Remarque : Les exécuteurs hébergés sur GitHub ne sont pas pris en charge sur GitHub Enterprise Server. Vous pouvez voir plus d’informations sur le support futur planifié dans la GitHub public roadmap.
Vue d’ensemble
OpenID Connect (OIDC) permet à vos workflows GitHub Actions d’accéder aux ressources dans Azure, sans avoir à stocker d’informations d’identification Azure en tant que secrets GitHub à long terme.
Ce guide offre une vue d’ensemble sur la façon de configurer Azure pour approuver le protocole OIDC de GitHub en tant qu’identité fédérée et il inclut un exemple de workflow pour l’action azure/login
qui utilise des jetons pour s’authentifier auprès d’Azure et accéder aux ressources.
Prérequis
-
Pour en savoir plus sur les concepts de base décrivant la façon dont GitHub utilise OIDC (OpenID Connect) ainsi que sur son architecture et ses avantages, consultez « À propos du renforcement de la sécurité avec OpenID Connect ».
-
Avant de continuer, vous devez planifier votre stratégie de sécurité pour veiller à ce que les jetons d’accès soient uniquement alloués de manière prévisible. Pour contrôler la façon dont votre fournisseur de cloud émet des jetons d’accès, vous devez définir au moins une condition, afin que les dépôts non approuvés ne puissent pas demander de jetons d’accès à vos ressources cloud. Pour plus d’informations, consultez « À propos du renforcement de la sécurité avec OpenID Connect ».
-
Vous devez activer les points de terminaison accessibles publiquement suivants :
https://HOSTNAME/_services/token/.well-known/openid-configuration
https://HOSTNAME/_services/token/.well-known/jwks
Remarque : Microsoft Entra ID (précédemment appelé Azure AD) n’a pas de plages d’adresses IP fixes définies pour ces points de terminaison.
-
Assurez-vous que la valeur de la réclamation de l'émetteur incluse avec JSON Web Token (JWT) est définie sur une URL accessible au public. Pour plus d’informations, consultez « À propos du renforcement de la sécurité avec OpenID Connect ».
Ajout des informations d’identification fédérées à Azure
Le fournisseur OIDC de GitHub fonctionne avec la fédération d’identité de charge de travail d’Azure. Pour obtenir une vue d’ensemble, consultez la documentation de Microsoft sur la « fédération d’identité de charge de travail ».
Pour configurer le fournisseur d’identité OIDC dans Azure, vous devez effectuer la configuration suivante. Pour obtenir des instructions afin d’apporter ces modifications, reportez-vous à la documentation Azure.
- Créez une application Entra ID et un principal de service.
- Ajoutez des informations d’identification fédérées pour l’application Entra ID.
- Créez des secrets GitHub pour stocker la configuration Azure.
Conseils supplémentaires pour la configuration du fournisseur d’identité :
- Pour durcir la sécurité, veillez à consulter « À propos du renforcement de la sécurité avec OpenID Connect ». Pour obtenir un exemple, consultez « À propos du renforcement de la sécurité avec OpenID Connect ».
- Pour le paramètre
audience
,api://AzureADTokenExchange
est la valeur recommandée, mais vous pouvez également spécifier d’autres valeurs ici.
Mise à jour de votre workflow GitHub Actions
Pour mettre à jour vos workflows pour OIDC, vous devez apporter deux modifications à votre code YAML :
- Ajoutez des paramètres d’autorisations pour le jeton.
- Utilisez l’action
azure/login
pour échanger le jeton OIDC (JWT) afin d’obtenir un jeton d’accès cloud.
Remarque : lorsque des environnements sont utilisés dans des workflows ou dans des stratégies OIDC, nous vous recommandons d’ajouter des règles de protection à l’environnement pour plus de sécurité. Par exemple, vous pouvez configurer des règles de déploiement sur un environnement pour restreindre les branches et balises pouvant être déployées dans l’environnement ou accéder aux secrets d’environnement. Pour plus d’informations, consultez « Utilisation d’environnements pour le déploiement ».
Ajout de paramètres d’autorisations
L’exécution du travail ou du workflow nécessite un paramètre permissions
avec id-token: write
. Vous ne pourrez pas demander le jeton OIDC JWT ID si le paramètre permissions
est id-token
a la valeur read
ou none
.
Le paramètre id-token: write
permet au JWT d’être demandé à partir du fournisseur OIDC de GitHub à l’aide de l’une des approches suivantes :
- Utilisation de variables d’environnement sur l’exécuteur (
ACTIONS_ID_TOKEN_REQUEST_URL
etACTIONS_ID_TOKEN_REQUEST_TOKEN
). - Utilisation du
getIDToken()
issu du kit de ressources Actions.
Si vous devez extraire un jeton OIDC pour un workflow, l’autorisation peut être définie au niveau du workflow. Par exemple :
permissions: id-token: write # This is required for requesting the JWT contents: read # This is required for actions/checkout
permissions:
id-token: write # This is required for requesting the JWT
contents: read # This is required for actions/checkout
Si vous avez uniquement besoin d’extraire un jeton OIDC pour un seul travail, alors cette autorisation peut être définie au sein de ce travail. Par exemple :
permissions: id-token: write # This is required for requesting the JWT
permissions:
id-token: write # This is required for requesting the JWT
Demande du jeton d’accès
L’action azure/login
reçoit un jeton JWT à partir du fournisseur OIDC GitHub, puis demande un jeton d’accès à partir d’Azure. Pour plus d’informations, consultez la documentation azure/login
.
L’exemple suivant échange un jeton d’ID OIDC avec Azure pour recevoir un jeton d’accès, qui peut ensuite être utilisé pour accéder aux ressources cloud.
name: Run Azure Login with OIDC on: [push] permissions: id-token: write contents: read jobs: build-and-deploy: runs-on: ubuntu-latest steps: - name: 'Az CLI login' uses: azure/login@v1 with: client-id: ${{ secrets.AZURE_CLIENT_ID }} tenant-id: ${{ secrets.AZURE_TENANT_ID }} subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }} - name: 'Run az commands' run: | az account show az group list
name: Run Azure Login with OIDC
on: [push]
permissions:
id-token: write
contents: read
jobs:
build-and-deploy:
runs-on: ubuntu-latest
steps:
- name: 'Az CLI login'
uses: azure/login@v1
with:
client-id: ${{ secrets.AZURE_CLIENT_ID }}
tenant-id: ${{ secrets.AZURE_TENANT_ID }}
subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
- name: 'Run az commands'
run: |
az account show
az group list