Azure SDK for .NET を使用して Azure リソースに対して Azure でホストされるアプリを認証する

Azure App Service、Azure Virtual Machines、Azure Container Instances などのサービスを使用してアプリが Azure でホストされている場合、Azure リソースに対してアプリを認証する方法として推奨されるのは、マネージド ID を使用することです。

マネージド ID では、シークレット キーやその他のアプリケーション シークレットを使用しなくても他の Azure リソースに接続できるように、アプリの ID を提供します。 内部的には、Azure でアプリの ID と、接続が許可されているリソースを把握します。 Azure では、この情報を使用してアプリの Microsoft Entra トークンを自動的に取得し、アプリケーション シークレットを管理しなくても、他の Azure リソースに接続できるようにします。

マネージド ID の種類

マネージド ID には、次の 2 種類があります。

• システム割り当てマネージド ID - この種類のマネージド ID は、Azure リソースによって提供され、Azure リソースに直接関連付けられます。 Azure リソースでマネージド ID を有効にすると、そのリソースのシステム割り当てマネージド ID が取得されます。 システム割り当てマネージド ID は、関連付けられている Azure リソースのライフサイクルに関連付けられます。 リソースが削除されると、その ID も Azure によって自動的に削除されます。 コードをホストしている Azure リソースのマネージド ID を有効にすればよいだけなので、これが最も使いやすい種類のマネージド ID です。
• ユーザー割り当てマネージド ID: スタンドアロンの Azure リソースとしてマネージド ID を自分で作成することもできます。 これが最もよく使用されるのは、ソリューションに複数の Azure リソースで実行される複数のワークロードがあり、すべてが同じ ID と同じアクセス許可を共有する必要がある場合です。 たとえば、ソリューションに複数の App Service と仮想マシンのインスタンスで実行されるコンポーネントがあり、それらのすべてが同じ Azure リソース セットにアクセスする必要がある場合、それらのリソース全体でユーザー割り当てマネージド ID を作成して使用することは理にかなっています。

この記事では、アプリのシステム割り当てマネージド ID を有効にして使用する手順について説明します。 ユーザー割り当てマネージド ID を使用する必要がある場合は、「ユーザー割り当てマネージド ID の管理」の記事を参照して、ユーザー割り当てマネージド ID の作成方法を確認してください。

1 - アプリをホストしている Azure リソースでマネージド ID を有効にする

最初の手順では、アプリをホストしている Azure リソースでマネージド ID を有効にします。 たとえば、Azure App Service を使用して .NET アプリケーションをホストしている場合は、アプリをホストしている App Service Web アプリのマネージド ID を有効にする必要があります。 仮想マシンを使用してアプリをホストしている場合は、VM でマネージド ID を使用できるようにします。

Azure portal または Azure CLI を使用して、マネージド ID を Azure リソースに使用できるようにすることができます。

Azure Portal

手順	Screenshot
Azure portal でアプリケーション コードをホストするリソースに移動します。 たとえば、ページの上部にある検索ボックスにリソースの名前を入力し、ダイアログ ボックスでそれを選択して移動できます。
リソースのページで、左側のメニューから [ID] メニュー項目を選択します。 マネージド ID をサポートできるすべての Azure リソースには、メニューのレイアウトが若干異なる場合もありますが、ID メニュー項目があります。
[ID] ページで、次の操作を行います。 [状態] スライダーを [オン] に変更します。 [保存] をクリックします。 確認ダイアログでは、サービスのマネージド ID を有効にするかどうかを確認します。 [はい] と回答すると、Azure リソースに対してマネージド ID が有効になります。

Azure CLI

Azure CLI コマンドは、Azure Cloud Shell で、または Azure CLI がインストールされているワークステーション上で実行できます。

Azure リソースのマネージド ID を有効にするために使用される Azure CLI コマンドは、az <command-group> identity --resource-group <resource-group-name> --name <resource-name> の形式です。 一般的な Azure サービス向けの具体的なコマンドを次に示します。

Azure App Service

az webapp identity assign --resource-group <resource-group-name> \
    --name <web-app-name>

Azure Virtual Machines

az vm identity assign --resource-group <resource-group-name> \
    --name <virtual-machine-name>

出力は次のようになります。

{
  "principalId": "99999999-9999-9999-9999-999999999999",
  "tenantId": "33333333-3333-3333-3333-333333333333",
  "type": "SystemAssigned",
  "userAssignedIdentities": null
}

principalId の値は、マネージド ID の一意の ID です。 次の手順でこれらの値が必要になるので、この出力のコピーを保管しておきます。

2 - マネージド ID にロールを割り当てる

次に、アプリに必要なロール (アクセス許可) を決定し、Azure でこれらのロールにマネージド ID を割り当てる必要があります。 マネージド ID には、リソース、リソース グループ、またはサブスクリプション スコープでロールを割り当てることができます。 この例では、ほとんどのアプリケーションですべての Azure リソースを 1 つのリソース グループにグループ化するため、リソース グループのスコープでロールを割り当てる方法を示します。

