Authentifier l’accès aux ressources Azure avec des identités managées dans Azure Logic AppsAuthenticate access to Azure resources by using managed identities in Azure Logic Apps

Pour accéder facilement à d’autres ressources protégées par Azure Active Directory (Azure AD) et authentifier votre identité sans vous connecter, votre application logique peut utiliser une identité managée (anciennement appelée MSI ou Managed Service Identity) à la place d’informations d’identification ou de secrets.To easily access other resources that are protected by Azure Active Directory (Azure AD) and authenticate your identity without signing in, your logic app can use a managed identity (formerly Managed Service Identity or MSI), rather than credentials or secrets. Azure gère cette identité pour vous et vous aide à sécuriser vos informations d’identification, car vous n’êtes pas obligé de fournir ni de faire pivoter des secrets.Azure manages this identity for you and helps secure your credentials because you don't have to provide or rotate secrets.

Azure Logic Apps prend en charge les identités managées affectées par le système et affectées par l’utilisateur.Azure Logic Apps supports both system-assigned and user-assigned managed identities. Votre application logique peut utiliser soit l’identité affectée par le système, soit une seule identité affectée par l’utilisateur, que vous pouvez partager dans un groupe d’applications logiques.Your logic app can use either the system-assigned identity or a single user-assigned identity, which you can share across a group of logic apps, but not both. Seuls des déclencheurs et actions intégrés spécifiques prennent en charge les identités managées, et non les connecteurs ou connexions managés, par exemple :Currently, only specific built-in triggers and actions support managed identities, not managed connectors or connections, for example:

  • HTTPHTTP
  • Azure FunctionsAzure Functions
  • Gestion des API AzureAzure API Management
  • Azure App ServicesAzure App Services

Cet article montre comment configurer les deux genres d’identité managée pour votre application logique.This article shows how to set up both kinds of managed identities for your logic app. Pour plus d’informations, consultez les rubriques suivantes :For more information, see these topics:

PrérequisPrerequisites

  • Un compte et un abonnement Azure.An Azure account and subscription. Si vous n’avez pas encore d’abonnement, vous pouvez vous inscrire pour obtenir un compte Azure gratuitement.If you don't have a subscription, sign up for a free Azure account. L’identité managée et la ressource Azure cible à laquelle vous souhaitez accéder doivent utiliser le même abonnement Azure.Both the managed identity and the target Azure resource where you need access must use the same Azure subscription.

  • Pour accorder à une identité managée l’accès à une ressource Azure, vous devez ajouter un rôle à la ressource cible pour cette identité.To give a managed identity access to an Azure resource, you need to add a role to the target resource for that identity. Pour ajouter des rôles, vous devez disposer d’autorisations d’administrateur Azure AD qui permettent d’attribuer des rôles à des identités dans le locataire Azure AD correspondant.To add roles, you need Azure AD administrator permissions that can assign roles to identities in the corresponding Azure AD tenant.

  • Ressource Azure cible à laquelle vous souhaitez accéder.The target Azure resource that you want to access. Dans cette ressource, vous allez ajouter un rôle pour l’identité managée, ce qui permet à l’application logique d’authentifier l’accès à la ressource cible.On this resource, you'll add a role for the managed identity, which helps the logic app authenticate access to the target resource.

  • Application logique où vous souhaitez utiliser le déclencheur ou les actions qui prennent en charge les identités managéesThe logic app where you want to use the trigger or actions that support managed identities

Activer une identité managéeEnable managed identity

Pour configurer l’identité managée à utiliser, suivez le lien de cette identité :To set up the managed identity that you want to use, follow the link for that identity:

Activer l’identité attribuée par le systèmeEnable system-assigned identity

À la différences des identités attribuées par l’utilisateur, vous n’avez pas besoin de créer manuellement l’identité attribuée par le système.Unlike user-assigned identities, you don't have to manually create the system-assigned identity. Pour configurer l’identité affectée par le système dans le cadre de votre application logique, voici les options que vous pouvez utiliser :To set up the system-assigned identity for your logic app, here are the options that you can use:

Activer une identité attribuée par le système sur le portail AzureEnable system-assigned identity in Azure portal

  1. Dans le portail Azure, ouvrez votre application logique dans le Concepteur d’applications logiques.In the Azure portal, open your logic app in Logic App Designer.

