Azure Digital Twins インスタンスと認証を設定する (ポータル)
この記事では、新しい Azure Digital Twins インスタンスを設定する手順 (インスタンスの作成と認証の設定を含む) について説明します。 この記事を完了すると、Azure Digital Twins インスタンスのプログラミングを開始する準備が整います。
この記事のこのバージョンでは、Azure portal を使用して、これらの手順を 1 つずつ手動で実行します。 Azure portal は、コマンドライン ツールに代えて使用できる、Web ベースの統合コンソールです。
新しい Azure Digital Twins インスタンスのための設定全体は、2 つの部分で構成されます。
- インスタンスの作成
- ユーザーのアクセス許可の設定:Azure ユーザーが Azure Digital Twins インスタンスとそのデータを管理するには、Azure Digital Twins データ所有者ロールが必要です。 この手順では、Azure サブスクリプションの所有者/管理者が、Azure Digital Twins インスタンスを管理することになる人にこのロールを割り当てます。 これは、自分自身のこともあれば、組織内の他の人であることもあります。
重要
このすべての記事を完了し、使用可能なインスタンスを完全に設定するには、Azure サブスクリプションのリソースとユーザーの両方へのアクセスを管理するためのアクセス許可が必要です。 最初の手順は、サブスクリプションでリソースを作成できる人であればだれでも完了できますが、2 番目の手順では、ユーザー アクセス管理のアクセス許可 (またはこれらのアクセス許可を持つ人の協力) が必要です。 この詳細については、ユーザー アクセス権限手順の「前提条件:権限の要件」セクションを参照してください。
Azure Digital Twins インスタンスを作成する
このセクションでは、Azure portal を使用して、Azure Digital Twins の新しいインスタンスを作成します。 ポータルに移動し、自分の資格情報でログインします。
Azure portal に入ったら、Azure サービスのホーム ページ メニューで [リソースの作成] を選択して開始します。
![ホーム ページの [リソースの作成] アイコンが強調表示されている Azure portal のスクリーンショット。](media/how-to-set-up-instance/portal/create-resource.png)
検索ボックスで azure digital twins を検索し、結果から [Azure Digital Twins] サービスを選択します。
[プラン] フィールドは [Azure Digital Twins] に設定したままにし、[作成] ボタンを選択してサービスの新しいインスタンスの作成を開始します。
![Azure Digital Twins サービス ページの [作成] ボタンが強調表示されている Azure portal のスクリーンショット。](media/how-to-set-up-instance/portal/create-azure-digital-twins.png)
以下の [リソースの作成] ページで、次に示した値を入力します。
- サブスクリプション:使用している Azure サブスクリプション
- [リソース グループ] :インスタンスのデプロイ先にするリソース グループ。 検討できる既存のリソース グループがまだない場合は、 [新規作成] リンクを選択して新しいリソース グループの名前を入力することで、ここで作成することができます
- [場所] :デプロイする Azure Digital Twins 対応のリージョン。 リージョンのサポートに関する詳細については、"リージョン別の利用可能な Azure 製品 (Azure Digital Twins) " に関するページを参照してください。
- [リソース名] : Azure Digital Twins インスタンスの名前。 サブスクリプションのリージョンに、指定した名前がすでに使用されている別の Azure Digital Twins インスタンスがある場合は、別の名前を選択するように求められます。
- [リソースへのアクセスを許可する] : このセクションのボックスをオンにすると、インスタンス内のデータにアクセスして管理するためのアクセス許可が Azure アカウントに付与されます。 ご自分でインスタンスを管理する場合は、ここでこのチェック ボックスをオンにしてください。 サブスクリプションにアクセス許可がないため、これが淡色表示されている場合は、リソースの作成を続行し、後で必要なアクセス許可を持つ人にロールを付与してもらうことができます。 このロールとインスタンスへのロールの割り当ての詳細については、次のセクション「ユーザーのアクセス許可を設定する」を参照してください。
![Azure portal の Azure Digital Twins の [リソースの作成] プロセスのスクリーンショット。記述された値が入力されます。](media/how-to-set-up-instance/portal/create-azure-digital-twins-2.png)
- サブスクリプション:使用している Azure サブスクリプション
操作を完了し、インスタンスの設定をこれ以上構成しない場合は、 [確認と作成] を選択できます。 これにより、[概要] ページに移動し、入力したインスタンスの詳細を確認して [作成] で完了できます。
インスタンスの詳細をさらに構成する場合は、次のセクションに残りの設定タブの説明があります。
その他の設定オプション
ここでは、 [リソースの作成] プロセスで他のタブを使用して、設定中に構成できる追加のオプションを示します。
- ネットワーク:このタブでは、Azure Private Link でプライベート エンドポイントを有効にして、インスタンスがパブリック ネットワークに露出されないようにすることができます。 手順については、「Private Link を使用してプライベート アクセスを有効にする」を参照してください。
