承認トークンを要求し、API を操作するために、アプリを登録する

Log Analytics API などの Azure REST API にアクセスしたり、カスタム メトリックを送信したりするには、クライアント ID とシークレットに基づいて承認トークンを生成できます。 その後、トークンは REST API 要求で渡されます。 この記事では、トークンを生成できるように、クライアント アプリを登録し、クライアント シークレットを作成する方法について説明します。

アプリを登録します

Azure portal、Azure CLI、または PowerShell を使用して、サービス プリンシパルを作成し、アプリを登録します。

Azure Portal

1. アプリを登録するには、Azure portal で [Active Directory の概要] ページを開きます。

2. サイド バーから [アプリの登録] を選択します。

3. [新しい登録] を選択します

4. [アプリケーションの登録] ページで、アプリケーションの名前を入力します。

5. [登録] を選択します

6. アプリの概要ページで、[証明書とシークレット] を選択します

7. [アプリケーション (クライアント) ID] をメモしておきます。 これはトークンの HTTP 要求で使用されます。

8. [クライアント シークレット] タブで、[新しいクライアント シークレット] を選択します

9. [説明] に入力し、[追加]を選択します

10. クライアント シークレットの [値] をコピーして保存します。

    Note

    クライアント シークレットの値を表示できるのは、作成直後のみです。 ページを離れる前にシークレットを保存してください。

    

Azure CLI

次のスクリプトを実行して、サービス プリンシパルとアプリを作成します。

az ad sp create-for-rbac -n <Service principal display name> 

応答は次のようになります。

{
  "appId": "0a123b56-c987-1234-abcd-1a2b3c4d5e6f",
  "displayName": "AzMonAPIApp",
  "password": "123456.ABCDE.~XYZ876123ABcEdB7169",
  "tenant": "a1234bcd-5849-4a5d-a2eb-5267eae1bbc7"
}

重要

出力には、保護する必要がある資格情報が含まれます。 これらの資格情報をコードに含めないようにするか、資格情報をソース管理にチェックインしてください。

API を使用してアクセスするリソースのロールとスコープを追加する

az role assignment create --assignee <`appId`> --role <Role> --scope <resource URI>

次の CLI の例では、rg-001 リソース グループ内のすべてのリソースのサービス プリンシパルに Reader ロールを 割り当てます。

 az role assignment create --assignee 0a123b56-c987-1234-abcd-1a2b3c4d5e6f --role Reader --scope '\/subscriptions/a1234bcd-5849-4a5d-a2eb-5267eae1bbc7/resourceGroups/rg-001'

Azure CLI を使用してサービス プリンシパルを作成する方法の詳細については、「Azure CLI で Azure サービス プリンシパルを作成する」を参照してください。

PowerShell

次のサンプル スクリプトは、PowerShell を使用して Microsoft Entra サービス プリンシパルを作成する方法を示しています。 さらに詳細なチュートリアルについては、「リソースにアクセスするためのサービス プリンシパルを Azure PowerShell で作成する」を参照してください。

$subscriptionId = "{azure-subscription-id}"
$resourceGroupName = "{resource-group-name}"

# Authenticate to a specific Azure subscription.
Connect-AzAccount -SubscriptionId $subscriptionId

# Password for the service principal
$pwd = "{service-principal-password}"
$secureStringPassword = ConvertTo-SecureString -String $pwd -AsPlainText -Force

# Create a new Azure Active Directory application
$azureAdApplication = New-AzADApplication `
                        -DisplayName "My Azure Monitor" `
                        -HomePage "https://localhost/azure-monitor" `
                        -IdentifierUris "https://localhost/azure-monitor" `
                        -Password $secureStringPassword

# Create a new service principal associated with the designated application
New-AzADServicePrincipal -ApplicationId $azureAdApplication.ApplicationId

# Assign Reader role to the newly created service principal
New-AzRoleAssignment -RoleDefinitionName Reader `
                          -ServicePrincipalName $azureAdApplication.ApplicationId.Guid

次のステップ

アプリ、クライアント ID、シークレットを使用してトークンを生成する前に、アクセスするリソースのアクセス制御 (IAM) を使用してアプリをロールに割り当てます。 ロールは、使用するリソースの種類と API によって異なります。
たとえば、次のように入力します。

• Log Analytics ワークスペースからの読み取りをアプリに許可するには、Log Analytics ワークスペースのアクセス制御 (IAM) を使用して、アプリをメンバーとして閲覧者ロールに追加します。 詳細については、API へのアクセスに関するページを参照してください

• リソースのカスタム メトリックを送信するためのアクセス権を付与するには、リソースのアクセス制御 (IAM) を使用して、アプリをメンバーとして監視メトリック パブリッシャー ロールに追加します。 詳細については、「REST API を使用して Azure Monitor メトリック データベースにメトリックを送信する」を参照してください。

詳細については、「Azure portal を使用して Azure ロールを割り当てる」を参照してください。

ロールを割り当てると、アプリ、クライアント ID、クライアント シークレットを使用して、REST API にアクセスするためのベアラー トークンを生成できます。

Note

Microsoft Entra 認証を使用する場合、Azure Application Insights REST API で新しいロールベースのアクセス制御 (RBAC) のアクセス許可が認識されるまでに最大 60 分かかることがあります。 アクセス許可が反映されている間、REST API の呼び出しがエラーコード 403 で失敗することがあります。