  2. Dans le menu de l’application logique, sous Paramètres, sélectionnez Identité.On the logic app menu, under Settings, select Identity. Sélectionnez Affecté(e) par le système > Actif > Enregistrer.Select System assigned > On > Save. Quand Azure vous invite à confirmer l’opération, sélectionnez Oui.When Azure prompts you to confirm, select Yes.

    Activer l’identité attribuée par le système

    Notes

    Si vous recevez une erreur indiquant que vous ne pouvez avoir qu’une seule identité managée, cela signifie que votre application logique est déjà associée à l’identité affectée par l’utilisateur.If you get an error that you can have only a single managed identity, your logic app is already associated with the user-assigned identity. Avant de pouvoir ajouter l’identité affectée par le système, vous devez d’abord supprimer l’identité affectée par l’utilisateur de votre application logique.Before you can add the system-assigned identity, you must first remove the user-assigned identity from your logic app.

    Votre application logique peut désormais utiliser l’identité attribuée par le système qui est inscrite auprès d’Azure Active Directory et représentée par un ID d’objet.Your logic app can now use the system-assigned identity, which is registered with Azure Active Directory and is represented by an object ID.

    ID d’objet pour l’identité attribuée par le système

    PropriétéProperty ValeurValue DescriptionDescription
    ID d’objetObject ID <identity-resource-ID><identity-resource-ID> GUID (identificateur global unique) qui représente l’identité affectée par le système pour votre application logique dans un locataire Azure ADA Globally Unique Identifier (GUID) that represents the system-assigned identity for your logic app in an Azure AD tenant
  3. À présent, suivez les étapes qui donnent à cette identité l’accès à la ressource, et que vous trouverez plus loin dans cette rubrique.Now follow the steps that give that identity access to the resource later in this topic.

Activer l’identité attribuée par le système dans un modèle Resource ManagerEnable system-assigned identity in Azure Resource Manager template

Pour automatiser la création et le déploiement de ressources Azure telles que des applications logiques, vous pouvez utiliser des modèles Azure Resource Manager.To automate creating and deploying Azure resources such as logic apps, you can use Azure Resource Manager templates. Pour activer l’identité managée attribuée par le système pour votre application logique dans le modèle, ajoutez l’objet identity et la propriété enfant type à la définition de ressource de l’application logique dans le modèle, par exemple :To enable the system-assigned managed identity for your logic app in the template, add the identity object and the type child property to the logic app's resource definition in the template, for example:

{
   "apiVersion": "2016-06-01",
   "type": "Microsoft.logic/workflows",
   "name": "[variables('logicappName')]",
   "location": "[resourceGroup().location]",
   "identity": {
      "type": "SystemAssigned"
   },
   "properties": {
      "definition": {
         "$schema": "https://schema.management.azure.com/providers/Microsoft.Logic/schemas/2016-06-01/workflowdefinition.json#",
         "actions": {},
         "parameters": {},
         "triggers": {},
         "contentVersion": "1.0.0.0",
         "outputs": {}
   },
   "parameters": {},
   "dependsOn": []
}

Quand Azure crée la définition de ressource de votre application logique, l’objet identity reçoit les propriétés supplémentaires suivantes :When Azure creates your logic app resource definition, the identity object gets these additional properties:

"identity": {
   "type": "SystemAssigned",
   "principalId": "<principal-ID>",
   "tenantId": "<Azure-AD-tenant-ID>"
}
Propriété (JSON)Property (JSON) ValeurValue DescriptionDescription
principalId <principal-ID><principal-ID> Identificateur global unique (GUID) de l’objet du principal de service pour l’identité managée qui représente votre application logique dans le locataire Azure AD.The Globally Unique Identifier (GUID) of the service principal object for the managed identity that represents your logic app in the Azure AD tenant. Ce GUID apparaît parfois sous la forme d’un « ID d’objet » ou objectID.This GUID sometimes appears as an "object ID" or objectID.
tenantId <Azure-AD-tenant-ID><Azure-AD-tenant-ID> Identificateur global unique (GUID) représentant le locataire Azure AD où l’application logique est maintenant membre.The Globally Unique Identifier (GUID) that represents the Azure AD tenant where the logic app is now a member. À l’intérieur du locataire Azure AD, le principal du service a le même nom que l’instance d’application logique.Inside the Azure AD tenant, the service principal has the same name as the logic app instance.