- [詳細設定]: このタブでは、インスタンスのシステム割り当てマネージド ID を有効にすることができます。 有効にすると、Azure は Azure Active Directory (Azure AD) 内のインスタンスの ID を自動的に作成します。これは、他のサービスに対する認証に使用できます。 そのシステム割り当てマネージド ID は、ここでインスタンスを作成している間に有効にすることも、既存のインスタンスで後で有効にすることもできます。 代わりにユーザー割り当てマネージド ID を有効にする場合は、既存のインスタンスで後で有効にする必要があります。
- タグ:このタブでは、Azure リソース間での整理に役立てるために、インスタンスにタグを追加できます。 Azure リソース タグの詳細については、論理的な組織化のためのリソース、リソース グループ、およびサブスクリプションへのタグ付けに関する記事を参照してください。
正常に実行されたことを確認して重要な値を収集する
[作成] を選択してインスタンスの設定を終了すると、ポータル アイコン バーの Azure 通知にインスタンスのデプロイの状態が表示されます。 デプロイが成功すると通知が表示され、その時点で、作成したインスタンスを表示するための [リソースに移動] ボタンを選択できるようになります。
![Azure portal での、デプロイの成功の表示と [リソースに移動] ボタンの強調表示がある Azure 通知のスクリーンショット。](media/how-to-set-up-instance/portal/notifications-deployment.png)
デプロイが失敗した場合は、その理由が通知に示されます。 エラー メッセージの通知内容を確認して、インスタンスの作成を再試行します。
ヒント
インスタンスが作成されたら、Azure portal の検索バーでインスタンスの名前を検索して、いつでもそのページに戻ることができます。
インスタンスの [概要] ページで、 [名前] 、 [リソース グループ] 、および [ホスト名] をメモします。 これらの値はすべて重要であり、Azure Digital Twins インスタンスの操作を続行する際に使用が必要になる可能性のある重要な値です。 他のユーザーがそのインスタンスに対してプログラミングする場合は、これらの値を彼らと共有する必要があります。
![Azure Digital Twins インスタンスの [概要] ページで重要な値が強調表示されている Azure portal のスクリーンショット。](media/how-to-set-up-instance/portal/instance-important-values.png)
これで、Azure Digital Twins インスタンスの準備が完了しました。 次に、適切な Azure ユーザーにそれを管理するためのアクセス許可を付与します。
ユーザーのアクセス許可を設定する
Azure Digital Twins は、ロールベースのアクセス制御 (RBAC) に Azure Active Directory (Azure AD) を使用します。 つまり、ユーザーが Azure Digital Twins インスタンスへのデータ プレーン呼び出しを行うには、そのための適切なアクセス許可を持つロールをそのユーザーに割り当てておく必要があります。
Azure Digital Twins の場合、このロールは "Azure Digital Twins Data Owner" (Azure Digital Twins データ所有者) です。 ロールとセキュリティの詳細については、Azure Digital Twins ソリューションのセキュリティに関するページを参照してください。
注意
このロールは、Azure Digital Twins インスタンスのスコープでも割り当てることができる Azure AD [所有者] ロールとは異なります。 これらは 2 つの個別の管理ロールであり、Azure Digital Twins データ所有者 で許可されるデータ プレーンへのアクセス機能は所有者に付与されません。
このセクションでは、Azure サブスクリプションの Azure AD テナント内のユーザーの電子メールを使用して、Azure Digital Twins インスタンスでのそのユーザーのロールの割り当てを作成する方法について説明します。 組織内のロールによっては、このアクセス許可を自分で設定するか、または Azure Digital Twins インスタンスを管理するだれか他のユーザーの代わりに設定する可能性があります。
Azure Digital Twins でユーザーへのロールの割り当てを作成するには、次の 2 つの方法があります。
どちらも同じアクセス許可が必要です。
前提条件:権限の要件
次のすべての手順を実行するには、次のアクセス許可を持つサブスクリプションのロールが必要です。
- Azure リソースのデプロイおよび管理
- Azure リソースへのユーザー アクセスの管理 (アクセス許可の付与と委任を含む)
この要件を満たす一般的なロールは、所有者、アカウント管理者、ユーザー アクセス管理者と共同作成者の組み合わせです。 他のロールに含まれるアクセス許可など、ロールとアクセス許可の詳細については、Azure RBAC ドキュメントの 「Azure ロール、Azure AD ロール、クラシック サブスクリプション管理者ロール 」を参照してください。
ご自分のサブスクリプションのロールを確認するには、Azure portal 上のサブスクリプション ページにアクセスします (このリンクを使用するか、ポータルの検索バーを使って "サブスクリプション" を検索できます)。 使用しているサブスクリプションの名前を検索し、それに対応するロールを [自分の役割] 列で確認します。
その値が共同作成者、または前述した必要なアクセス許可を持たない別のロールである場合は、こうしたアクセス許可を持つサブスクリプションのユーザー (サブスクリプションの所有者やアカウント管理者など) に問い合わせて、次のいずれかの方法で続行することができます。
