Inscrire une application pour demander des jetons d’autorisation et utiliser des API

Pour accéder aux API REST Azure telles que l’API Log Analytics ou envoyer des métriques personnalisées, vous pouvez générer un jeton d’autorisation basé sur un ID client et un secret. Le jeton est ensuite transmis dans votre demande d’API REST. Cet article vous explique comment inscrire une application cliente et créer un secret client afin de générer un jeton.

Enregistrez une application

Créez un principal de service et inscrivez une application à l’aide du Portail Azure, d’Azure CLI ou de PowerShell.

Azure portal

1. Pour inscrire une application, ouvrez la page Vue d’ensemble d’Active Directory dans le portail Azure.

2. Dans la barre latérale, sélectionnez Inscriptions d’applications.

3. Sélectionnez Nouvelle inscription.

4. Dans la page Inscrire une application, entrez un Nom pour l’application.

5. Sélectionnez Inscrire.

6. Dans la page de vue d’ensemble de l’application, sélectionnez Certificats et secrets.

7. Notez l’ID d’application (client). Il est utilisé dans la requête HTTP pour un jeton.

8. Sous l’onglet Secrets client, sélectionnez Nouveau secret client.

9. Entrez une Description et sélectionnez Ajouter

10. Copiez et enregistrez la Valeur du secret client.

    Notes

    Les valeurs de secret client ne peuvent être consultées qu’immédiatement après leur création. Veillez à enregistrer le secret avant de quitter la page.

    

Azure CLI

Exécutez le script suivant pour créer un principal de service et une application.

az ad sp create-for-rbac -n <Service principal display name> 

La réponse se présente comme suit :

{
  "appId": "0a123b56-c987-1234-abcd-1a2b3c4d5e6f",
  "displayName": "AzMonAPIApp",
  "password": "123456.ABCDE.~XYZ876123ABcEdB7169",
  "tenant": "a1234bcd-5849-4a5d-a2eb-5267eae1bbc7"
}

Important

La sortie inclut les informations d’identification que vous devez protéger. Veillez à ne pas inclure ces informations d’identification dans votre code ou vérifiez les informations d’identification dans votre contrôle de code source.

Ajouter un rôle et une étendue pour les ressources auxquelles vous souhaitez accéder à l’aide de l’API

az role assignment create --assignee <`appId`> --role <Role> --scope <resource URI>

L’exemple CLI suivant attribue le rôle Reader au principal de service pour toutes les ressources du rg-001groupe de ressources :

 az role assignment create --assignee 0a123b56-c987-1234-abcd-1a2b3c4d5e6f --role Reader --scope '\/subscriptions/a1234bcd-5849-4a5d-a2eb-5267eae1bbc7/resourceGroups/rg-001'

Pour plus d’informations sur la création d’un principal de service en utilisant Azure CLI 2.0, consultez Créez un principal du service Azure à l’aide d’Azure CLI.

PowerShell

L’exemple de script suivant illustre la création d’un principal de service Microsoft Entra via PowerShell. Pour une présentation plus détaillée, voir l’utilisation d’Azure PowerShell pour créer un principal de service afin d’accéder aux ressources

$subscriptionId = "{azure-subscription-id}"
$resourceGroupName = "{resource-group-name}"

# Authenticate to a specific Azure subscription.
Connect-AzAccount -SubscriptionId $subscriptionId

# Password for the service principal
$pwd = "{service-principal-password}"
$secureStringPassword = ConvertTo-SecureString -String $pwd -AsPlainText -Force

# Create a new Azure Active Directory application
$azureAdApplication = New-AzADApplication `
                        -DisplayName "My Azure Monitor" `
                        -HomePage "https://localhost/azure-monitor" `
                        -IdentifierUris "https://localhost/azure-monitor" `
                        -Password $secureStringPassword

# Create a new service principal associated with the designated application
New-AzADServicePrincipal -ApplicationId $azureAdApplication.ApplicationId

# Assign Reader role to the newly created service principal
New-AzRoleAssignment -RoleDefinitionName Reader `
                          -ServicePrincipalName $azureAdApplication.ApplicationId.Guid

Étapes suivantes

Avant de pouvoir générer un jeton avec votre application, votre ID client et votre secret, attribuez l’application à un rôle à l’aide du contrôle d’accès (IAM) pour la ressource à laquelle vous souhaitez accéder. Le rôle dépend du type de ressource et de l’API que vous souhaitez utiliser.
Par exemple,

• Pour accorder à votre application l’accès en lecture à un espace de travail Log Analytics, ajoutez votre application en tant que membre au rôle Lecteur à l’aide du contrôle d’accès (IAM) pour votre espace de travail Log Analytics. Pour plus d’informations, consultez Accéder à l’API.

• Pour accorder l’accès à l’envoi de métriques personnalisées pour une ressource, ajoutez votre application en tant que membre au rôle Éditeur de métriques de monitoring à l’aide du contrôle d’accès (IAM) pour votre ressource. Pour plus d’informations, consultez Envoyer des métriques à la base de données de métriques Azure Monitor à l’aide de l’API REST.

Pour plus d’informations, consultez Attribuer des rôles Azure en utilisant le Portail Azure

Après avoir attribué un rôle, vous pouvez utiliser votre application, votre ID client et votre secret client afin de générer un jeton de porteur pour accéder à l’API REST.

Remarque

Lorsque vous utilisez l’authentification Microsoft Entra, il peut s’écouler jusqu’à 60 minutes avant que l’API REST d’Azure Application Insights reconnaisse les nouvelles autorisations de contrôle d’accès basé sur les rôles (RBAC). Alors que les autorisations sont propagées, les appels de l’API REST peuvent échouer avec le code d’erreur 403.