Activer l’identité affectée par l’utilisateurEnable user-assigned identity

Pour configurer une identité managée affectée par l’utilisateur dans le cadre de votre application logique, vous devez d’abord créer cette identité en tant que ressource Azure autonome distincte.To set up a user-assigned managed identity for your logic app, you must first create that identity as a separate standalone Azure resource. Voici les options que vous pouvez utiliser :Here are the options that you can use:

Créer une identité affectée par l’utilisateur dans le portail AzureCreate user-assigned identity in the Azure portal

  1. Dans le portail Azure, dans la zone de recherche de n’importe quelle page, entrez managed identities, puis sélectionnez Identités managées.In the Azure portal, in the search box on any page, enter managed identities, and select Managed Identities.

    Rechercher et sélectionner « Identités managées »

  2. Sous Identités managées, sélectionnez Ajouter.Under Managed Identities, select Add.

    Ajouter une nouvelle identité managée

  3. Fournissez des informations sur votre identité managée, puis sélectionnez Créer, par exemple :Provide information about your managed identity, and then select Create, for example:

    Créer une identité managée affectée par l’utilisateur

    PropriétéProperty ObligatoireRequired ValeurValue DescriptionDescription
    Nom de la ressourceResource Name OuiYes <nom-identité-affectée-par-utilisateur><user-assigned-identity-name> Nom à donner à votre identité affectée par l’utilisateur.The name to give your user-assigned identity. Cet exemple utilise « Fabrikam-user-assigned-identity ».This example uses "Fabrikam-user-assigned-identity".
    AbonnementSubscription OuiYes <Azure-subscription-name><Azure-subscription-name> Nom de l’abonnement Azure à utiliser.The name for the Azure subscription to use
    Groupe de ressourcesResource group OuiYes <nom-groupe-de-ressources-Azure><Azure-resource-group-name> Nom du groupe de ressources à utiliser.The name for the resource group to use. Créez un groupe, ou sélectionnez un groupe existant.Create a new group, or select an existing group. Cet exemple crée un groupe nommé « fabrikam-managed-identities-RG ».This example creates a new group named "fabrikam-managed-identities-RG".
    LieuLocation OuiYes <Azure-region><Azure-region> Région Azure où stocker les informations relatives à votre ressource.The Azure region where to store information about your resource. Cet exemple utilise la région « USA Ouest ».This example uses "West US".

    À présent, vous pouvez ajouter l’identité affectée par l’utilisateur à votre application logique.Now you can add the user-assigned identity to your logic app. Vous ne pouvez pas ajouter plusieurs identités affectées par l’utilisateur à votre application logique.You can't add more than one user-assigned identity to your logic app.

  4. Dans le portail Azure, recherchez et ouvrez votre application logique dans le Concepteur d’application logique.In the Azure portal, find and open your logic app in Logic App Designer.

  5. Dans le menu de l’application logique, sous Paramètres, sélectionnez Identité, puis Affecté(e) par l’utilisateur > Ajouter.On the logic app menu, under Settings, select Identity, and then select User assigned > Add.

    Ajouter une identité managée affectée par l’utilisateur

  6. Dans le volet Ajouter une identité managée affectée par l’utilisateur, dans la liste Abonnement, sélectionnez votre abonnement Azure, si cela n’est pas déjà fait.On the Add user assigned managed identity pane, from the Subscription list, select your Azure subscription if not already selected. Dans la liste qui montre toutes les identités managées de cet abonnement, recherchez et sélectionnez l’identité affectée par l’utilisateur qui vous intéresse.From the list that shows all the managed identities in that subscription, find and select the user-assigned identity that you want. Pour filtrer la liste, dans la zone de recherche Identités managées affectées par l’utilisateur, entrez le nom de l’identité ou du groupe de ressources.To filter the list, in the User assigned managed identities search box, enter the name for the identity or resource group. Une fois que vous avez terminé, sélectionnez Ajouter.When you're done, select Add.

    Sélectionner l’identité affectée par l’utilisateur à employer

    Notes

    Si vous recevez une erreur indiquant que vous ne pouvez avoir qu’une seule identité managée, cela signifie que votre application logique est déjà associée à l’identité affectée par le système.If you get an error that you can have only a single managed identity, your logic app is already associated with the system-assigned identity. Avant de pouvoir ajouter l’identité affectée par l’utilisateur, vous devez d’abord désactiver l’identité affectée par le système sur votre application logique.Before you can add the user-assigned identity, you must first disable the system-assigned identity on your logic app.

    Votre application logique est désormais associée à l’identité managée affectée par l’utilisateur.Your logic app is now associated with the user-assigned managed identity.

