Azure Active Directory を使用した Azure Data Lake Storage Gen1 に対するサービス間認証

Azure Data Lake Storage Gen1 では、認証するために Azure Active Directory を使用します。 Data Lake Storage Gen1 と連携して動作するアプリケーションを作成するときは、Azure Active Directory (Azure AD) に対するアプリケーションの認証方法を事前に決めておく必要があります。 2 種類のオプションを使用できます。

  • エンドユーザー認証
  • サービス間認証 (この記事)

どちらのオプションでも、OAuth 2.0 トークンがアプリケーションに提供され、このトークンが Data Lake Storage Gen1 に対するすべての要求にアタッチされます。

この記事では、サービス間認証用の Azure AD Web アプリケーションの作成方法について説明します。 エンド ユーザー認証用に Azure AD アプリケーションを構成する方法については、Data Lake Storage Gen1 に対する Azure Active Directory を使用したエンドユーザーの認証に関するページを参照してください。

前提条件

手順 1:Active Directory Web アプリケーションを作成する

Azure Active Directory を使用して Azure Data Lake Storage Gen1 でのサービス間認証を行う Azure AD Web アプリケーションを作成および構成する方法について説明します。 手順については、Microsoft Azure での Ruby アプリケーションの作成に関するページを参照してください。

前出のリンクの指示に従うときは、次のスクリーンショットに示すように、アプリケーションの種類として [Web アプリ/API] を必ず選択してください。

Web アプリの作成

手順 2:アプリケーション ID、認証キー、テナント ID を取得する

プログラムによってログインするときは、アプリケーションの ID が必要です。 アプリケーションがその独自の資格情報で動作する場合は、さらに認証キーが必要となります。

手順 3:Azure AD アプリケーションを Azure Data Lake Storage Gen1 アカウントのファイルまたはフォルダーに割り当てる

  1. Azure Portal にサインオンします。 上記で作成した Azure Active Directory アプリケーションに関連付ける Data Lake Storage Gen1 アカウントを開きます。

  2. Data Lake Storage Gen1 アカウントのブレードで、 [データ エクスプローラー] をクリックします。

    Data Lake Storage Gen1 アカウントにディレクトリを作成する

  3. [データ エクスプローラー] ブレードで、Azure AD アプリケーションへのアクセスを付与するファイルまたはフォルダーをクリックし、 [アクセス] をクリックします。 ファイルへのアクセスを構成する場合は、 [ファイルのプレビュー] ブレードから [アクセス] をクリックします。

    Data Lake ファイル システムに ACL を設定する

  4. [アクセス] ブレードには、既にルートに割り当てられている標準アクセスとカスタム アクセスが一覧表示されます。 [追加] アイコンをクリックして、カスタムレベルの ACL を追加します。

    標準アクセスとカスタム アクセスを一覧表示する

  5. [追加] アイコンをクリックして、 [カスタム アクセスの追加] ブレードを開きます。 このブレードの [ユーザーまたはグループの選択] をクリックし、 [ユーザーまたはグループの選択] ブレードで、作成しておいた Azure Active Directory アプリケーションを探します。 検索対象のグループが多数存在する場合は、上部にあるテキスト ボックスを使用してグループ名をフィルター処理できます。 追加するグループをクリックして、 [選択] をクリックします。

    グループを追加する

  6. [アクセス許可の選択] をクリックして、アクセス許可を選択するともに、このアクセス許可に既定の ACL、アクセス ACL、またはその両方のいずれを割り当てるか選択します。 [OK] をクリックします。

    [アクセス許可の選択] オプションが強調表示されている [カスタム アクセスの追加] ブレードと、[OK] オプションが強調表示されている [アクセス許可の選択] ブレードのスクリーンショット。

    Data Lake Storage Gen1 でのアクセス許可と既定/アクセス ACL の詳細については、Data Lake Storage Gen1 のアクセス制御に関するページを参照してください。

  7. [カスタム アクセスの追加] ブレードで [OK] をクリックします。 新しく追加されたグループは、関連付けられたアクセス許可と一緒に [アクセス] ブレードに一覧表示されます。

    [カスタム アクセス] セクションで新しく追加されたグループが強調表示されている [アクセス] ブレードのスクリーンショット。

Note

Azure Active Directory アプリケーションを特定のフォルダーに制限する予定の場合は、その同じ Azure Active ディレクトリ アプリケーションに、root に対する実行アクセス許可も付与する必要があります。これにより、.NET SDK 経由でファイル作成アクセスが可能になります。

Note

SDK を使用して Data Lake Storage Gen1 アカウントを作成する場合、その作成先となるリソース グループに Azure AD Web アプリケーションをロールとして割り当てる必要があります。

手順 4:OAuth 2.0 トークン エンドポイントを取得する (Java ベースのアプリケーションのみ)

  1. Azure Portal にサインオンし、左ウィンドウの [Active Directory] をクリックします。

  2. 左ウィンドウで、 [アプリの登録] をクリックします。

  3. [アプリの登録] ブレードの上部にある [エンドポイント] をクリックします。

    [アプリの登録] オプションと [エンドポイント] オプションが強調表示されている [Active Directory] のスクリーンショット。

  4. エンドポイントの一覧から、Oauth 2.0 トークン エンドポイントをコピーします。

    OAuth 2.0 トークン エンドポイントのコピー アイコンが強調表示されている [エンドポイント] ブレードのスクリーンショット。

次のステップ

この記事では、Azure AD Web アプリケーションを作成し、.NET SDK、Java、Python、REST API などを使用して作成するクライアント アプリケーションに必要な情報を収集しました。これで、以下の記事に進むことができます。これらの記事では、Azure AD ネイティブ アプリケーションを使用して、Data Lake Storage Gen1 に対し、まず認証を行ってからその他の操作を実行する方法について説明しています。