開発者アカウントを使用したローカル開発時に Azure サービスに対して Python アプリを認証する

開発者がクラウドアプリケーションを作成する場合、通常はローカルワークステーションでアプリケーションをデバッグおよびテストします。 ローカル開発時に開発者のワークステーションでアプリケーションを実行する場合でも、アプリで使用されるすべての Azure サービスに対して認証する必要があります。 この記事では、ローカル開発時に開発者の Azure 資格情報を使用して Azure に対してアプリを認証する方法について説明します。

開発者のAzureクレデンシャルを使用してローカル開発中にAzureに認証するためには、Azure CLI、Azure PowerShell、またはAzure Developer CLIから開発者にサインインする必要があります。 Azure SDK for Python では、開発者がこれらのツールのいずれかからサインインしていることを検出し、サインインしているユーザーとして Azure に対してアプリを認証するために必要な資格情報を資格情報キャッシュから取得できます。

この方法は、開発者の既存の Azure アカウントを利用するため、開発チームに設定するのが最も簡単です。 ただし、開発者のアカウントにアプリケーションで必要とされるよりも多くのアクセス許可が与えられる可能性があるため、運用環境でアプリが実行されるアクセス許可を超えてしまいます。 または、ローカル開発中に使用するアプリケーションサービスプリンシパルを作成することもできます。これは、アプリが必要とするアクセスのみを持つように範囲を設定できます。

1 - ローカル開発用のMicrosoft Entraセキュリティグループの作成

アプリケーションで作業する開発者はほぼ常に複数いるため、まずMicrosoft Entraセキュリティグループを作成して、ローカル開発で必要な役割（権限）をカプセル化することをお勧めします。 このアプローチは、次の利点を提供します。

• ロールはグループ レベルで割り当てられるため、すべての開発者に同じロールが割り当てられることが保証されます。
• アプリに新しいロールが必要な場合は、アプリの Microsoft Entra グループに追加するだけで済みます。
• 新しい開発者がチームに加わる場合、アプリで作業するための適切な権限を得るには、それらを正しいMicrosoft Entraグループに追加する必要があります。

開発チームに既存のMicrosoft Entraセキュリティグループがある場合は、そのグループを使用できます。 それ以外の場合は、次の手順を実行してMicrosoft Entraセキュリティグループを作成します。

Azure CLI

Microsoft Entra ID でグループを作成するには、az ad group create コマンドを使用します。 --display-name パラメーターと --main-nickname パラメーターは必須です。 グループに指定する名前は、アプリケーションの名前に基づく必要があります。 また、グループの名前に "local-dev" のような語句を含め、グループの目的も示すと便利です。

az ad group create \
    --display-name MyDisplay \
    --mail-nickname MyDisplay  \
    --description "<group-description>"

コマンド出力のidプロパティ値をコピーします。 これはグループのオブジェクトIDです。 それは後のステップで必要になります。 このプロパティは、az広告グループ表示コマンドを使用して取得することもできます。

グループにメンバーを追加するには、AzureユーザーのオブジェクトIDが必要です。 az ad user list を使用して、使用可能なサービス プリンシパルを一覧表示します。 --filter パラメーター コマンドは OData スタイル フィルターを受け取り、表示されているユーザーの表示名のリストをフィルター処理するために使用できます。 --queryパラメータは、出力を対象カラムに制限します。

az ad user list \
    --filter "startswith(displayName, 'Bob')" \
    --query "[].{objectId:id, displayName:displayName}" \
    --output table

その後、az ad group member add コマンドを使用して、グループにメンバーを追加できます。

az ad group member add \
    --group <group-name> \
    --member-id <object-id>

Azure Portal

手順	Screenshot
ページの上部にある検索ボックスに「Microsoft Entra ID」と入力し、サービスの下から Microsoft Entra ID を選択して、Azure Portal の [Microsoft Entra ID] ページに移動します。
[Microsoft Entra ID] ページで、左側のメニューから [グループ] を選択します。
[すべてグループ] ページで、[新しいグループ] を選択します。
[新しいグループ] ページで、次の操作を行います。 [グループの種類] → [セキュリティ]。 グループ名 →通常はアプリケーション名から作成される、セキュリティ グループの名前です。 また、グループの目的も示すために、グループの名前に local-dev のような文字列を含めるとわかりやすくなります。 グループの説明 → グループの目的の説明。 [メンバー] の下の [メンバーが選択されていません] リンクを選択して、グループにメンバーを追加します。
[メンバーの追加] ダイアログ ボックスで、次の操作を行います。 検索ボックスを使用して、一覧で、ユーザー名の一覧をフィルター処理します。 このアプリのローカル開発用に 1 人以上のユーザーを選択します。 オブジェクトを選択すると、そのオブジェクトはダイアログの下部にある [選択された項目] の一覧に移動されます。 完了したら、[選択] ボタンを選択します。
[新規グループ] ページに戻り、[作成] を選択して、グループを作成します。 グループが作成され、[すべてのグループ] ページに戻ります。 グループが表示されるまでに最大 30 秒かかる場合があり、Azure portal でのキャッシュのためにページの更新が必要になる場合があります。

Note

デフォルトでは、Microsoft Entraセキュリティグループの作成は、ディレクトリ内の特定の特権ロールに制限されます。 グループを作成できない場合は、ディレクトリの管理者に問い合わせてください。 既存のグループにメンバーを追加できない場合は、グループオーナーまたはディレクトリ管理者に問い合わせてください。 詳細については、「Microsoft Entraグループとグループ メンバシップの管理」を参照してください。

