Authentification auprès du coffre avec les identités managées des ressources Azure

  • 4 minutes

Azure Key Vault utilise Microsoft Entra ID pour authentifier les utilisateurs et les applications qui tentent d’accéder à un coffre. Pour octroyer à notre application web l’accès au coffre, vous devez d’abord enregistrer votre application auprès de Microsoft Entra ID. L’inscription crée une identité pour l’application. Une fois que l’application a une identité, vous pouvez lui accorder des autorisations au coffre.

Les applications et utilisateurs s’authentifient auprès de Key Vault à l’aide d’un jeton d’authentification Microsoft Entra. L’obtention d’un jeton à partir de Microsoft Entra ID nécessite un secret ou un certificat. Toute personne disposant d’un jeton peut utiliser l’identité de l’application pour accéder à tous les secrets du coffre.

Vos secrets d’application sont sécurisés dans le coffre, mais vous devez toujours conserver un secret ou un certificat en dehors du coffre pour y accéder ! Ce problème est appelé problème de démarrage, et Azure dispose d’une solution pour y remédier.

Identités gérées pour les ressources Azure

Les identités managées pour les ressources Azure est une fonctionnalité d’Azure App Service que votre application peut utiliser pour accéder à Key Vault et à d’autres services Azure sans avoir à gérer le moindre secret en dehors du coffre. Utiliser une identité managée est un moyen simple et sécurisé de tirer parti de Key Vault à partir de votre application web.

Quand vous activez une identité managée dans votre application web, Azure active un service REST distinct d’octroi de jeton spécifiquement dédié à votre application. Votre application demande des jetons à ce service plutôt que directement à Microsoft Entra ID. Votre application doit utiliser un secret pour accéder à ce service, mais ce secret est injecté dans les variables d’environnement de votre application par App Service au démarrage. Vous n’avez pas besoin de gérer ou de stocker cette valeur secrète, et rien en dehors de votre application ne peut accéder à ce secret ou au point de terminaison de service de jeton d’identité managée.

Les identités managées pour les ressources Azure inscrivent également votre application dans Microsoft Entra ID pour vous. Microsoft Entra ID supprime l’inscription si vous supprimez l’application web ou désactivez son identité managée.

Les identités managées sont disponibles dans toutes les éditions de Microsoft Entra ID, notamment dans l’édition gratuite comprise dans un abonnement Azure. Les utiliser dans App Service n’occasionne aucun coût supplémentaire et ne nécessite aucune configuration, et vous pouvez les activer ou les désactiver sur une application à tout moment.

L’activation d’une identité managée pour une application web ne nécessite qu’une simple commande Azure CLI sans aucune configuration. Cette opération s’effectue plus tard, lorsque vous configurez une application App Service et que vous la déployez sur Azure. Mais avant cela, appliquez vos connaissances en matière d’identités managées pour écrire le code de notre application.

Vérifiez vos connaissances

1.

Comment l’utilisation des identités managées des ressources Azure change la façon dont une application s’authentifie auprès d’Azure Key Vault ?

2.

Parmi les propositions suivantes, laquelle décrit un avantage essentiel lié à l’utilisation des identités managées pour ressources Azure dans le cadre de l’authentification d’une application auprès de Key Vault ?