Azure Digital Twins で使用するアプリ登録を作成する

この記事では、Azure Digital Twins にアクセスできる Microsoft Entra IDアプリ登録 を作成する方法について説明します。 この記事には、Azure portal と Azure CLI の手順が含まれています。

Azure Digital Twins を使用するときは、クライアント アプリケーションでインスタンスを操作するのが一般的です。 これらのアプリケーションは、Azure Digital Twins に対して認証を行う必要がありますが、その際、アプリから使用できる認証メカニズムとしてアプリの登録があります。

アプリの登録は、認証シナリオによっては必要ありません。 一方、アプリの登録が必要な認証方法やコード サンプルをご使用の方は、それを設定して、Azure Digital Twins API へのアクセス許可を付与する方法をこの記事でご覧いただけます。 また、認証にアプリの登録を使用するために必要な重要な値を収集する方法についても説明しています。

ヒント

新しいアプリ登録を必要となるたびに設定することもできます。または、1 回だけ行い、1 つのアプリ登録を確立してそれを必要とするすべてのシナリオで共有することもできます。

登録を作成する

まず、お好みのインターフェイスの下のタブを選択します。

ポータル

Azure portal 上で Microsoft Entra ID に移動します (このリンクを使用するか、ポータルの検索バーを使って検索できます)。 サービス メニューから [アプリの登録]、[+ 新しい登録] の順に選択します。

以下の [アプリケーションの登録] ページで、要求される次の値を入力します。

• 名前: 登録に関連付ける Microsoft Entra アプリケーションの表示名
• サポートされているアカウントの種類: [この組織ディレクトリのアカウントのみ (既定のディレクトリのみ - シングル テナント)] を選択します
• リダイレクト URI: Microsoft Entra アプリケーションの Microsoft Entra アプリケーション応答 URL。 http://localhost のパブリック クライアント/ネイティブ (モバイルとデスクトップ) URI を追加します。

完了したら、[登録] ボタンを選択します。

登録の設定が完了したら、ポータルによって詳細ページにリダイレクトされます。

CLI

最初に、アプリの登録で Azure Digital Twins API にアクセスするために必要なサービス情報を含むマニフェスト ファイルを作成します。 その後、このファイルを CLI コマンドに渡して登録を作成します。

マニフェストを作成する

コンピューターに manifest.json という名前の新しい .json ファイルを作成します。 次のテキストをファイルにコピーします。

[
	{
		"resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0",
		"resourceAccess": [
			{
				"id": "4589bd03-58cb-4e6c-b17f-b580e39652f8",
				"type": "Scope"
			}
		]
	}
]

静的な値 0b07f429-9f4b-4714-9392-cc5e8e80c8b0 は、Azure Digital Twins サービス エンドポイントのリソース ID です。この ID は、アプリの登録で Azure Digital Twins API にアクセスするために必要となります。

完成したファイルを保存します。

Cloud Shell ユーザー: マニフェストのアップロード

このチュートリアルで Azure Cloud Shell を使用している場合は、作成したマニフェスト ファイルを Cloud Shell にアップロードして、アプリの登録を構成するときに Cloud Shell コマンドでアクセスできるようにする必要があります。 Azure CLI のローカル インストールを使用している場合は、次の手順「作成コマンドを実行する」に進むことができます。

ファイルをアップロードするには、ブラウザーで Cloud Shell ウィンドウに移動します。 [ファイルのアップロード/ダウンロード] アイコンを選択し、[アップロード] を選択します。

コンピューター上の manifest.json ファイルに移動し、[開く] を選びます。 こうすることで、Cloud Shell ストレージのルートにファイルがアップロードされます。

作成コマンドを実行する

このセクションでは、CLI コマンドを実行して、次の設定でアプリの登録を作成します。

• 任意の名前
• 既定のディレクトリ内のアカウントでのみ使用できる (シングル テナント)
• http://localhost の Web 応答 URL
• Azure Digital Twins API に対する読み取り/書き込みアクセス許可

