サービス プリンシパルを使用した Azure 認証

この記事では、サービス プリンシパルを使用した Azure Active Directory トークン認証が、Azure Identity ライブラリによってどのようにサポートされているかについて説明します。 この記事では、次のトピックについて説明します。

詳しくは、「Azure Active Directory のアプリケーションとサービス プリンシパルのオブジェクト」をご覧ください。

Azure CLI でサービス プリンシパルを作成する

クライアント シークレットの資格情報を作成または取得するには、下の Azure CLI の例を使用します。

次のコマンドを使用して、サービス プリンシパルを作成し、Azure リソースへのアクセスを構成します。

az ad sp create-for-rbac -n <your application name> --role Contributor --scopes /subscriptions/mySubscriptionID

このコマンドにより、次の出力のような値が返されます。

{
"appId": "generated-app-ID",
"displayName": "dummy-app-name",
"name": "http://dummy-app-name",
"password": "random-password",
"tenant": "tenant-ID"
}

次のコマンドを使用して、証明書と共にサービス プリンシパルを作成します。 この証明書のパスと場所をメモしておきます。

az ad sp create-for-rbac -n <your application name> --role Contributor --cert <certificate name> --create-cert

返された資格情報を確認し、次の情報をメモしておきます。

  • AZURE\_CLIENT\_ID (appId)。
  • AZURE\_CLIENT\_SECRET (パスワード)。
  • AZURE\_TENANT\_ID (テナント)。

クライアント シークレットの資格情報

この資格情報は、作成されたサービス プリンシパルを、そのクライアント シークレット (パスワード) を使用して認証します。 この例では、ClientSecretCredential を使用して azure-security-keyvault-secrets クライアント ライブラリから SecretClient を認証することを示しています。

/**
 *  Authenticate with client secret.
 */
ClientSecretCredential clientSecretCredential = new ClientSecretCredentialBuilder()
  .clientId("<your client ID>")
  .clientSecret("<your client secret>")
  .tenantId("<your tenant ID>")
  .build();

// Azure SDK client builders accept the credential as a parameter.
SecretClient client = new SecretClientBuilder()
  .vaultUrl("https://<your Key Vault name>.vault.azure.net")
  .credential(clientSecretCredential)
  .buildClient();

クライアント証明書の資格情報

この資格情報は、作成されたサービス プリンシパルを、そのクライアント証明書を使用して認証します。 この例では、ClientCertificateCredential を使用して azure-security-keyvault-secrets クライアント ライブラリから SecretClient を認証することを示しています。

/**
 *  Authenticate with a client certificate.
 */
ClientCertificateCredential clientCertificateCredential = new ClientCertificateCredentialBuilder()
  .clientId("<your client ID>")
  .pemCertificate("<path to PEM certificate>")
  // Choose between either a PEM certificate or a PFX certificate.
  //.pfxCertificate("<path to PFX certificate>", "PFX CERTIFICATE PASSWORD")
  .tenantId("<your tenant ID>")
  .build();

// Azure SDK client builders accept the credential as a parameter.
SecretClient client = new SecretClientBuilder()
  .vaultUrl("https://<your Key Vault name>.vault.azure.net")
  .credential(clientCertificateCredential)
  .buildClient();

次のステップ

この記事では、サービス プリンシパルを使用した認証について説明しました。 この形式の認証は、Azure SDK for Java で可能な認証方法のうちの 1 つです。 次の記事では、他の方法について説明します。

認証について習得した後、SDK によって提供されるログ機能の詳細について「Azure SDK for Java でログを構成する」を参照してください。