informations , consultez la section Étendues OpenID Connect de l’article Étendues et autorisations dans la plateforme d’identités Microsoft.
Configurer l’URI de l’émetteur
L’URI de l’émetteur est l’URI déclaré comme identificateur de l’émetteur. Par exemple, si la propriété issuerUri fournie est https://example.com
, une demande de configuration du fournisseur OpenID est envoyée à https://example.com/.well-known/openid-configuration
.
L’URI d’émetteur de Microsoft Entra ID se présente comme ceci : <authentication-endpoint>/<Your-TenantID>/v2.0
. Remplacez <authentication-endpoint>
par le point de terminaison d’authentification de votre environnement cloud (par exemple, https://login.microsoftonline.com
pour Azure global) et remplacez <Your-TenantID>
par l’ID d’annuaire (locataire) où l’application a été inscrite.
Configurer l’authentification unique
Après avoir configuré votre application Microsoft Entra, vous pouvez configurer les propriétés d’authentification unique (SSO) de Spring Cloud Gateway ou d’API Portal en procédant comme suit :
- Sélectionnez Spring Cloud Gateway ou Portail d’API sous Composants VMware Tanzu dans le menu de gauche, puis Configuration.
- Entrez
Scope
,Client Id
,Client Secret
etIssuer URI
dans les champs appropriés. Séparez plusieurs étendues par une virgule. - Sélectionnez Enregistrer pour activer la configuration de l’authentification unique.
Remarque
Après avoir configuré les propriétés de l’authentification unique, n’oubliez pas d’activer l’authentification unique pour les itinéraires Spring Cloud Gateway en définissant ssoEnabled=true
. Pour plus d’informations, consultez Configuration des itinéraires.