    Association à l’identité affectée par l’utilisateur

  7. À présent, suivez les étapes qui donnent à cette identité l’accès à la ressource, et que vous trouverez plus loin dans cette rubrique.Now follow the steps that give that identity access to the resource later in this topic.

Créer une identité affectée par l’utilisateur dans un modèle Azure Resource ManagerCreate user-assigned identity in an Azure Resource Manager template

Pour automatiser la création et le déploiement de ressources Azure telles que les applications logiques, vous pouvez utiliser des modèles Azure Resource Manager. Ceux-ci prennent en charge les identités affectées par l’utilisateur pour l’authentification.To automate creating and deploying Azure resources such as logic apps, you can use Azure Resource Manager templates, which support user-assigned identities for authentication. Dans la section resources de votre modèle, la définition de ressource de votre application logique nécessite les éléments suivants :In your template's resources section, your logic app's resource definition requires these items:

  • Objet identity dont la propriété type a la valeur UserAssignedAn identity object with the type property set to UserAssigned

  • Objet userAssignedIdentities enfant qui spécifie la ressource et le nom affectés par l’utilisateurA child userAssignedIdentities object that specifies the user-assigned resource and name

Cet exemple montre une définition de ressource d’application logique pour une requête HTTP PUT, et comprend un objet identity non paramétré.This example shows a logic app resource definition for an HTTP PUT request and includes a non-parameterized identity object. La réponse à la requête PUT et à l’opération GET qui suit comporte également cet objet identity :The response to the PUT request and subsequent GET operation also have this identity object:

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {<template-parameters>},
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicappName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "/subscriptions/<Azure-subscription-ID>/resourceGroups/<Azure-resource-group-name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<user-assigned-identity-name>": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": []
      },
   ],
   "outputs": {}
}

Si votre modèle inclut également la définition de ressource de l’identité managée, vous pouvez paramétrer l’objet identity.If your template also includes the managed identity's resource definition, you can parameterize the identity object. Cet exemple montre comment l’objet userAssignedIdentities enfant référence une variable userAssignedIdentity que vous définissez dans la section variables de votre modèle.This example shows how the child userAssignedIdentities object references a userAssignedIdentity variable that you define in your template's variables section. Cette variable référence l’ID de ressource de l’identité affectée par l’utilisateur.This variable references the resource ID for your user-assigned identity.

{
   "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
   "contentVersion": "1.0.0.0",
   "parameters": {
      "Template_LogicAppName": {
         "type": "string"
      },
      "Template_UserAssignedIdentityName": {
         "type": "securestring"
      }
   },
   "variables": {
      "logicAppName": "[parameters(`Template_LogicAppName')]",
      "userAssignedIdentityName": "[parameters('Template_UserAssignedIdentityName')]"
   },
   "resources": [
      {
         "apiVersion": "2016-06-01",
         "type": "Microsoft.logic/workflows",
         "name": "[variables('logicAppName')]",
         "location": "[resourceGroup().location]",
         "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
               "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]": {}
            }
         },
         "properties": {
            "definition": {<logic-app-workflow-definition>}
         },
         "parameters": {},
         "dependsOn": [
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities/', variables('userAssignedIdentityName'))]"
         ]
      },
      {
         "apiVersion": "2018-11-30",
         "type": "Microsoft.ManagedIdentity/userAssignedIdentities",
         "name": "[parameters('Template_UserAssignedIdentityName')]",
         "location": "[resourceGroup().location]",
         "properties": {}
      }
  ]
}

Accorder à une identité l’accès aux ressourcesGive identity access to resources

Pour pouvoir vous servir de l’identité managée de votre application logique dans le cadre de l’authentification, configurez l’accès de cette identité à la ressource Azure où vous prévoyez de l’utiliser.Before you can use your logic app's managed identity for authentication, set up access for that identity on the Azure resource where you plan to use the identity. Pour effectuer cette tâche, attribuez le rôle approprié à cette identité sur la ressource Azure cible.To complete this task, assign the appropriate role to that identity on the target Azure resource. Voici les options que vous pouvez utiliser :Here are the options that you can use:

Accorder l’accès dans le portail AzureAssign access in the Azure portal

  1. Dans le portail Azure, accédez à la ressource Azure à laquelle vous souhaitez que votre identité managée ait accès.In the Azure portal, go to the Azure resource where you want your managed identity to have access.

  2. Dans le menu de la ressource, sélectionnez Contrôle d’accès (IAM) > Attributions de rôle pour examiner les attributions de rôles actuelles pour cette ressource.From the resource's menu, select Access control (IAM) > Role assignments where you can review the current role assignments for that resource. Dans la barre d’outils, sélectionnez Ajouter > Ajouter une attribution de rôle.On the toolbar, select Add > Add role assignment.