次のコマンドを実行して登録を作成します。 Cloud Shell を使用している場合、manifest.json ファイルのパスは @manifest.json になります。

az ad app create --display-name <app-registration-name> --available-to-other-tenants false --reply-urls http://localhost --native-app --required-resource-accesses "<path-to-manifest.json>"

コマンドの出力は、作成したアプリの登録に関する情報です。

成功を確認する

Azure Digital Twins のアクセス許可が付与されたことを確認するには、作成コマンドの、requiredResourceAccess の下にある出力で次のフィールドを探します。 それらの値が次に示されている値と一致することを確認します。

• resourceAccess > id は 4589bd03-58cb-4e6c-b17f-b580e39652f8
• resourceAppId は 0b07f429-9f4b-4714-9392-cc5e8e80c8b0

重要な値を収集する

次に、アプリの登録に関する重要な値を収集します。これらは、アプリの登録を使用してクライアント アプリケーションを認証するのに必要となります。 これらの値には次の値が含まれます。

• リソース名 - Azure Digital Twins を使用する場合、リソース名 は http://digitaltwins.azure.net。
• クライアント ID
• テナント ID
• クライアント シークレット

次のセクションでは、残りの値を見つける方法について説明します。

クライアント ID とテナント ID を収集する

認証にアプリの登録を使用するには、アプリケーション (クライアント) ID とディレクトリ (テナント) ID を指定する必要がある場合があります。 ここでは、これらの値を収集します。これにより、これらの値を保存して必要なときにいつでも使用できます。

ポータル

クライアント ID とテナント ID の値は、Azure portal のアプリ登録の詳細ページから収集できます。

実際のページに表示される、アプリケーション (クライアント) ID と ディレクトリ (テナント) ID をメモしておきます。

CLI

これらの両方の値は、前に実行した az ad app create コマンドからの出力で確認できます。 (az ad app show を使用して、アプリの登録の情報を再度表示することもできます。)

結果で次の値を探します。

アプリケーション (クライアント) ID:

ディレクトリ (テナント) ID:

クライアント シークレットを収集する

アプリの登録用のクライアント シークレットを設定します。これは、他のアプリケーションが認証に使用できます。

ポータル

Azure portal のアプリの登録ページから開始します。

1. 登録のメニューから [証明書とシークレット] を選択して、[+ 新しいクライアント シークレット] を選択します。

   

2. [説明] と [有効期限] に必要な値を入力して、[追加] を選択します。

   

3. [証明書とシークレット] ページの [有効期限] および [値] フィールドにクライアント シークレットが表示されていることを確認します。

4. 後で使用するので [シークレット ID] と [値] を記録しておきます ([コピー] アイコンを使用してクリップボードにコピーすることもできます)。

   

重要

値をコピーして安全な場所に保存してください。再び取得することはできません。 後でこれらを見つけることができない場合は、新しいシークレットを作成する必要があります。

CLI

アプリの登録のクライアント シークレットを作成するには、前の手順で収集したアプリ登録のクライアント ID 値が必要です。 新しいシークレットを作成するには、次の CLI コマンドでその値を使用します。

az ad app credential reset --id <client-ID> --append

このコマンドに省略可能なパラメーターを追加して、資格情報の説明、終了日、その他の詳細を指定することもできます。 このコマンドとそのパラメーターの詳細については、az ad app credential reset のドキュメントを参照してください。

このコマンドによって、作成されたクライアント シークレットに関する情報が出力されます。

認証にクライアント シークレットが必要な場合に使用するために、password の値をコピーします。

重要

この値を再度取得することはできないため、ここでコピーして安全な場所に保存してください。 後でこの値を見つけることができなかった場合は、新しいシークレットを作成する必要があります。

