Méthodes supplémentaires pour s'authentifier auprès des ressources Azure à partir d'applications Python

Cet article répertorie des méthodes supplémentaires que les applications peuvent utiliser pour s'authentifier auprès des ressources Azure. Les méthodes présentées dans cet article sont moins couramment utilisées ; dans la mesure du possible, nous vous encourageons à utiliser l'une des méthodes décrites dans l'authentification des applications Python auprès d'Azure à l'aide de la présentation du SDK Azure.

Authentification interactive du navigateur

Cette méthode authentifie de manière interactive une application par le biais de InteractiveBrowserCredential en collectant les informations d’identification de l’utilisateur dans le système par défaut.

L’authentification interactive du navigateur active l’application pour toutes les opérations autorisées par les informations d’identification de connexion interactives. Par conséquent, si vous êtes le ou la propriétaire ou l’administrateur(-trice) de votre abonnement, votre code a un accès inhérent à la plupart des ressources de cet abonnement sans avoir à attribuer d’autorisations spécifiques. Pour cette raison, l’utilisation de l’authentification interactive du navigateur est déconseillée dans tous les cas de figure, excepté pour l’expérimentation.

Activer les applications pour l'authentification par navigateur interactif

Effectuez les étapes suivantes pour permettre à l'application de s'authentifier via le flux du navigateur interactif. Ces étapes fonctionnent également pour l'authentification par code d'appareil décrite plus loin. Cette procédure n'est nécessaire que si vous utilisez InteractiveBrowserCredential dans votre code.

  1. Sur le portail Azure, naviguez vers Microsoft Entra ID et sélectionnez Enregistrements d'applications dans le menu de gauche.

  2. Sélectionnez l'enregistrement de votre application, puis sélectionnez Authentification.

  3. Sous Paramètres avancés, sélectionnez Oui pour Autoriser les flux de clients publics.

  4. Sélectionnez Enregistrer pour appliquer la modification.

  5. Pour autoriser l'application pour des ressources spécifiques, naviguez jusqu'à la ressource en question, sélectionnez Permissions API et activez Microsoft Graph et les autres ressources auxquelles vous souhaitez accéder. Microsoft Graph est activé par défaut.

    Important

    Vous devez également être l'administrateur de votre locataire pour accorder le consentement à votre application lorsque vous vous connectez pour la première fois.

Si vous ne pouvez pas configurer l'option de flux de code d'appareil sur votre Active Directory, il se peut que votre application doive être multitenant. Pour effectuer cette modification, accédez au panneau Authentification, sélectionnez Comptes dans n'importe quel répertoire d'organisation (sous Types de comptes pris en charge), puis sélectionnez Oui pour Autoriser les flux de clients publics.

Exemple utilisant InteractiveBrowserCredential

L’exemple suivant illustre l’utilisation de InteractiveBrowserCredential pour s’authentifier auprès de SubscriptionClient :

# Show Azure subscription information

import os
from azure.identity import InteractiveBrowserCredential
from azure.mgmt.resource import SubscriptionClient

credential = InteractiveBrowserCredential()
subscription_client = SubscriptionClient(credential)

subscription = next(subscription_client.subscriptions.list())
print(subscription.subscription_id)

Pour un contrôle plus précis, par exemple pour définir des URI de redirection, vous pouvez fournir des arguments spécifiques à InteractiveBrowserCredential, comme redirect_uri.

Authentification de code d’appareil

Cette méthode authentifie de manière interactive un utilisateur sur des appareils avec une interface utilisateur limitée (généralement des appareils sans clavier) :

  1. Lorsque l’application tente de s’authentifier, les informations d’identification invitent l’utilisateur avec une URL et un code d’authentification.
  2. L’utilisateur visite l’URL sur un appareil distinct avec navigateur (un ordinateur, un smartphone, etc.) et saisit le code.
  3. L’utilisateur suit un processus d’authentification normal dans le navigateur.
  4. Une fois l’authentification réussie, l’application est authentifiée sur l’appareil.

Pour en savoir plus, consultez Plateforme d’identités Microsoft et flux d’octroi d’autorisation d’appareil OAuth 2.0.

L’authentification par code d’appareil dans un environnement de développement permet à l’application de toutes les opérations autorisées par les informations d’identification de connexion interactives. Par conséquent, si vous êtes le ou la propriétaire ou l’administrateur(-trice) de votre abonnement, votre code a un accès inhérent à la plupart des ressources de cet abonnement sans avoir à attribuer d’autorisations spécifiques. Toutefois, vous pouvez utiliser cette méthode avec un ID client spécifique, plutôt que la valeur par défaut, pour laquelle vous pouvez attribuer des autorisations spécifiques.