オンプレミスでホストされている Python アプリから Azure リソースに対して認証する

Azure の外部 (オンプレミスやサードパーティのデータ センターなど) でホストされているアプリは、Azure リソースにアクセスするときに、アプリケーション サービス プリンシパルを使用して Azure に対する認証を行う必要があります。 アプリケーション サービス プリンシパル オブジェクトは、Azure のアプリ登録プロセスを使用して作成されます。 新しいアプリケーション サービス プリンシパルを作成すると、アプリのクライアント ID とクライアント シークレットが生成されます。 クライアント ID、クライアント シークレット、テナント ID は、実行時に Azure SDK for Python でアプリを認証するために使用される環境変数に格納します。

アプリがホストされている環境ごとに異なるアプリ登録を作成する必要があります。 異なるアプリ登録を作成すると、サービス プリンシパルごとに環境固有のリソースアクセス許可を構成でき、ある環境にデプロイされたアプリが、別の環境の一部である Azure リソースと通信しないようにすることができます。

Azure にアプリケーションを登録する

アプリは、Azure portal または Azure CLI を使用して Azure に登録できます。

Azure CLI

APP_NAME=<app-name>
az ad sp create-for-rbac --name $APP_NAME

コマンドの出力は次のようになります。 これらの値をメモするか、次の手順でこれらの値が必要になり、パスワード (クライアント シークレット) 値を再び表示できなくなるため、このウィンドウを開いたままにします。

{
  "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "displayName": "msdocs-python-sdk-auth-prod",
  "password": "Ee5Ff~6Gg7.-Hh8Ii9Jj0Kk1Ll2Mm3_Nn4Oo5Pp6",
  "tenant": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
}

次に、 appID 値を取得し、変数に格納する必要があります。 この値は、Azure SDK for Python がサービス プリンシパルを使用して Azure に対して認証できるように、ローカル開発環境で環境変数を設定するために使用されます。

APP_ID=$(az ad sp create-for-rbac \
  --name $APP_NAME --query appId --output tsv)

Azure Portal

Azure portal にサインインして、次の手順を実行します。

手順	スクリーンショット
Azure portal で、次の操作を行います。 Azure portal の上部にある検索バーに「アプリの登録」と入力します。 検索バーの下に表示されるメニューの [サービス] 見出しの下にある [アプリの登録] と書かれた項目を選択します。
[アプリの登録] ページで、[+ 新規登録] を選択します。
[アプリケーションの登録] ページで、次のようにフォームに入力します。 名前 → Azure でのアプリ登録の名前を入力します。 この名前には、アプリの登録の対象となるアプリ名と環境 (テスト、運用) を含めることをお勧めします。 サポートされているアカウントの種類 → この組織のディレクトリ内のアカウントのみ。 [登録] を選択してアプリを登録し、アプリケーション サービス プリンシパルを作成します。
お使いのアプリの [アプリの登録] ページで、次の操作を行います。 アプリケーション (クライアント) ID → これは、ローカル開発中にアプリが Azure にアクセスするために使用するアプリ ID です。 この値は、後の手順で必要になるので、テキスト エディターで一時的な場所にコピーします。 ディレクトリ (テナント) ID → この値は、Azure に対して認証するときにもアプリで必要になります。 この値も後の手順で必要になるので、テキスト エディターで一時的な場所にコピーします。 クライアント資格情報 → アプリが Azure に対して認証して Azure サービスを使用する前に、アプリのクライアント資格情報を設定する必要があります。 [証明書またはシークレットの追加] を選択して、アプリの資格情報を追加します。
[証明書とシークレット] ページで、[+ 新しいクライアント シークレット] を選びます。
[クライアント シークレットの追加] ダイアログがページの右側から表示されます。 このダイアログで、次の操作を行います。 説明 → 現在の値を入力します。 有効期限 → "24 か月"の値を選択します。 [追加] を選択してシークレットを追加します。 重要: シークレットの有効期限の前に予定表にアラームを設定します。 これにより、事前に新しいシークレットを追加し、このシークレットの有効期限が切れる前にアプリを更新して、アプリのサービスが中断しないようにできます。
証明書&シークレット ページには、クライアント シークレットの値が表示されます。 この値をテキストエディタの一時的な場所にコピーします。これは、将来の手順で必要になるためです。 重要: この値が表示されるのはこのタイミングだけです。 このページを終了または更新すると、この値を再度表示できなくなります。 このクライアント シークレットを無効にせずに別のクライアント シークレットを追加できますが、この値は再び表示されません。

アプリケーション サービス プリンシパルにロールを割り当てる

次に、アプリがどのリソースでどのロール (アクセス許可) を必要としているかを決定し、それらのロールをアプリに割り当てる必要があります。 ロールは、リソース、リソース グループ、またはサブスクリプション スコープで割り当てることができます。 ほとんどのアプリケーションではすべての Azure リソースを 1 つのリソース グループにグループ化するため、この例では、リソース グループのスコープでサービス プリンシパルのロールを割り当てる方法を示します。

Azure CLI

サービス プリンシパルには、az role assignment create コマンドを使用して、Azure でロールが割り当てられます。

RESOURCE_GROUP_NAME=<resource-group-name>
SUBSCRIPTION_ID=$(az account show --query id --output tsv)
ROLE_NAME=<role-name>

az role assignment create \
  --assignee "$APP_ID" \
  --scope "./subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP_NAME" \
  --role "$ROLE_NAME"

![!注] Git Bash が /subscriptions/.. を扱わないようにするにはファイル パスとして、 scope パラメーターの文字列の先頭に ./ を付加し、文字列全体を二重引用符で囲みます。

