Configuration d’OpenID Connect dans Azure

Utilisez OpenID Connect dans vos flux de travail pour vous authentifier auprès de Azure.

Dans cet article

Remarque

Les exécuteurs hébergés sur GitHub Enterprise Server ne sont pas pris en charge sur GitHub.

Vue d’ensemble

OpenID Connect (OIDC) permet à vos GitHub Actions flux de travail d’accéder aux ressources dans Azure, sans avoir à stocker les informations d’identification Azure comme secrets de longue durée GitHub .

Ce guide fournit une vue d’ensemble de la configuration d’Azure pour approuver GitHubl’OIDC en tant qu’identité fédérée et inclut un exemple de flux de travail pour l’action azure/login qui utilise des jetons pour s’authentifier auprès d’Azure et accéder aux ressources.

Prérequis

  • Pour en savoir plus sur les concepts de base décrivant la façon dont GitHub utilise OIDC (OpenID Connect) ainsi que sur son architecture et ses avantages, consultez OpenID Connect.

  • Avant de continuer, vous devez planifier votre stratégie de sécurité pour veiller à ce que les jetons d’accès soient uniquement alloués de manière prévisible. Pour contrôler la façon dont votre fournisseur de cloud émet des jetons d’accès, vous devez définir au moins une condition, afin que les dépôts non approuvés ne puissent pas demander de jetons d’accès à vos ressources cloud. Pour plus d’informations, consultez « OpenID Connect ».

  • Assurez-vous que les points de terminaison OIDC suivants sont accessibles par votre fournisseur de cloud :

    • https://HOSTNAME/_services/token/.well-known/openid-configuration
    • https://HOSTNAME/_services/token/.well-known/jwks

    Remarque

    Microsoft Entra ID (anciennement Azure AD) n’a pas de plages d’adresses IP fixes définies pour ces points de terminaison.

  • Assurez-vous que la valeur de la réclamation de l'émetteur incluse avec JSON Web Token (JWT) est définie sur une URL accessible au public. Pour plus d’informations, consultez « OpenID Connect ».

Ajout des informations d’identification fédérées à Azure

          GitHubLe fournisseur OIDC fonctionne avec la fédération des identités de charge de travail d’Azure. Pour obtenir une vue d’ensemble, consultez la documentation de Microsoft sur la « fédération d'identité des charges de travail ».

Pour configurer le fournisseur d’identité OIDC dans Azure, vous devez effectuer la configuration suivante. Pour obtenir des instructions sur l’exécution de ces modifications, reportez-vous à la documentation Azure.

  1. Créez une application Entra ID et un principal de service.
  2. Ajoutez des informations d’identification fédérées pour l’application Entra ID.
  3. Créez des GitHub secrets pour stocker la configuration Azure.

Conseils supplémentaires pour la configuration du fournisseur d’identité :

  • Pour le renforcement de la sécurité, veuillez consulter « OpenID Connect ». Pour obtenir un exemple, consultez « OpenID Connect ».
  • Pour le réglage audience, api://AzureADTokenExchange est la valeur recommandée, mais vous pouvez également spécifier d'autres valeurs ici.

Mise à jour de votre GitHub Actions flux de travail

Pour mettre à jour vos workflows pour OIDC, vous devez apporter deux modifications à votre code YAML :

  1. Ajoutez des paramètres d’autorisations pour le jeton.
  2. Utilisez l’action azure/login pour échanger le jeton OIDC (JWT) pour un jeton d’accès cloud.

Remarque

Lorsque des environnements sont utilisés dans des workflows ou dans des stratégies OIDC, nous vous recommandons d’ajouter des règles de protection à l’environnement pour plus de sécurité. Par exemple, vous pouvez configurer des règles de déploiement sur un environnement pour restreindre les branches et balises pouvant être déployées dans l’environnement ou accéder aux secrets d’environnement. Pour plus d’informations, consultez « Gestion des environnements pour le déploiement ».

Ajout de paramètres d’autorisations

L’exécution d’une tâche ou d’un flux de travail nécessite un paramètre permissions avec id-token: write pour permettre au fournisseur OIDC de GitHub de créer un jeton Web JSON pour chaque exécution.

Remarque

Le paramètre id-token: write dans les autorisations du flux de travail ne donne pas au flux de travail l’autorisation de modifier ou d’écrire dans des ressources. Au lieu de cela, il permet uniquement au flux de travail de demander (récupérer) et d’utiliser (définir) un jeton OIDC pour une action ou une étape. Ce jeton est ensuite utilisé pour s’authentifier auprès de services externes à l’aide d’un jeton d’accès à courte durée de vie.

Pour plus d’informations sur les autorisations requises, les exemples de configuration et les scénarios avancés, consultez Informations de référence sur OpenID Connect.

Demande du jeton d’accès

L’action azure/login reçoit un JWT du GitHub fournisseur OIDC, puis demande un jeton d’accès auprès d’Azure. Pour plus d’informations, consultez la documentation azure/login.

L’exemple suivant échange un jeton d’ID OIDC avec Azure pour recevoir un jeton d’accès, qui peut ensuite être utilisé pour accéder aux ressources cloud.

YAML
# Ce workflow utilise des actions qui ne sont pas certifiées par GitHub.
# Elles sont fournies par un tiers et régies par
# des conditions d’utilisation du service, une politique de confidentialité et un support distincts.
# documentation en ligne.
name: Run Azure Login with OIDC
on: [push]

permissions:
  id-token: write
  contents: read
jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
      - name: 'Az CLI login'
        uses: azure/login@8c334a195cbb38e46038007b304988d888bf676a
        with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

      - name: 'Run az commands'
        run: |
          az account show
          az group list

Pour aller plus loin