Azure Websites Authentication / Authorization のご紹介

このポストは、11 月 13 日に投稿された Azure Websites Authentication / Authorization の翻訳です。

Azure Websites Authentication / Authorization を使用すると、Azure Active Directory を活用して、Azure Websites で実行している Web サイトへのアクセス制限をすばやく簡単に設定することができます。

この機能は既に利用可能であり、複雑な構成作業、コードの変更やメンテナンスが不要で、シンプルかつ効率的なソリューションにより Websites ユーザーに多くのメリットを提供します。さらに、このソリューションはスタックに依存しないので、.NET、PHP、Node、Java、Python など、Websites のコーディングに使用した言語にかかわらず、Azure Websites がサポートしているあらゆる種類のスタックに対応します。このソリューションはプラットフォームの一部として提供されるため、アプリケーションに合わせてスケーリングが可能です。

Azure Websites Authentication / Authorization を使用すれば、次の 3 つの手順で簡単に Websites へのアクセスを制限できます。

1. ディレクトリを用意する (必要な場合)
2. Azure ポータルで目的の Websites に対して Authentication / Authorization 構成ウィザードの手順を実行する
   • Websites と関連付けるディレクトリを選択する
   • Websites 用の Azure Active Directory アプリを選択または作成する
3. これで、この Websites にアクセスできるのは手順 2 で選択したディレクトリのユーザーに制限されます。

 

Azure Websites Authentication / Authorization を構成する

手順 1. ディレクトリを用意する

Azure Websites Authentication / Authorization で Websites へのアクセス制限を設定するために最初に行うことは、Azure Active Directory を用意することです。使用するディレクトリを既に用意してある場合は、この手順は省略してください。Azure Active Directory が Websites のユーザー管理とログイン処理を担当します。Azure Active Directory のセットアップ方法については、ここでは詳しく説明しません。その代わりに関連資料をご紹介しますので、以下をご覧ください。

• Azure Active Directory
• Azure Active Directory Sync (英語)
• Azure AD テナントの管理

手順 2. Websites を構成する

次に、Azure Websites を、Websites のユーザー管理を処理する Azure Active Directory に関連付けます。これは Azure 管理ポータルから行います。

目的の Websites に移動して [CONFIGURE] タブをクリックします。このページに [authentication / authorization] という構成セクションが新設されています。

Azure Websites Authentication / Authorization

[authentication / authorization] セクションの [configure] ボタンをクリックすると構成ウィザードが起動します。

ウィザードでは、サブスクリプションおよび AAD アプリケーション用にディレクトリを複数構成している場合は、その中から 1 つのディレクトリを選択できます。

ドロップダウンから、既存の AAD アプリケーションを選択するか新規作成するかを選択します。AAD アプリケーションは Azure Active Directory におけるこの Websites を表します。

[OK] をクリックすると、必要な構成が Azure Active Directory に作成され、Websites に反映されます。

Websites が構成されると、[authentication / authorization] セクションにこの Websites がリンクされている Azure Active Directory および Azure Active Directory アプリケーションへのディープ リンクが用意されます。

WEBSITE_AUTH_LOGOUT_PATH 環境変数を Websites で使用すると、ユーザーをログアウト用 URL に遷移させることができます。

マイクロソフトでは非常にシンプルな asp.net サンプル アプリケーションを公開しており、これを使用してテストを行ったり、認証ユーザーのデータをセッションから読み込む方法や環境変数でログアウトのしくみを利用する方法を確認したりできます。サンプル アプリケーションはこちら (英語) から入手できます。

 

現在の制限事項

プレビュー版のこの機能にはいくつか制限があります。

• 最新リリースでは、構成したディレクトリのユーザー全員がアプリケーションにアクセスできます。
• 最新リリースでは、Websites 全体のアクセスにはログインが必要になります。
• API またはサービス間のシナリオでのヘッドレス認証/承認は現在サポートされていません。

最新リリースには分散ログアウトは用意されていないので、ユーザーのログアウトはこのアプリケーションについてのみ行われ、すべてのグローバル セッションでは行われません。