S’authentifier auprès des ressources Azure à partir d’applications Python hébergées localement

Les applications hébergées en dehors de Azure, telles que locales ou dans un centre de données tiers, doivent utiliser un principal de service d’application via Microsoft Entra ID pour s’authentifier auprès de Azure services. Dans les sections à venir, vous allez apprendre :

Comment inscrire une application auprès de Microsoft Entra pour créer un principal de service
Comment attribuer des rôles aux permissions d'étendue ?
Comment s’authentifier à l’aide d’un principal de service à partir de votre code d’application

L’utilisation de principaux de service d’application dédié vous permet d’adhérer au principe de privilège minimum lors de l’accès aux ressources Azure. Les autorisations sont limitées aux exigences spécifiques de l’application pendant le développement, ce qui empêche l’accès accidentel aux ressources Azure destinées à d’autres applications ou services. Cette approche permet également d’éviter les problèmes lorsque l’application est déplacée en production en s’assurant qu’elle n’est pas sur-privilégiée dans l’environnement de développement.

Une inscription d’application différente doit être créée pour chaque environnement dans lequel l’application est hébergée. Cela permet de configurer des autorisations de ressources spécifiques à l'environnement pour chaque principal de service et de s'assurer qu'une application déployée dans un environnement ne communique pas avec Azure ressources qui font partie d'un autre environnement.

Inscrire l’application dans Azure

Les objets principaux du service d’application sont créés via une inscription d’application dans Azure à l’aide du portail Azure ou de Azure CLI.

portail Azure
Azure CLI

Dans le portail Azure, utilisez la barre de recherche pour accéder à la page App registrations.
Dans la page App registrations, sélectionnez + Nouvelle inscription.
Dans la page Inscrire une application :
- Pour le champ Nom, entrez une valeur descriptive qui inclut le nom de l’application et l’environnement cible.
- Pour Types de comptes pris en charge, sélectionnez Comptes qui se trouvent uniquement dans cet annuaire organisationnel (géré par le client uniquement - locataire unique), ou l’option qui correspond le mieux à vos besoins.
Sélectionnez Inscrire pour inscrire votre application et créer le principal du service.

capture d’écran
Dans la page d'inscription de l'application , copiez l'ID d'application (client) et l'ID de répertoire (locataire) et collez-les dans un emplacement temporaire pour une utilisation ultérieure dans les configurations de code de votre application.
Sélectionnez Ajouter un certificat ou un secret pour configurer des informations d’identification pour votre application.
Sur la page Certificats & secrets, sélectionnez + Nouvelle clé secrète client.
Dans le panneau volant Ajouter un secret client qui s’ouvre :
- Pour la Description, entrez la valeur Current.
- Pour la Expire valeur, conservez la valeur recommandée par défaut de 180 jours.
- Sélectionnez Ajouter pour ajouter le secret.
Sur la page Certificats & secrets, copiez la propriété Valeur du secret client à utiliser dans une étape ultérieure.

Note

La valeur de la clé secrète client n’est affichée qu’une fois après la création de l'inscription de l'application. Vous pouvez ajouter d’autres secrets client sans invalider ce secret client, mais il n’existe aucun moyen d’afficher cette valeur à nouveau.

Azure CLI commandes peuvent être exécutées dans le Azure Cloud Shell ou sur une station de travail avec le Azure CLI installé.

Utilisez la commande az ad sp create-for-rbac pour créer une inscription et un principal de service pour l’application.

az ad sp create-for-rbac --name <service-principal-name>

La sortie de cette commande ressemble au code JSON suivant :

{
  "appId": "00000000-0000-0000-0000-000000000000",
  "displayName": "<service-principal-name>",
  "password": "abcdefghijklmnopqrstuvwxyz",
  "tenant": "11111111-1111-1111-1111-111111111111"
}

Copiez cette sortie dans un fichier temporaire dans un éditeur de texte, car vous aurez besoin de ces valeurs dans une prochaine étape.

Note

La valeur de la clé secrète client n’est affichée qu’une fois après la création de l'inscription de l'application. Vous pouvez ajouter d’autres secrets client sans invalider ce secret client, mais il n’existe aucun moyen d’afficher cette valeur à nouveau.

Attribuer des rôles au principal du service d’application

Ensuite, déterminez les rôles (autorisations) dont votre application a besoin sur les ressources et attribuez ces rôles au principal de service que vous avez créé. Les rôles peuvent être attribués au niveau de la ressource, du groupe de ressources ou de l’étendue de l’abonnement. Cet exemple montre comment attribuer des rôles à l’étendue du groupe de ressources, car la plupart des applications regroupent toutes leurs ressources Azure en un seul groupe de ressources.

portail Azure
Azure CLI

Dans le portail Azure, accédez à la page Overview du groupe de ressources qui contient votre application.
Dans le menu de navigation de gauche, sélectionnez Contrôle d’accès (IAM) .
Dans la page Contrôle d’accès (IAM), sélectionnez + Ajouter , puis choisissez Ajouter une attribution de rôle dans le menu déroulant. La page Ajouter une attribution de rôle fournit plusieurs onglets pour configurer et attribuer des rôles.
Sous l’onglet Rôle , utilisez la zone de recherche pour localiser le rôle que vous souhaitez attribuer. Sélectionnez le rôle, puis choisissez Suivant.
Sous l’onglet Membres :
- Pour la valeur Attribuer l’accès à, sélectionnez Utilisateur, groupe ou principal de service.
- Pour la valeur Membres , choisissez + Sélectionner des membres pour ouvrir le volet volant Sélectionner des membres .
- Recherchez le principal de service que vous avez créé précédemment et sélectionnez-le dans les résultats filtrés. Choisissez Sélectionner pour choisir le groupe et fermer le volet déroulant.
- Sélectionnez Vérifier + affecter en bas de l’onglet Membres .
Sous l’onglet Révision + affectation , sélectionnez Vérifier + affecter en bas de la page.

