開発者アカウントを使用したローカル開発時に Azure サービスに対して Python アプリを認証する

ローカル開発時に、アプリケーションは異なる Azure サービスを使用するために Azure に対して認証を行う必要があります。 次のいずれかの方法を使用してローカルで認証します。

• Azure Identity ライブラリでサポートされている開発者ツールの 1 つで開発者アカウントを使用します。
• ブローカーを使用して資格情報を管理します。
• サービスプリンシパルを使用してください。

この記事では、Azure Identity ライブラリでサポートされているツールを使用して開発者アカウントを使用して認証する方法について説明します。 以下のセクションでは、次のことを説明します。

• Microsoft Entra グループを使用して、複数の開発者アカウントのアクセス許可を効率的に管理する方法。
• 開発者アカウントにロールを割り当てて、アクセス権限の範囲を設定する方法。
• サポートされているローカル開発ツールにサインインする方法。
• アプリ コードから開発者アカウントを使用して認証する方法。

認証でサポートされている開発者ツール

開発者の Azure 資格情報を使用してローカル開発中にアプリが Azure に対して認証されるようにするには、開発者は次のいずれかの開発者ツールから Azure にサインインする必要があります。

• Azure CLI
• Azure Developer CLI
• Azure PowerShell
• Visual Studio Code

Azure Identity ライブラリは、開発者がこれらのツールのいずれかからサインインしていることを検出できます。 その後、ライブラリはツールを使用して Microsoft Entra アクセス トークンを取得し、サインインしているユーザーとして Azure に対してアプリを認証できます。

この方法では、開発者の既存の Azure アカウントを利用して認証プロセスを効率化します。 ただし、開発者のアカウントには、アプリが必要とするよりも多くのアクセス許可があるため、運用環境でアプリが実行するアクセス許可を超える可能性があります。 別の方法として、 ローカル開発時に使用するアプリケーション サービス プリンシパルを作成できます。このスコープは、アプリで必要なアクセス権のみを持つことができます。

ローカル開発用の Microsoft Entra グループを作成する

個々のサービス プリンシパル オブジェクトにロールを割り当てるのではなく、アプリがローカル開発で必要とするロール (アクセス許可) をカプセル化する Microsoft Entra グループを作成します。 この方法には、次の利点があります。

• すべての開発者には、グループ レベルで同じロールが割り当てられます。
• アプリに新しいロールが必要な場合は、アプリのグループにのみ追加する必要があります。
• 新しい開発者がチームに参加すると、開発者用に新しいアプリケーション サービス プリンシパルが作成され、グループに追加され、開発者がアプリで作業するための適切なアクセス許可を持っている必要があります。

Azure Portal

1. Azure portal で Microsoft Entra ID の概要ページに移動します。

2. 左側のメニューから [すべてのグループ ] を選択します。

3. [ グループ ] ページで、[ 新しいグループ] を選択します。

4. [ 新しいグループ ] ページで、次のフォーム フィールドに入力します。

   • グループの種類: セキュリティを選択します。
   • グループ名: アプリ名または環境名への参照を含むグループの名前を入力します。
   • グループの説明: グループの目的を説明する説明を入力します。

   

5. [メンバー] の下の [メンバーが選択されていません] リンクを選択して、グループにメンバーを追加します。

6. 開いたポップアップ パネルで、先ほど作成したサービス プリンシパルを検索し、フィルター処理された結果から選択します。 パネルの下部にある [選択 ] ボタンを選択して、選択内容を確認します。

7. [新しいグループ] ページの下部にある [作成] を選択してグループを作成し、[すべてのグループ] ページに戻ります。 新しいグループが表示されない場合は、しばらく待ってからページを更新してください。

Azure CLI

1. az ad group create コマンドを使用して、Microsoft Entra ID でグループを作成します。

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   --display-name パラメーターと --mail-nickname パラメーターが必要です。 グループに指定する名前は、グループの目的を示すアプリの名前と環境に基づいている必要があります。

2. グループにメンバーを追加するには、アプリケーション サービス プリンシパルのオブジェクト ID が必要です。アプリケーション ID とは異なります。 az ad sp list コマンドを使用して、使用可能なサービス プリンシパルを一覧表示します。