    Sélectionner « Ajouter » > « Ajouter une attribution de rôle »

    Conseil

    Si l’option Ajouter une attribution de rôle est désactivée, vous n’avez probablement pas les autorisations appropriées.If the Add role assignment option is disabled, you most likely don't have permissions. Pour plus d’informations sur les autorisations permettant de gérer des rôles pour des ressources, voir Autorisations des rôles d’administrateur dans Azure Active Directory.For more information about the permissions that let you manage roles for resources, see Administrator role permissions in Azure Active Directory.

  3. Sous Ajouter une attribution de rôle, sélectionnez un rôle qui donne à votre identité l’accès nécessaire à la ressource cible.Under Add role assignment, select a Role that gives your identity the necessary access to the target resource.

    Pour l’exemple de cette rubrique, votre identité doit avoir un rôle ayant accès à l’objet blob dans un conteneur Stockage Azure.For this topic's example, your identity needs a role that can access the blob in an Azure Storage container.

    Sélectionner « Contributeur aux données Blob du stockage »

  4. Suivez les étapes ci-dessous pour votre identité managée :Follow these steps for your managed identity:

    • Identité affectée par le systèmeSystem-assigned identity

      1. Dans la zone Attribuer l’accès à, sélectionnez Application logique.In the Assign access to box, select Logic App. Quand la propriété Abonnement s’affiche, sélectionnez l’abonnement Azure associé à votre identité.When the Subscription property appears, select the Azure subscription that's associated with your identity.

        Sélectionner l’accès pour un identité attribuée par le système

      2. Dans la zone Sélectionner, sélectionnez votre application logique dans la liste.Under the Select box, select your logic app from the list. Si la liste est trop longue, utilisez la zone Sélectionner pour filtrer la liste.If the list is too long, use the Select box to filter the list.

        Sélectionner une application logique pour l’identité attribuée par le système

    • Identité affectée par l’utilisateurUser-assigned identity

      1. Dans la zone Attribuer l’accès à, sélectionnez Identité managée affectée par l’utilisateur.In the Assign access to box, select User assigned managed identity. Quand la propriété Abonnement s’affiche, sélectionnez l’abonnement Azure associé à votre identité.When the Subscription property appears, select the Azure subscription that's associated with your identity.

        Sélectionner l’accès pour l’identité affectée par l’utilisateur

      2. Sous la case Sélectionner, sélectionnez votre identité dans la liste.Under the Select box, select your identity from the list. Si la liste est trop longue, utilisez la zone sélectionner pour filtrer la liste.If the list is too long, use the Select box to filter the list.

        Sélectionner votre identité affectée par l’utilisateur

  5. Quand vous avez terminé, sélectionnez Enregistrer.When you're done, select Save.

    La liste d’attributions de rôle de la ressource cible affiche maintenant l’identité et le rôle managés sélectionnés.The target resource's role assignments list now shows the selected managed identity and role. Cet exemple montre comment vous pouvez utiliser l’identité affectée par le système pour une application logique, et une identité affectée par l’utilisateur pour un autre groupe d’applications logiques.This example shows how you can use the system-assigned identity for one logic app and a user-assigned identity for a group of other logic apps.

    Identités et rôles managés ajoutés à la ressource cible

    Pour plus d’informations, consultez Attribuer à une identité managée un accès à une ressource à l’aide du portail Azure.For more information, Assign a managed identity access to a resource by using the Azure portal.

  6. À présent, suivez les étapes pour authentifier l’accès avec l’identité dans un déclencheur ou une action prenant en charge les identités managées.Now follow the steps to authenticate access with the identity in a trigger or action that supports managed identities.

Authentifier l’accès avec des identités managéesAuthenticate access with managed identity

Une fois que vous avez activé l’identité managée pour votre application logique et accordé à cette identité l’accès à la ressource ou entité cibles, vous pouvez utiliser cette identité dans des déclencheurs et actions prenant en charge les identités managées.After you enable the managed identity for your logic app and give that identity access to the target resource or entity, you can use that identity in triggers and actions that support managed identities.

Important

Si vous avez une fonction Azure dans laquelle vous voulez utiliser l’identité attribuée par le système, commencez par activer l’authentification pour les fonctions Azure.If you have an Azure function where you want to use the system-assigned identity, first enable authentication for Azure functions.