Azure Digital Twins のアクセス許可を付与する

次に、Azure Digital Twins へのアクセス許可を使用して、作成したアプリ登録を構成します。 必要なアクセス許可には、次の 2 種類があります。

• Azure Digital Twins インスタンス内でのアプリの登録用のロールの割り当て
• Azure Digital Twins API の読み取りと書き込みを行うためのアプリの API アクセス許可

ロール割り当ての作成

このセクションでは、Azure Digital Twins インスタンスでのアプリ登録用のロールの割り当てを作成します。 このロールによって、アプリの登録がインスタンスに保持するアクセス許可が決まります。そのため、状況に適したアクセス許可のレベルに一致するロールを選択する必要があります。 可能なロールの 1 つは、Azure Digital Twins データ所有者です。 ロールとその説明の完全なリストについては、「Azure 組み込みロール」を参照してください。

ポータル

登録のロールの割り当てを作成するには、次の手順に従います。

1. Azure portal 上の Azure Digital Twins インスタンスのページを開きます。

2. [アクセス制御 (IAM)] を選択します。

3. [追加]>[ロールの割り当ての追加] を選択して、[ロールの割り当ての追加] ページを開きます。

4. 適切なロールを割り当てます。 詳細な手順については、「Azure portal を使用して Azure ロールを割り当てる」を参照してください。

   設定	値
   ロール	必要に応じて選択する
   アクセス権を割り当てる > メンバー	ユーザー、グループ、またはサービス プリンシパル
   メンバー > メンバー	+ メンバーを選択し、アプリ登録の名前またはクライアント ID を検索します

   

   

   ロールが選択されたら、確認して割り当てます。

ロールの割り当てを確認する

[Access Control (IAM)] > [ロールの割り当て] 下で設定したロールの割り当てを確認できます。

アプリの登録は、割り当てたロールと共にリストに表示されます。

CLI

ロールを割り当てるには、az dt role-assignment create コマンドを使用します (Azure サブスクリプションで、十分なアクセス許可を持つユーザーによって実行される必要があります)。 このコマンドには、割り当てるロールの名前、Azure Digital Twins インスタンスの名前、アプリの登録の名前またはオブジェクト ID を渡す必要があります。

az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<name-or-ID-of-app-registration>" --role "<appropriate-role-name>"

このコマンドの結果として、アプリの登録用に作成されたロールの割り当てに関する情報が出力されます。

ロールの割り当てをさらに確認するには、Azure portal で検索します (Portal の手順タブに切り替えます)。

API のアクセス許可を付与する

このセクションでは、Azure Digital Twins API にアプリ ベースラインの読み取り/書き込みアクセス許可を付与します。

Azure CLI を使用し、マニフェスト ファイルを使用して前にアプリの登録を設定している場合、この手順は既に完了しています。 Azure portal を使用してアプリの登録を作成する場合は、このセクションの残りの部分を続行して API アクセス許可を設定します。

ポータル

アプリ登録のポータル ページで、メニューから [API のアクセス許可] を選択します。 以下のアクセス許可ページで、[+ アクセス許可の追加] ボタンを選択します。

次の [API アクセス許可の要求] ページで、[所属する組織で使用している API] タブに切り替えて、"Azure digital twins" を検索します。 検索結果から Azure Digital Twins を選択して、Azure Digital Twins API に対するアクセス許可の割り当てを続けます。

Note

サービスの以前の (2020 年 7 月より前の) パブリック プレビューで作成された既存の Azure Digital Twins インスタンスがお使いのサブスクリプションにまだある場合は、代わりに "Azure Smart Spaces Service" を検索して選択する必要があります。 これは、同じ API セットの古い名前です ("アプリケーション (クライアント) ID" が上記のスクリーンショットと同じであることに注意してください)。この手順の他に、操作手順に変更はありません。

次に、これらの API に対して付与するアクセス許可を選択します。 [Read (1)]\(読み取り (1)\) アクセス許可を展開して、[Read.Write]\(読み取り.書き込み\) と示されたチェック ボックスをオンにし、このアプリ登録に読み取りおよび書き込みのアクセス許可を付与します。