2 - Microsoft Entraグループへのロールの割り当て

次に、アプリがどのリソースでどのロール (アクセス許可) を必要としているかを決定し、それらのロールをアプリに割り当てる必要があります。 この例では、手順 1 で作成した Microsoft Entra グループにロールが割り当てられます。 役割は、リソース、リソースグループ、またはサブスクリプションの範囲で割り当てることができます。 次に、ほとんどのアプリケーションがすべてのAzureリソースを1つのリソースグループにグループ化するため、リソースグループスコープでロールを割り当てる例を示します。

Azure CLI

azロール割り当て作成コマンドを使用して、Azureでユーザー、グループ、またはアプリケーションサービスのプリンシパルにロールが割り当てられます。 オブジェクトIDでグループを指定できます。

az role assignment create --assignee <objectId> \
    --scope /subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName> \
    --role "<roleName>" 

割り当て可能なロール名を取得するには、azロール定義リストコマンドを使用します。

az role definition list --query "sort_by([].{roleName:roleName, description:description}, &roleName)" --output table

たとえば、IDbbbbbbbb-1111-2222-3333-ccccccccccccのサブスクリプションのmsdocs-python-sdk-auth-exampleリソースグループのすべてのストレージアカウント内のAzure Storageブロブコンテナとデータへのアクセスを、オブジェクトIDがaaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e読み取り、書き込み、および削除のグループのメンバーに許可するには、次のコマンドを使用して、グループにストレージブロブデータコントリビュータロールを割り当てます。

az role assignment create --assignee bbbbbbbb-1111-2222-3333-cccccccccccc \
    --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-python-sdk-auth-example \
    --role "Storage Blob Data Contributor"

Azure CLI を使用してリソースまたはサブスクリプション レベルでアクセス許可を割り当てる方法については、「Azure CLI を使用して Azure ロールを割り当てる」を参照してください。

Azure Portal

手順	Screenshot
Azure portal の上部にある検索ボックスを使用してリソース グループ名を検索し、アプリケーションのリソース グループを見つけます。 ダイアログ ボックスの [リソース グループ] 見出しの下にあるリソース グループ名を選択して、リソース グループに移動します。
リソース グループのページで、左側のメニューから [アクセス制御 (IAM)] を選択します。
[アクセス制御 (IAM)] ページで、次の操作を行います。 [ロールの割り当て] タブを選択します。 上部のメニューから [+ 追加] を選択し、次に結果のドロップダウン メニューから [ロールの割り当ての追加] を選択します。
[ロールの割り当ての追加] ページには、リソース グループで割り当てることができるすべてのロールが一覧表示されます。 検索ボックスを使用して、より管理しやすいサイズにリストをフィルター処理します。 この例では、Storage BLOB ロールをフィルター処理する方法を示します。 割り当てるロールを選択します。 [次へ] を選択して、次の画面に進みます。
次の [ロールの割り当ての追加] ページでは、ロールを割り当てるユーザーを指定できます。 [アクセスの割り当て先] で、[ユーザー、グループ、またはサービス プリンシパル] を選択します。 [メンバー] で [+ メンバーの選択] を選択する Azure portal の右側でダイアログ ボックスが開きます。
[メンバーの選択] ダイアログで、次の操作を行います。 [選択] テキスト ボックスを使用して、サブスクリプション内のユーザーとグループの一覧をフィルター処理できます。 必要に応じて、アプリ用に作成したローカル開発 Microsoft Entra グループの最初の数文字を入力します。 アプリケーションに関連付けられているローカル開発 Microsoft Entra グループを選択します。 ダイアログの下部にある [選択] を選択して続行します。
Microsoft Entra グループが、[ロールの割り当ての追加] 画面に選択済みとして表示されます。 [レビューと割り当て] を選択して最終ページに移動し、もう一度レビューと割り当てを行ってプロセスを完了します。

3 - Azure CLI、Azure PowerShell、Azure Developer CLI、またはブラウザを使用してAzureにサインイン

Azure CLI

開発者のワークステーションでターミナルを開き、Azure CLI から Azure にサインインします。

az login

Azure PowerShell

開発者のワークステーションでターミナルを開き、Azure PowerShell から Azure にサインインします。

Connect-AzAccount

Azure Developer CLI

開発者ワークステーションで端末を開き、Azure Developer CLIからAzureにサインインします。

azd auth login

対話型ブラウザ

DefaultAzureCredentialでは、対話型認証はデフォルトで無効になっており、キーワード引数を指定して有効にできます。

DefaultAzureCredential(exclude_interactive_browser_credential=False)

4 - アプリケーションに DefaultAzureCredential を実装する

Azure SDK クライアント オブジェクトを Azure に対して認証するには、アプリケーションで DefaultAzureCredential パッケージから azure.identity クラスを使用する必要があります。 このシナリオでは、DefaultAzureCredentialは開発者がAzure CLI、Azure PowerShell、またはAzure developer CLIを使用してAzureにサインインしたかどうかを順次確認します。 開発者がこれらのツールのいずれかを使用してAzureにサインインする場合、ツールへのサインインに使用されるクレデンシャルは、アプリによってAzureに対する認証に使用されます。

まず、azure.identity パッケージを アプリケーションに追加します。

pip install azure-identity

次に、アプリで Azure SDK クライアント オブジェクトを作成する Python コードでは、次のことが必要になります。

1. DefaultAzureCredential モジュールから azure.identity クラスをインポートします。
2. DefaultAzureCredential オブジェクトを作成します。
3. Azure SDK クライアント オブジェクト コンストラクターに DefaultAzureCredential オブジェクトを渡します。

これらの手順の例を次のコードセグメントに示します。

from azure.identity import DefaultAzureCredential
from azure.storage.blob import BlobServiceClient

# Acquire a credential object
token_credential = DefaultAzureCredential()

blob_service_client = BlobServiceClient(
        account_url="https://<my_account_name>.blob.core.windows.net",
        credential=token_credential)