Utilisez la commande az role definition list pour obtenir les noms des rôles auxquels un principal de service peut être affecté :

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Utilisez la commande az role assignment create pour affecter un rôle à un principal de service d’application :
```
az role assignment create \
    --assignee "<app-Id>" \
    --role "<role-name>" \
    --resource-group "<resource-group-name>"
```
Pour plus d’informations sur l’attribution d’autorisations au niveau de la ressource ou de l’abonnement à l’aide du Azure CLI, consultez Assigner des rôles Azure à l’aide du Azure CLI.

Définir les variables d’environnement d’application

Lors de l’exécution, certaines authentifications de la bibliothèque d’identités Azure, telles que DefaultAzureCredential, EnvironmentCredential et ClientSecretCredential, recherchent par convention les informations de principal de service dans les variables d’environnement. Il existe plusieurs façons de configurer des variables d’environnement lors de l’utilisation de Python, en fonction de vos outils et de votre environnement.

Quelle que soit l’approche choisie, configurez les variables d’environnement suivantes pour un principal de service :

AZURE_CLIENT_ID : utilisé pour identifier l’application inscrite dans Azure.
AZURE_TENANT_ID : ID du locataire Microsoft Entra.
AZURE_CLIENT_SECRET: informations d’identification secrètes générées pour l’application.

Dans Visual Studio Code, les variables d’environnement peuvent être définies dans le fichier launch.json situé dans le dossier .vscode de votre projet. Ces valeurs sont extraites automatiquement au démarrage de l’application. Toutefois, ces configurations ne se déplacent pas avec votre application pendant le déploiement. Vous devez donc configurer des variables d’environnement sur votre environnement d’hébergement cible.

{
    "configurations": [
        {
            "env": {
                "AZURE_CLIENT_ID": "<your-client-id>",
                "AZURE_TENANT_ID": "<your-tenant-id>",
                "AZURE_CLIENT_SECRET": "<your-client-secret>"
            }
        }
    ]
}

À partir de la ligne de commande Windows, vous pouvez définir des variables d’environnement au niveau de l’utilisateur à l’aide des commandes suivantes :

setx AZURE_CLIENT_ID "<your-client-id>"
setx AZURE_TENANT_ID "<your-tenant-id>"
setx AZURE_CLIENT_SECRET "<your-client-secret>"

Les variables d’environnement au niveau du système peuvent également être définies si vous exécutez l’invite de commandes en tant qu’administrateur et ajoutez l’indicateur /m :

setx AZURE_CLIENT_ID "<your-client-id>" /m
setx AZURE_TENANT_ID "<your-tenant-id>" /m
setx AZURE_CLIENT_SECRET "<your-client-secret>" /m

PowerShell peut également être utilisé pour définir des variables d’environnement au niveau utilisateur ou système :

Utilisez les commandes suivantes pour définir les variables d’environnement au niveau de l’utilisateur à l’aide de PowerShell :

[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "User")

Les variables d’environnement au niveau du système peuvent également être définies à l’aide de PowerShell si vous l’ouvrez avec l’option « Exécuter en tant qu’administrateur » :

[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "Machine")

Lorsque vous utilisez Gunicorn pour exécuter des applications web Python dans un environnement de serveur UNIX, les variables d’environnement d’une application peuvent être spécifiées à l’aide de la directive EnvironmentFile dans le fichier gunicorn.service, comme indiqué ci-dessous :

[Unit]
Description=gunicorn daemon
After=network.target

[Service]
User=www-user
Group=www-data
WorkingDirectory=/path/to/python-app
EnvironmentFile=/path/to/python-app/py-env/app-environment-variables
ExecStart=/path/to/python-app/py-env/bin/gunicorn --config config.py wsgi:app

[Install]
WantedBy=multi-user.target

Le fichier spécifié dans la EnvironmentFile directive doit contenir une liste de variables d’environnement avec leurs valeurs, comme indiqué ci-dessous :

AZURE_CLIENT_ID=<your-client-id>
AZURE_TENANT_ID=<your-tenant-id>
AZURE_CLIENT_SECRET=<your-client-secret>

S’authentifier auprès de Azure services à partir de votre application

La bibliothèque azure-identity fournit diverses credentials : implémentations de TokenCredential adaptées à la prise en charge de différents scénarios et flux d’authentification Microsoft Entra. Les étapes suivantes montrent comment utiliser ClientSecretCredential lorsqu'on utilise des principaux de service localement et en production.

Implémenter le code

Commencez par ajouter le package à votre application.

pip install azure-identity

Ensuite, pour tout code Python qui crée un objet client Azure SDK dans votre application, vous devez :

Importez la classe ClientSecretCredential du module azure.identity.
Importez le os module pour lire les variables d’environnement.
Lisez les variables d’environnement pour obtenir l’ID client, l’ID de locataire et la clé secrète client.
Créez un ClientSecretCredential objet en passant l’ID du locataire, l’ID client et la clé secrète client.
Transmettez l’objet ClientSecretCredential au constructeur d’objet client Azure SDK.

Un exemple de cette approche est illustré dans le segment de code suivant.

import os
from azure.identity import ClientSecretCredential
from azure.storage.blob import BlobServiceClient

tenant_id = os.environ.get("AZURE_TENANT_ID")
client_id = os.environ.get("AZURE_CLIENT_ID")
client_secret = os.environ.get("AZURE_CLIENT_SECRET")

credential = ClientSecretCredential(tenant_id, client_id, client_secret)

blob_service_client = BlobServiceClient(
    account_url="https://<my_account_name>.blob.core.windows.net",
    credential=credential)

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-03-06