Ces étapes montrent comment utiliser l’identité managée avec un déclencheur ou une action via le portail Azure.These steps show how to use the managed identity with a trigger or action through the Azure portal. Pour spécifier l’identité managée dans la définition JSON sous-jacente d’un déclencheur ou d’une action, voir Authentification d’identité managée.To specify the managed identity in a trigger or action's underlying JSON definition, see Managed identity authentication.

  1. Dans le portail Azure, ouvrez votre application logique dans le Concepteur d’applications logiques.In the Azure portal, open your logic app in the Logic App Designer.

  2. Si ce n’est encore fait, ajoutez le déclencheur ou l’action prenant en charge les identités managées.If you haven't done so yet, add the trigger or action that supports managed identities.

    Par exemple, le déclencheur ou l’action HTTP peuvent utiliser l’identité attribuée par le système que vous avez activée pour votre application logique.For example, the HTTP trigger or action can use the system-assigned identity that you enabled for your logic app. En général, le déclencheur ou l’action HTTP utilisent ces propriétés pour spécifier la ressource ou l’entité auxquelles vous souhaitez accéder :In general, the HTTP trigger or action uses these properties to specify the resource or entity that you want to access:

    PropriétéProperty ObligatoireRequired DescriptionDescription
    MéthodeMethod OuiYes Méthode HTTP utilisée par l’opération que vous souhaitez exécuterThe HTTP method that's used by the operation that you want to run
    URIURI OuiYes URL de point de terminaison pour accéder à la ressource ou entité Azure cibles.The endpoint URL for accessing the target Azure resource or entity. La syntaxe de l’URI comprend généralement l’ID de ressource pour la ressource ou le service Azure.The URI syntax usually includes the resource ID for the Azure resource or service.
    En-têtesHeaders NonNo Toute valeur d’en-tête que vous devez ou souhaitez inclure dans la demande sortante, telle que le type de contenuAny header values that you need or want to include in the outgoing request, such as the content type
    RequêtesQueries NonNo Tout paramètre de requête que vous devez ou souhaitez inclure dans la demande, tel que le paramètre pour une opération spécifique ou la version de l’API pour l’opération que vous souhaitez exécuterAny query parameters that you need or want to include in the request, such as the parameter for a specific operation or the API version for the operation that you want to run
    AuthentificationAuthentication OuiYes Type d’authentification à utiliser pour authentifier l’accès à la ressource ou entité ciblesThe authentication type to use for authenticating access to the target resource or entity

    À titre d’exemple, supposons que vous souhaitez exécuter l’opération de capture instantanée d’objet blob sur un blob dans le compte de Stockage Azure où vous avez précédemment configuré l’accès pour votre identité.As a specific example, suppose that you want to run the Snapshot Blob operation on a blob in the Azure Storage account where you previously set up access for your identity. Toutefois, le connecteur de Stockage Blob Azure ne propose pas cette opération actuellement.However, the Azure Blob Storage connector doesn't currently offer this operation. Au lieu de cela, vous pouvez l’exécuter à l’aide de l’action HTTP ou d’une autre opération de l’API REST du service BLOB.Instead, you can run this operation by using the HTTP action or another Blob Service REST API operation.

    Important

    Pour accéder aux comptes de stockage Azure derrière des pare-feu en utilisant des requêtes HTTP et des identités managées, veillez à configurer également votre compte de stockage avec l’exception qui autorise l’accès de services Microsoft approuvés.To access Azure storage accounts behind firewalls by using HTTP requests and managed identities, make sure that you also set up your storage account with the exception that allows access by trusted Microsoft services.

    Pour exécuter l’opération de capture instantanée d’objet blob, l’action HTTP spécifie les propriétés suivantes :To run the Snapshot Blob operation, the HTTP action specifies these properties:

    PropriétéProperty ObligatoireRequired Valeur d'exempleExample value DescriptionDescription
    MéthodeMethod OuiYes PUT Méthode HTTP utilisée par l’opération de capture instantanée d’objet blobThe HTTP method that the Snapshot Blob operation uses
    URIURI OuiYes https://{storage-account-name}.blob.core.windows.net/{blob-container-name}/{folder-name-if-any}/{blob-file-name-with-extension} ID de ressource d’un fichier de Stockage Blob Azure dans l’environnement global (public) Azure qui utilise cette syntaxeThe resource ID for an Azure Blob Storage file in the Azure Global (public) environment, which uses this syntax
    En-têtesHeaders Oui, pour Stockage AzureYes, for Azure Storage x-ms-blob-type = BlockBlob

    x-ms-version = 2019-02-02

    Valeurs d’en-tête x-ms-blob-type et x-ms-version requises pour les opérations de Stockage Azure.The x-ms-blob-type and x-ms-version header values that are required for Azure Storage operations.