完了したら、[アクセス許可の追加] を選択します。

API のアクセス許可を確認する

[API のアクセス許可] ページで、Read.Write のアクセス許可が反映された Azure Digital Twins のエントリがあることを確認します。

また、アプリ登録の manifest.json 内で Azure Digital Twins への接続を検証できます。これは、API のアクセス許可を追加したときに、Azure Digital Twins 情報によって自動的に更新されました。

これを行うには、メニューから [マニフェスト] を選択して、アプリ登録のマニフェスト コードを表示します。 コード ウィンドウの一番下までスクロールし、requiredResourceAccess の下の次のフィールドと値を探します。

• "resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0"
• "resourceAccess" > "id": "4589bd03-58cb-4e6c-b17f-b580e39652f8"

これらの値については、下のスクリーンショットをご覧ください。

これらの値がない場合は、API アクセス許可の追加に関するセクションの手順を再試行してください。

CLI

CLI を使用している場合は、「登録を作成する」手順の一環として、API のアクセス許可が前に設定されています。

Azure portal を使用して確認できるようになりました (Portal の指示タブに切り替えます)。

組織でのその他の考えられる手順

アプリの登録を設定するには、サブスクリプションの所有者または管理者からの追加のアクションが組織で必要になる可能性があります。 必要な手順は、組織の具体的な設定によって異なることがあります。 以下のタブを選択すると、お好みのインターフェイスに合わせて調整されたこの情報が表示されます。

ポータル

サブスクリプションの所有者または管理者による実行が必要になる可能性がある一般的な潜在的なアクティビティのいくつかを次に示します。 これらの操作は、Azure portal の Microsoft Entra アプリの登録ページから実行できます。

• アプリ登録に対する管理者の同意を付与する。 組織では、サブスクリプション内のすべてのアプリ登録について、Microsoft Entra ID で [管理者の同意が必要] がグローバルに有効になっている可能性があります。 その場合は、有効にするアプリの登録について、アプリの登録の [API のアクセス許可] ページで所有者/管理者がユーザーの会社に対してこのボタンを選択する必要があります。

  

  • 同意が正常に付与された場合は、Azure Digital Twins のエントリに [(ユーザーの会社) に付与されました] の [状態] 値が表示されます。

  

• パブリック クライアント アクセスをアクティブ化する

• Web およびデスクトップへのアクセスに特定の応答 URL を設定する

• 暗黙の OAuth2 認証フローを許可する

CLI

サブスクリプションの所有者または管理者による実行が必要になる可能性がある一般的な潜在的なアクティビティのいくつかを次に示します。

• アプリ登録に対する管理者の同意を付与する。 組織では、サブスクリプション内のすべてのアプリ登録について、Microsoft Entra ID で [管理者の同意が必要] がグローバルに有効になっている可能性があります。 その場合、所有者/管理者は、追加の委任されたアクセス許可またはアプリケーションのアクセス許可を付与する必要がある場合があります。
• 登録の create または update コマンドに --set publicClient=true を追加して、パブリック クライアント アクセスをアクティブ化する。
• --reply-urls パラメーターを使用して、Web およびデスクトップへのアクセスに特定の応答 URL を設定する。 az ad コマンドでこのパラメーターを使用する方法の詳細については、az ad app のドキュメントを参照してください。
• --oauth2-allow-implicit-flow パラメーターを使用して、暗黙的な OAuth2 認証フローを許可する。 az ad コマンドでこのパラメーターを使用する方法の詳細については、az ad app のドキュメントを参照してください。

アプリ登録とそのさまざまな設定オプションの詳細については、「Microsoft ID プラットフォームにアプリケーションを登録する」を参照してください。

次のステップ

この記事では、クライアント アプリケーションを Azure Digital Twins API で認証するために使用できる Microsoft Entra アプリの登録を設定しました。

次に、認証メカニズムについて、アプリの登録を使用するものと、使用しないものについて確認します。

• アプリ認証コードを作成する