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   --filter パラメーターは OData スタイルのフィルターを受け入れ、次のようにリストをフィルター処理するために使用できます。 --query パラメーターは、出力を目的の列のみに制限します。

3. az ad group member add コマンドを使用して、グループにメンバーを追加します。

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

グループにロールを割り当てる

次に、アプリで必要なリソースのロール (アクセス許可) を決定し、作成した Microsoft Entra グループにそれらのロールを割り当てます。 グループには、リソース、リソース グループ、またはサブスクリプション スコープでロールを割り当てることができます。 この例では、ほとんどのアプリがすべての Azure リソースを 1 つのリソース グループにグループ化するため、リソース グループ スコープでロールを割り当てる方法を示します。

Azure Portal

1. Azure portal で、アプリを含むリソース グループの [概要 ] ページに移動します。

2. 左側のナビゲーションから アクセス制御 (IAM) を選択します。

3. [ アクセス制御 (IAM)] ページで、[ + 追加 ] を選択し、ドロップダウン メニューから [ ロールの割り当ての追加 ] を選択します。 [ ロールの割り当ての追加] ページには、ロールを構成して割り当てるためのタブがいくつか用意されています。

4. [ ロール ] タブで、検索ボックスを使用して、割り当てるロールを見つけます。 ロールを選択し、[ 次へ] を選択します。

5. [メンバー] タブで、次の 手順 を実行します。

   • [ 値へのアクセスの割り当て] で、[ ユーザー、グループ、またはサービス プリンシパル ] を選択します。
   • [メンバー] の値で 、[+ メンバーの選択] を選択して、[メンバーの選択] ポップアップ パネルを開きます。
   • 先ほど作成した Microsoft Entra グループを検索し、フィルター処理された結果から選択します。 [ 選択 ] を選択してグループを選択し、ポップアップ パネルを閉じます。
   • [メンバー] タブの下部にある [確認と割り当て] を選択します。

   

6. [ 校閲と割り当て ] タブで、ページの下部にある [校閲と割り当て ] を選択します。

Azure CLI

1. az role definition list コマンドを使用して、Microsoft Entra グループやサービス プリンシパルに割り当て可能なロールを特定します。

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. az role assignment create コマンドを使用して、作成した Microsoft Entra グループにロールを割り当てます。

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Azure CLI を使用してリソースまたはサブスクリプション レベルでアクセス許可を割り当てる方法については、「Azure CLI を 使用して Azure ロールを割り当てる」を参照してください。

開発者ツールを使用して Azure にサインインする

Azure アカウントで認証するには、次のいずれかの方法を選択します。

Visual Studio Code

Visual Studio Code を使用する開発者は、ブローカーを介してエディターを介して開発者アカウントで直接認証できます。 DefaultAzureCredential または VisualStudioCodeCredential を使用するアプリは、このアカウントを使用して、シームレスなシングル サインオン エクスペリエンスを通じてアプリ要求を認証できます。

1. Visual Studio Code で、[ 拡張機能 ] パネルに移動し、 Azure リソース 拡張機能をインストールします。 この拡張機能を使用すると、Visual Studio Code から直接 Azure リソースを表示および管理できます。 また、組み込みの Visual Studio Code Microsoft 認証プロバイダーを使用して Azure で認証します。

   

2. Visual Studio Code でコマンド パレットを開き、[ Azure: サインイン] を検索して選択します。

   

   ヒント

   Windows/Linux または macOS のCtrl+Shift+PでCmd+Shift+Pを使用してコマンド パレットを開きます。

3. azure-identity-broker Python パッケージをアプリに追加します。

   pip install azure-identity-broker
   

Azure CLI

開発者は 、Azure CLI を使用して Microsoft Entra ID に対する認証を行うことができます。 DefaultAzureCredentialまたはAzureCliCredentialを使用するアプリでは、ローカルで実行するときにこのアカウントを使用してアプリ要求を認証できます。