    Important ! Dans le déclencheur HTTP sortant et les demandes d’action pour Stockage Azure, l’en-tête requiert la propriété x-ms-version et la version de l’API pour l’opération que vous souhaitez exécuter.Important: In outgoing HTTP trigger and action requests for Azure Storage, the header requires the x-ms-version property and the API version for the operation that you want to run.

    Pour plus d’informations, consultez les rubriques suivantes :For more information, see these topics:

    - En-têtes de demande – Capture instantanée d’objet blob- Request headers - Snapshot Blob
    - Contrôle de version pour les services Stockage Azure- Versioning for Azure Storage services

    RequêtesQueries Oui, pour cette opérationYes, for this operation comp = snapshot Nom et valeur du paramètre de requête pour l’opération de capture instantanée d’objet blob.The query parameter name and value for the Snapshot Blob operation.

    Voici l’exemple d’action HTTP qui affiche toutes ces valeurs de propriété :Here is the example HTTP action that shows all these property values:

    Ajouter une action HTTP pour accéder à une ressource Azure

  3. Ajoutez à présent la propriété Authentification à l’action HTTP.Now add the Authentication property to the HTTP action. Dans la liste Ajouter un nouveau paramètre, sélectionnez Authentification.From the Add new parameter list, select Authentication.

    Ajouter la propriété « Authentification » à l’action HTTP

    Notes

    Tous les déclencheurs et toutes les actions ne vous permettent pas d’ajouter un type d’authentification.Not all triggers and actions support letting you add an authentication type. Pour plus d’informations, voir Ajouter l’authentification aux appels sortants.For more information, see Add authentication to outbound calls.

  4. Dans la liste Type d’authentification, sélectionnez Identité managée.From the Authentication type list, select Managed Identity.

    Pour « Authentification », sélectionner « Identité managée »

  5. Dans la liste des identités managées, sélectionnez les options disponibles en fonction de votre scénario.From the managed identity list, select from the available options based on your scenario.

    • Si vous configurez l’identité affectée par le système, sélectionnez Identité managée affectée par le système, si cela n’est pas déjà fait.If you set up the system-assigned identity, select System Assigned Managed Identity if not already selected.

      Sélectionner « Identité managée affectée par le système »

    • Si vous configurez une identité affectée par l’utilisateur, sélectionnez cette identité, si cela n’est pas déjà fait.If you set up a user-assigned identity, select that identity if not already selected.

      Sélectionner l’identité affectée par l’utilisateur

    Cet exemple se poursuit avec Identité managée affectée par le système.This example continues with the System Assigned Managed Identity.

  6. Sur certains déclencheurs et actions, la propriété Audience apparaît également pour vous permettre de définir l’ID de ressource cible.On some triggers and actions, the Audience property also appears for you to set the target resource ID. Affectez à la propriété Audience la valeur de l’ID de ressource de la ressource ou du service cible.Set the Audience property to the resource ID for the target resource or service. Autrement, par défaut, la propriété Audience utilise l’ID de ressource https://management.azure.com/, qui est l’ID de ressource pour Azure Resource Manager.Otherwise, by default, the Audience property uses the https://management.azure.com/ resource ID, which is the resource ID for Azure Resource Manager.

    Important

    Vérifiez que l’ID de ressource cible correspond exactement à la valeur qu’attend Azure Active Directory, y compris les barres obliques de fin obligatoires.Make sure that the target resource ID exactly matches the value that Azure Active Directory (AD) expects, including any required trailing slashes. Par exemple, l’ID de ressource pour tous les comptes de Stockage Blob Azure requiert une barre oblique finale.For example, the resource ID for all Azure Blob Storage accounts requires a trailing slash. Toutefois, l’ID de ressource pour un compte de stockage spécifique ne requiert pas de barre oblique finale.However, the resource ID for a specific storage account doesn't require a trailing slash. Vérifiez les ID de ressource des services Azure qui prennent en charge Azure AD.Check the resource IDs for the Azure services that support Azure AD.