サービス プリンシパルを割り当てることができるロール名を取得するには、az role definition list コマンドを使用します。

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

たとえば、appId が 00001111-aaaa-2222-bbbb-3333cccc4444 であるサービス プリンシパルに、ID が であるサブスクリプションに含まれる aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e リソース グループのすべてのストレージ アカウントの Azure Storage blob コンテナとデータへの読み取り、書き込み、および削除のアクセスを許可するには、次のコマンドを使用して、アプリケーション サービス プリンシパルをストレージ BLOB データ共同作成者ロールに割り当てます。

az role assignment create --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
    --scope "./subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-python-sdk-auth-example" \
    --role "Storage Blob Data Contributor"

Azure CLI を使用してリソースまたはサブスクリプション レベルでアクセス許可を割り当てる方法については、「Azure CLI を使用して Azure ロールを割り当てる」を参照してください。

Azure Portal

手順	スクリーンショット
Azure portal の上部にある検索ボックスを使用してリソース グループ名を検索し、アプリケーションのリソース グループを見つけます。 ダイアログ ボックスの [リソース グループ] 見出しの下にあるリソース グループ名を選択して、リソース グループに移動します。
リソース グループのページで、左側のメニューから [アクセス制御 (IAM)] を選択します。
[アクセス制御 (IAM)] ページで、次の操作を行います。 [ロールの割り当て] タブを選択します。 上部のメニューから [+ 追加] を選択し、次に結果のドロップダウン メニューから [ロールの割り当ての追加] を選択します。
[ロールの割り当ての追加] ページには、リソース グループで割り当てることができるすべてのロールが一覧表示されます。 検索ボックスを使用して、より管理しやすいサイズにリストをフィルター処理します。 この例では、Storage BLOB ロールをフィルター処理する方法を示します。 割り当てるロールを選択します。 [次へ] を選択して、次の画面に進みます。
次の [ロールの割り当ての追加] ページでは、ロールを割り当てるユーザーを指定できます。 [アクセスの割り当て先] で、[ユーザー、グループ、またはサービス プリンシパル] を選択します。 [メンバー] で [+ メンバーの選択] を選択する Azure portal の右側でダイアログ ボックスが開きます。
[メンバーの選択] ダイアログで、次の操作を行います。 [選択] テキスト ボックスを使用して、サブスクリプション内のユーザーとグループの一覧をフィルター処理できます。 必要に応じて、アプリ用に作成したサービス プリンシパルの最初の数文字を入力して、一覧をフィルター処理します。 アプリケーションに関連付けられているサービス プリンシパルを選択します。 ダイアログの下部にある [選択] を選択して続行します。
サービス プリンシパルが、[ロールの割り当ての追加] 画面に選択済みとして表示されます。 [レビューと割り当て] を選択して最終ページに移動し、もう一度レビューと割り当てを行ってプロセスを完了します。

アプリケーションの環境変数を構成する

Python アプリを実行するプロセスに対して AZURE_CLIENT_ID、AZURE_TENANT_ID、AZURE_CLIENT_SECRET 環境変数を設定して、実行時にアプリケーション サービス プリンシパル資格情報をアプリで使用できるようにする必要があります。 DefaultAzureCredential オブジェクトでは、これらの環境変数でサービス プリンシパル情報を検索します。

Unix サーバー環境で Gunicorn を使用して Python Web アプリを実行する場合、アプリの環境変数は、EnvironmentFileの gunicorn.server ディレクティブを使用して指定できます。 次の例を参照してください。

[Unit]
Description=gunicorn daemon
After=network.target  
  
[Service]  
User=www-user
Group=www-data
WorkingDirectory=/path/to/python-app
EnvironmentFile=/path/to/python-app/py-env/app-environment-variables
ExecStart=/path/to/python-app/py-env/gunicorn --config config.py wsgi:app
            
[Install]  
WantedBy=multi-user.target

EnvironmentFile ディレクティブで指定されたファイルには、環境変数の一覧とその値を次のように含める必要があります。

AZURE_CLIENT_ID=<value>
AZURE_TENANT_ID=<value>
AZURE_CLIENT_SECRET=<value>

アプリケーションで DefaultAzureCredential を実装する

Azure SDK クライアント オブジェクトを Azure に対して認証するには、アプリケーションで DefaultAzureCredential パッケージから azure.identity クラスを使用する必要があります。

まず、azure.identity パッケージを アプリケーションに追加します。

pip install azure-identity

次に、アプリで Azure SDK クライアント オブジェクトを作成する Python コードについては、次の手順を実行する必要があります。

1. DefaultAzureCredential モジュールから azure.identity クラスをインポートします。
2. DefaultAzureCredential オブジェクトを作成します。
3. Azure SDK クライアント オブジェクト コンストラクターに DefaultAzureCredential オブジェクトを渡します。

この方法の例を次のコード セグメントに示します。

from azure.identity import DefaultAzureCredential
from azure.storage.blob import BlobServiceClient

# Acquire a credential object
token_credential = DefaultAzureCredential()

blob_service_client = BlobServiceClient(
        account_url="https://<my_account_name>.blob.core.windows.net",
        credential=token_credential)

この例では、コードが DefaultAzureCredential オブジェクトをインスタンス化するときに、 DefaultAzureCredential は、Azure に接続するアプリケーション サービス プリンシパル情報の環境変数 AZURE_TENANT_ID、 AZURE_CLIENT_ID、および AZURE_CLIENT_SECRET を読み取ります。