ワークロード ID とは

ワークロード ID とは、他のサービスやリソースを認証してアクセスするためにソフトウェア ワークロード (アプリケーション、サービス、スクリプト、コンテナーなど) によって使用される ID です。 この用語は業界全体で一貫していませんが、通常、ワークロード ID は、一部のシステムでソフトウェア エンティティを認証するために必要になるものです。 たとえば、ワークロード ID は、クライアントが MongoDB データベースにアクセスするために認証で使用するユーザー アカウントになる場合があります。 ワークロード ID は、Amazon S3 バケットへの読み取り専用アクセスを持つ EC2 インスタンスにアタッチされた AWS サービス ロールである場合もあります。

Azure Active Directory (Azure AD) では、ワークロード ID は、アプリケーション、サービス プリンシパル、マネージド ID です。

アプリケーションは、アプリケーション オブジェクトによって定義される抽象エンティティ (テンプレート) です。 アプリケーション オブジェクトは、すべてのテナントにわたって使用するためのアプリケーションのグローバルな表現です。 アプリケーション オブジェクトでは、トークンの発行方法、アプリケーションがアクセスする必要があるリソース、アプリケーションが実行できるアクションが記述されます。

サービス プリンシパルは、特定のテナント内のグローバル アプリケーション オブジェクトのローカル表現、つまりアプリケーション インスタンスです。 アプリケーション オブジェクトは、アプリケーションが使用されるすべてのテナントで、サービス プリンシパル オブジェクトを作成するためのテンプレートとして使用されます。 サービス プリンシパル オブジェクトには、特定のテナント内でアプリが実際に実行できること、アプリにアクセスできるユーザー、アプリからアクセスできるリソースを定義します。

マネージド ID は、開発者が資格情報を管理する必要をなくす特別な種類のサービス プリンシパルです。

Azure AD のワークロード ID を使用するいくつかの方法を次に示します。

  • 管理者またはユーザーの同意に基づいて Web アプリが Microsoft Graph にアクセスできるようにするアプリ。 このアクセスは、ユーザーの代わりに行われることも、アプリケーションの代わりに行われることもあります。
  • Azure Key Vault や Azure Storage などの Azure リソースへのアクセス権を持つサービスをプロビジョニングするために開発者が使用するマネージド ID。
  • CI/CD パイプラインで Web アプリを GitHub から Azure App Service にデプロイできるようにするために、開発者が使用するサービス プリンシパル。

ワークロード ID、その他のマシン ID、人間の ID

大まかに言えば、ID には人間の ID と機械/人間以外の ID の 2 種類があります。 ワークロード ID とデバイス ID は、マシン (または人間以外) の ID と呼ばれるグループを構成します。 ワークロード ID はソフトウェア ワークロードを表し、デバイス ID はデスクトップ コンピューター、モバイル、IoT センサー、IoT マネージド デバイスなどのデバイスを表します。 マシン ID は、従業員 (社内労働者、現場従業員) や外部ユーザー (顧客、コンサルタント、ベンダー、パートナー) などの人々を表す人間の ID とは異なります。

Shows different types of machine and human identities

サポートされるシナリオ

ワークロード ID を使用できる方法は次のとおりです。

次のステップ

アダプティブ ポリシーを使用して、ワークロード ID へのアクセスをセキュリティで保護する方法について説明します。