    Cet exemple définit la propriété Audience sur https://storage.azure.com/ afin que les jetons d’accès utilisés pour l’authentification soient valides pour tous les comptes de stockage.This example sets the Audience property to https://storage.azure.com/ so that the access tokens used for authentication are valid for all storage accounts. Toutefois, vous pouvez également spécifier l’URL du service racine, https://fabrikamstorageaccount.blob.core.windows.net, pour un compte de stockage spécifique.However, you can also specify the root service URL, https://fabrikamstorageaccount.blob.core.windows.net, for a specific storage account.

    Affecter à la propriété « Audience » l’ID de ressource cible

    Pour plus d’informations sur l’autorisation de l’accès avec Azure AD pour Azure Storage, consultez les rubriques suivantes :For more information about authorizing access with Azure AD for Azure Storage, see these topics:

  7. Continuez à créer l’application logique comme vous le souhaitez.Continue building the logic app the way that you want.

Désactiver l’identité managéeDisable managed identity

Pour arrêter d’utiliser une identité managée pour votre application logique, vous disposez des options suivantes :To stop using a managed identity for your logic app, you have these options:

Si vous supprimez votre application logique, Azure supprime automatiquement d’Azure AD l’identité managée.If you delete your logic app, Azure automatically removes the managed identity from Azure AD.

Désactiver l’identité managée dans le portail AzureDisable managed identity in the Azure portal

Dans le portail Azure, supprimez d’abord l’accès de l’identité à votre ressource cible.In the Azure portal, first remove the identity's access to your target resource. Désactivez ensuite l’identité affectée par le système, ou supprimez l’identité affectée par l’utilisateur de votre application logique.Next, turn off the system-assigned identity or remove the user-assigned identity from your logic app.

Supprimer l’accès d’une identité à des ressourcesRemove identity access from resources

  1. Dans le portail Azure, accédez à la ressource Azure cible dont vous souhaitez supprimer l’accès à l’identité managée.In the Azure portal, go to the target Azure resource where you want to remove access for the managed identity.

  2. Dans le menu de la ressource cible, sélectionnez Contrôle d’accès (IAM) .From the target resource's menu, select Access control (IAM). Sous la barre d’outils, sélectionnez Attributions de rôle.Under the toolbar, select Role assignments.

  3. Dans la liste des rôles, sélectionnez les identités managées que vous souhaitez supprimer.In the roles list, select the managed identities that you want to remove. Dans la barre d’outils, sélectionnez Supprimer.On the toolbar, select Remove.

    Conseil

    Si l’option Supprimer est désactivée, vous n’avez probablement pas les autorisations appropriées.If the Remove option is disabled, you most likely don't have permissions. Pour plus d’informations sur les autorisations permettant de gérer des rôles pour des ressources, voir Autorisations des rôles d’administrateur dans Azure Active Directory.For more information about the permissions that let you manage roles for resources, see Administrator role permissions in Azure Active Directory.

L’identité managée est maintenant supprimée et n’a plus accès à la ressource cible.The managed identity is now removed and no longer has access to the target resource.

Désactiver l’identité managée sur l’application logiqueDisable managed identity on logic app

  1. Dans le portail Azure, ouvrez votre application logique dans le Concepteur d’applications logiques.In the Azure portal, open your logic app in Logic App Designer.

  2. Dans le menu de l’application logique, sous Paramètres, sélectionnez Identité, puis suivez les étapes correspondant à votre identité :On the logic app menu, under Settings, select Identity, and then follow the steps for your identity:

    • Sélectionnez Affecté(e) par le système > Actif > Enregistrer.Select System assigned > On > Save. Quand Azure vous invite à confirmer l’opération, sélectionnez Oui.When Azure prompts you to confirm, select Yes.

      Désactiver l’identité affectée par le système

    • Sélectionnez Affecté(e) par l’utilisateur et l’identité managée, puis sélectionnez Supprimer.Select User assigned and the managed identity, and then select Remove. Quand Azure vous invite à confirmer l’opération, sélectionnez Oui.When Azure prompts you to confirm, select Yes.

      Supprimer l’identité affectée par l’utilisateur

L’identité managée est désormais désactivée sur votre application logique.The managed identity is now disabled on your logic app.

Désactiver une identité managée dans un modèle Azure Resource ManagerDisable managed identity in Azure Resource Manager template

Si vous avez créé l’identité managée de l’application logique à l’aide d’un modèle Azure Resource Manager, affectez la valeur None à la propriété enfant type de l’objet identity.If you created the logic app's managed identity by using an Azure Resource Manager template, set the identity object's type child property to None.

"identity": {
   "type": "None"
}

Étapes suivantesNext steps