Azure Active Directory を使用した認証方法
Azure Sphere Public API (PAPI) では 、Azure Active Directory (AAD) でのユーザー認証と承認の複数の方法がサポートされています。
Azure Active Directory では、認証にサービス プリンシパルまたはマネージド ID メソッドを使用して、アプリケーション トークンを使用して、ユーザー アプリ、サービス、または自動化ツールから特定の Azure リソースの認証とアクセス許可を付与できます。
大事な
サービス プリンシパルを作成するときは、生成されたアプリケーション資格情報 (クライアント シークレットやクライアント証明書など) を保護する必要があります。 コードにアプリケーション資格情報を含めないようにするか、資格情報をソース管理にチェックしてください。 別の方法として、資格情報を使用する必要がないようにマネージド ID を使用することを検討してください。
次の図は、Azure Active Directory を使用してサポートされている認証方法を示しています。
サービス プリンシパル メソッド
認証にクライアント シークレットまたはクライアント証明書を使用するように Azure サービス プリンシパルを設定できます。 サービス プリンシパルは、特定のユーザーに関連付けられていないアカウントですが、事前に定義されたロールを使用してアクセス許可を割り当てることができます。 サービス プリンシパルを使用した認証は、セキュリティで保護されたスクリプトまたはプログラムを記述するための最良の方法であり、アクセス許可の制限とローカルに格納された静的資格情報の両方を適用できます。 詳細については、「 Azure サービス プリンシパル」を参照してください。
サービス プリンシパルには、 クライアント シークレットとクライアント証明書の 2 つのオプションがあります。 詳細については、「 サービス プリンシパル認証方法」を参照してください。
マネージド ID メソッド
Azure マネージド ID は 、 Azure Sphere パブリック API サービスとの通信にも使用できます。 マネージド ID は、さまざまな Azure サービスでサポートされています。 Azure リソース認証方法にマネージド ID を使用する利点は、クライアント シークレットやクライアント証明書を管理する必要がないということです。 詳細については、「 リソース メソッドのマネージド ID」を参照してください。
ユーザー ID メソッド
この方法を使用して、Azure Sphere テナントを使用して認証する必要はありません。 Azure Active Directory ユーザー ID を使用してログインできます。 詳細については、「 ユーザー認証方法」を参照してください。
Azure Sphere パブリック API アプリケーション ID を Azure テナントに追加する
最初に、1 回限りのセットアップを使用して、Azure Sphere パブリック API アプリケーション ID を Azure テナントに追加する必要があります。
メモ
- このコマンドを実行するには、Azure Active Directory (Azure AD) テナントのグローバル管理者アカウントを使用します。
- パラメーターの
AppId値は静的です。 - テナント間で共通の
-DisplayName表示名を使用できるように、 に を使用Azure Sphere Public APIすることをお勧めします。
管理者特権Windows PowerShellコマンド プロンプト ウィンドウ (管理者としてWindows PowerShell実行) を開き、次のコマンドを実行して Azure AD Powershell モジュールをインストールします。
Install-Module AzureAD管理者アカウントを使用して Azure AD PowerShell にサインインします。
-TenantIdサービス プリンシパルとして認証するパラメーターを指定します。Connect-AzureAD -TenantId <Azure Active Directory TenantID><Azure Active Directory TenantID> は、Azure Active Directory の TenantID を表します。 詳細については、「 Azure Active Directory テナント ID を見つける方法」を参照してください。
サービス プリンシパルを作成し、次に
Azure Sphere Public API説明するように Azure Sphere パブリック API アプリケーション ID を指定してアプリケーションに接続します。New-AzureADServicePrincipal -AppId 7c209960-a417-423c-b2e3-9251907e63fe -DisplayName "Azure Sphere Public API"