Azure CLI で認証するには、az login コマンドを実行します。 既定の Web ブラウザーを使用するシステムでは、Azure CLI によってブラウザーが起動され、ユーザーが認証されます。

az login

既定の Web ブラウザーがないシステムの場合、az login コマンドはデバイス コード認証フローを使用します。 ユーザーは、--use-device-code 引数を指定してブラウザーを起動するのではなく、デバイス コード フローを使用するように Azure CLI に強制することもできます。

az login --use-device-code

Azure Developer CLI

開発者は 、Azure Developer CLI を使用して Microsoft Entra ID に対する認証を行うことができます。 DefaultAzureCredentialまたはAzureDeveloperCliCredentialを使用するアプリでは、ローカルで実行するときにこのアカウントを使用してアプリ要求を認証できます。

Azure Developer CLI で認証するには、azd auth login コマンドを実行します。 既定の Web ブラウザーを使用するシステムでは、Azure Developer CLI によってブラウザーが起動され、ユーザーが認証されます。

azd auth login

既定の Web ブラウザーがないシステムの場合、 azd auth login --use-device-code はデバイス コード認証フローを使用します。 ユーザーは、 --use-device-code 引数を指定してブラウザーを起動するのではなく、Azure Developer CLI にデバイス コード フローの使用を強制することもできます。

azd auth login --use-device-code

Azure PowerShell

開発者は 、Azure PowerShell を使用して Microsoft Entra ID に対する認証を行うことができます。 DefaultAzureCredentialまたはAzurePowerShellCredentialを使用するアプリでは、ローカルで実行するときにこのアカウントを使用してアプリ要求を認証できます。

Azure PowerShell で認証するには、Connect-AzAccountコマンドを実行します。 既定の Web ブラウザーとバージョン 5.0.0 以降の Azure PowerShell を使用するシステムでは、ブラウザーを起動してユーザーを認証します。

Connect-AzAccount

既定の Web ブラウザーがないシステムの場合、Connect-AzAccount コマンドはデバイス コード認証フローを使用します。 ユーザーは、 UseDeviceAuthentication 引数を指定してブラウザーを起動するのではなく、Azure PowerShell にデバイス コード フローの使用を強制することもできます。

Connect-AzAccount -UseDeviceAuthentication

アプリから Azure サービスに対して認証する

Azure Identity ライブラリには、さまざまなシナリオと Microsoft Entra 認証フローをサポートする TokenCredential の実装が用意されています。 この手順では、ユーザー アカウントをローカルで操作するときに DefaultAzureCredential または特定の開発ツールの資格情報を使用する方法を示します。

コードを実装する

1. azure-identity パッケージをアプリケーションに追加します。

   pip install azure-identity
   

   注

   VisualStudioCodeCredentialを使用する場合は、azure-identity-broker パッケージもインストールする必要があります。

   pip install azure-identity-broker
   

   import モジュールとアプリに必要な Azure サービス クライアント モジュールに必要なazure.identity ステートメントを追加します。

2. シナリオに基づいて、資格情報の実装のいずれかを選択します。

   • 開発ツールに固有の資格情報を使用します。このオプションは、1 人または 1 つのツールのシナリオに最適です。
   • 任意の開発ツールで使用できる資格情報を使用します。このオプションは、オープンソース プロジェクトや多様なツール チームに最適です。

開発ツールに固有の資格情報を使用する

特定の開発ツールに対応する TokenCredential インスタンスを、 AzureCliCredentialなどの Azure サービス クライアント コンストラクターに渡します。

from azure.identity import AzureCliCredential
from azure.storage.blob import BlobServiceClient

credential = AzureCliCredential()

blob_service_client = BlobServiceClient(
   account_url="https://<account-name>.blob.core.windows.net",
   credential=credential)

任意の開発ツールで使用できる資格情報を使用する

すべてのローカル開発ツール用に最適化された DefaultAzureCredential インスタンスを使用します。 この例では、環境変数AZURE_TOKEN_CREDENTIALSdevに設定する必要があります。 詳細については、「 資格情報の種類のカテゴリを除外する」を参照してください。

from azure.identity import DefaultAzureCredential
from azure.storage.blob import BlobServiceClient

credential = DefaultAzureCredential(require_envvar=True)

blob_service_client = BlobServiceClient(
   account_url="https://<account-name>.blob.core.windows.net",
   credential=credential)

ヒント

チームが複数の開発ツールを使用して Azure で認証する場合は、ツール固有の資格情報よりも DefaultAzureCredential を優先します。