Azure get access token with client secret

Pour

accéder aux API REST Azure, telles que l’API Log Analytics, ou pour envoyer des métriques personnalisées, vous pouvez générer un jeton d’autorisation basé sur un ID client et un secret. Le jeton est ensuite transmis dans votre demande d’API REST. Cet article vous montre comment inscrire une application cliente et créer une clé secrète client afin de pouvoir générer un jeton.

Inscrire une application

Créez un principal de service et inscrivez une application à l’aide du portail Azure, d’Azure CLI ou de PowerShell.

  1. Pour inscrire une application, ouvrez la page Vue d’ensemble d’Active Directory dans le portail Azure.

  2. Sélectionnez Inscriptions d’applications dans la barre latérale.

  3. Sur

  4. la page Enregistrer une application, entrez un Nom de l’application.

  5. Sélectionnez S’inscrire

  6. Sur la page de présentation de l’application, sélectionnez Certificats et secrets

  7. Notez l’ID de l’application (client) . Il est utilisé dans la requête HTTP d’un jeton.

  8. Dans l’onglet Clés secrètes client, sélectionnez Nouvelle clé secrète client

  9. , entrez une description, puis sélectionnez Ajouter

  10. une copie et enregistrez la valeur de la clé secrète client.

    Remarque Les

    valeurs de clé secrète client ne peuvent être affichées qu’immédiatement après leur création. Assurez-vous de sauvegarder le secret avant de quitter la page.

Courir Le script suivant pour créer un principal de service et une application.

La réponse se présente comme suit :

Important

La sortie inclut les informations d’identification que vous devez protéger. Assurez-vous de ne pas inclure ces informations d’identification dans votre code ou de les vérifier dans votre contrôle de code source.

Ajouter un rôle et une étendue pour les ressources auxquelles vous souhaitez accéder à l’aide de l’API

L’exemple suivant de l’interface de ligne de commande attribue le rôle au principal de service pour toutes les ressources du groupe de ressources :

Pour plus d’informations sur la création d’un principal de service à l’aide d’Azure CLI, consultez Créer un principal de service Azure avec Azure CLI.

L’exemple de script suivant illustre la création d’un principal de service Microsoft Entra via PowerShell. Pour une procédure pas à pas plus détaillée, consultez Utilisation d’Azure PowerShell pour créer un principal de service afin d’accéder aux ressources

Avant de pouvoir générer un jeton à l’aide de votre application, de votre ID client et de votre code secret, attribuez l’application à un rôle à l’aide du contrôle d’accès (IAM) pour la ressource à laquelle vous souhaitez accéder. Le rôle dépend du type de ressource et de l’API que vous souhaitez utiliser.
Par exemple,

  • pour autoriser la lecture de votre application à partir d’un espace de travail Log Analytics, ajoutez-la en tant que membre au rôle Lecteur à l’aide du contrôle d’accès (IAM) pour votre espace de travail Log Analytics. Pour plus d’informations, consultez Accéder à l’API

  • Pour accorder l’accès à l’envoi de métriques personnalisées pour une ressource, ajoutez votre application en tant que membre au rôle Éditeur de mesures de surveillance à l’aide du contrôle d’accès (IAM) pour votre ressource. Pour plus d’informations, consultez Envoyer des métriques à la base de données de métriques Azure Monitor à l’aide de l’API REST

. Pour plus d’informations, consultez Attribuer des rôles Azure à l’aide d’Azure Une

fois que vous avez attribué un rôle, vous pouvez utiliser votre application, votre ID client et votre clé secrète client pour générer un jeton de porteur afin d’accéder à l’API REST.

Remarque

Lors de l’utilisation de l’authentification Microsoft Entra, il peut s’écouler jusqu’à 60 minutes avant que l’API REST Azure Application Insights ne reconnaisse les nouvelles autorisations de contrôle d’accès en fonction du rôle (RBAC). Pendant la propagation des autorisations, les appels d’API REST peuvent échouer avec le code d’erreur 403.