- 自分の代わりにロール割り当て手順を完了してもらうように依頼する。
- ご自身で続行するためのアクセス許可が付与されるように、サブスクリプションのロールを昇格するように依頼する。 これが適切かどうかは、ユーザーの組織やその中でのロールによって異なります。
インスタンスの作成時にロールを割り当てる
この記事で前述したプロセスを使用して Azure Digital Twins リソースを作成する際に、 [リソースへのアクセスを許可する] で [Azure Digital Twins データ所有者ロールを割り当てる] を選択します。 これにより、データ プレーン API へのフル アクセスが許可されます。
![Azure portal での Azure Digital Twins の [リソースの作成] プロセスのスクリーンショット。[リソースへのアクセスを許可する] の下のチェック ボックスが強調表示されています。](media/how-to-set-up-instance/portal/create-azure-digital-twins-2-role.png)
ID にロールを割り当てるアクセス許可を持ってない場合、ボックスは淡色表示になります。
![Azure portal での Azure Digital Twins の [リソースの作成] プロセスのスクリーンショット。[リソースへのアクセスを許可する] の下のチェック ボックスが無効になっています。](media/how-to-set-up-instance/portal/create-azure-digital-twins-2-role-greyed.png)
その場合でも、引き続き Azure Digital Twins リソースを正常に作成できますが、適切なアクセス許可を持つ人に、このロールを自分またはインスタンスのデータを管理する人に割り当ててもらう必要があります。
Azure Identity Management (IAM) を使用してロールを割り当てる
Azure Identity Management (IAM) のアクセス制御オプションを使用して、Azure Digital Twins データ所有者ロールを割り当てることもできます。
最初に、Azure portal 上の Azure Digital Twins インスタンスのページを開きます。
[アクセス制御 (IAM)] を選択します。
[追加][ロールの割り当ての追加] を選択して、[ロールの割り当ての追加] ページを開きます。
Azure Digital Twins データ所有者ロールを割り当てます。 詳細な手順については、「Azure portal を使用して Azure ロールを割り当てる」を参照してください。
設定 値 Role Azure Digital Twins データ所有者 アクセスの割り当て先 ユーザー、グループ、またはサービス プリンシパル メンバー 割り当てるユーザーの名前またはメール アドレスを検索する ![[ロールの割り当ての追加] ページ](../includes/role-based-access-control/media/add-role-assignment-page.png)
成功を確認する
[Access Control (IAM)] [ロールの割り当て] 下で設定したロールの割り当てを確認できます。 一覧に "Azure Digital Twins Data Owner" (Azure Digital Twins データ所有者) のロールを持つユーザーが表示されます。
これで Azure Digital Twins インスタンスの準備が完了し、それを管理するためのアクセス許可が割り当てられました。
インスタンスのシステム割り当てマネージド ID を有効または無効にする
このセクションでは、マネージド ID (システム割り当てまたはユーザー割り当て) を既存の Azure Digital Twins インスタンスに追加する方法について説明します。 また、このページを使用して、ID が既に追加されているインスタンスでマネージド ID を無効にすることもできます。
まずブラウザーで Azure portal を開きます。
ポータルの検索バーでお使いのインスタンスの名前を検索し、それを選択して詳細を表示します。
左側のメニューで [Identity](ID) を選択します。
タブを使用して、追加または削除するマネージド ID の種類を選択します。
システム割り当て: このタブを選択した後、[オン] オプションを選択してこの機能を有効にするか、[オフ] を選択して削除します。
[保存] ボタンを選択し、 [はい] を選択して確定します。 システム割り当て ID が有効になると、新しい ID のオブジェクト ID とアクセス許可 (Azure ロールの割り当て) を示すその他のフィールドがこのページに表示されます。
ユーザー割り当て (プレビュー): このタブを選択した後、[ユーザー割り当てマネージド ID の関連付け] を選択し、プロンプトに従ってインスタンスに関連付ける ID を選択します。
または、無効にする ID がここに既に一覧表示されている場合は、一覧の横にあるチェック ボックスをオンにして [削除] します。
ID が追加されたら、ここで一覧から ID の名前を選択して、その詳細を開くことができます。 その詳細ページから、そのオブジェクト ID を表示し、左側のメニューを使用して [Azure ロールの割り当て] を確認できます。
マネージド ID を無効にする場合の考慮事項
ID またはそのロールに対する変更が、それを使用するリソースに及ぼす影響を考慮することが重要です。 マネージド ID を Azure Digital Twins エンドポイントまたはデータ履歴で使用している場合、ID を無効にするか、必要なロールをそれから削除すると、エンドポイントまたはデータ履歴の接続にアクセスできなくなる可能性があり、イベントのフローが中断されます。
次のステップ
Azure Digital Twins CLI コマンドを使用して、インスタンスでの個別の REST API 呼び出しをテストします。
または、認証コードを使用してクライアント アプリケーションをインスタンスに接続する方法を確認します。