Configurer l’authentification par certificat client dans Azure Container Apps

Azure Container Apps prend en charge l’authentification par certificat client (également appelée TLS mutuel ou mTLS) qui permet d’accéder à votre application conteneur via l’authentification bidirectionnelle. Cet article vous montre comment configurer l’autorisation de certificat client dans Azure Container Apps.

Lorsque des certificats clients sont utilisés, les certificats TLS sont échangés entre le client et votre application conteneur pour authentifier l’identité et chiffrer le trafic. Les certificats clients sont souvent utilisés dans les modèles de sécurité « confiance zéro » pour autoriser l’accès client au sein d’une organisation.

Par exemple, vous souhaiterez peut-être exiger un certificat client pour une application conteneur qui gère des données sensibles.

Container Apps accepte les certificats clients au format PKCS12 qui sont émis par une autorité de certification approuvée ou sont auto-signés.

Configurer l’autorisation de certificat client

Pour configurer la prise en charge des certificats clients, définissez la propriété clientCertificateMode dans le modèle de votre application conteneur.

La propriété peut avoir l’une des valeurs suivantes :

  • require : le certificat client est requis pour toutes les demandes adressées à l’application conteneur.
  • accept : le certificat client est facultatif. Si le certificat client n’est pas fourni, la demande est toujours acceptée.
  • ignore : le certificat client est ignoré.

L’entrée transmet le certificat client à l’application conteneur si require ou accept sont définis.

L’exemple de modèle ARM suivant configure l’entrée pour exiger un certificat client pour toutes les demandes adressées à l’application conteneur.

{ 
  "properties": {
    "configuration": {
      "ingress": {
        "clientCertificateMode": "require"
      }
    }
  }
}

Étapes suivantes