Azure Portal

手順	Screenshot
Azure portal の上部にある検索ボックスを使用してリソース グループ名を検索し、アプリケーションのリソース グループを見つけます。 ダイアログ ボックスの [リソース グループ] 見出しの下にあるリソース グループ名を選択して、リソース グループに移動します。
リソース グループのページで、左側のメニューから [アクセス制御 (IAM)] を選択します。
[アクセス制御 (IAM)] ページで、次の操作を行います。 [ロールの割り当て] タブを選択します。 上部のメニューから [+ 追加] を選択し、次に結果のドロップダウン メニューから [ロールの割り当ての追加] を選択します。
[ロールの割り当ての追加] ページには、リソース グループで割り当てることができるすべてのロールが一覧表示されます。 検索ボックスを使用して、より管理しやすいサイズにリストをフィルター処理します。 この例では、Storage BLOB ロールをフィルター処理する方法を示します。 割り当てるロールを選択します。 [次へ] を選択して、次の画面に進みます。
次の [ロールの割り当ての追加] ページでは、ロールを割り当てるユーザーを指定できます。 [アクセス権の割り当て先] で [マネージド ID] を選択します。 [メンバー] で [+ メンバーの選択] を選択する Azure portal の右側にダイアログ ボックスが開きます。
[マネージド ID の選択] ダイアログで、次の操作を行います。 [マネージド ID] ドロップダウンと [選択] テキスト ボックスを使用して、サブスクリプション内のマネージド ID の一覧をフィルター処理できます。 この例では、App Service を選択することで、App Service に関連付けられているマネージド ID のみが表示されています。 アプリケーションをホストしている Azure リソースのマネージド ID を選択します。 ダイアログの下部にある [選択] を選択して続行します。
[ロールの割り当ての追加] 画面で、マネージド ID が選択済みとして表示されるようになりました。 [レビューと割り当て] を選択して最終ページに移動し、もう一度レビューと割り当てを行ってプロセスを完了します。

Azure CLI

マネージド ID には、az role assignment create コマンドを使用して、Azure でロールが割り当てられます。

az role assignment create --assignee "{managedIdentityId}" \
    --role "{roleName}" \
    --scope "{scope}"

サービス プリンシパルを割り当てることができるロール名を取得するには、az role definition list コマンドを使用します。

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

たとえば、msdocs-dotnet-sdk-auth-example リソース グループ内のすべてのストレージ アカウントに対する Azure Storage の BLOB コンテナーおよびデータの読み取り、書き込み、削除アクセスを、ID が 99999999-9999-9999-9999-999999999999 のマネージド ID に許可するには、次のコマンドを使用して、アプリケーション サービス プリンシパルを "Storage BLOB データ共同作成者" ロールに割り当てます。

az role assignment create --assignee 99999999-9999-9999-9999-999999999999 \
    --role "Storage Blob Data Contributor" \
    --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-dotnet-sdk-auth-example"

Azure CLI を使用してリソースまたはサブスクリプション レベルでアクセス許可を割り当てる方法については、「Azure CLI を使用して Azure ロールを割り当てる」を参照してください。

3 - アプリケーションに DefaultAzureCredential を実装する

DefaultAzureCredential では複数の認証方法がサポートされており、実行時に使用される認証方法が決定されます。 このようにして、アプリでは環境固有のコードを実装することなく、さまざまな環境でさまざまな認証方法を使用できます。

DefaultAzureCredential によって資格情報が検索される順序と場所は、DefaultAzureCredential にあります。

DefaultAzureCredential を実装するには、最初に Azure.Identity と、必要に応じて Microsoft.Extensions.Azure パッケージをアプリケーションに追加します。 これを実行するには、コマンド ラインまたは NuGet パッケージ マネージャーを使います。

コマンド ライン

アプリケーション プロジェクト ディレクトリで任意のターミナル環境を開き、次のコマンドを入力します。

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

NuGet パッケージ マネージャー

Visual Studio でプロジェクト ノードを右クリックし、[NuGet パッケージの管理] を選びます。 検索フィールドで「Azure.Identity」を検索し、一致するパッケージをインストールします。 Microsoft.Extensions.Azure パッケージについても、このプロセスを繰り返します。

通常、Azure サービスには、SDK からの対応するクライアント クラスを使ってアクセスします。 これらのクラスと独自のカスタム サービスは、アプリ全体で依存関係の挿入を介してアクセスできるように、Program.cs ファイルに登録する必要があります。 Program.cs 内で、次の手順に従ってサービスと DefaultAzureCredential を正しくセットアップします。

1. using ステートメントを使って、Azure.Identity 名前空間と Microsoft.Extensions.Azure 名前空間を組み込みます。
2. 関連するヘルパー メソッドを使って Azure サービスを登録します。
3. DefaultAzureCredential オブジェクトのインスタンスを UseCredential メソッドに渡します。

この例を次のコード セグメントに示します。

using Microsoft.Extensions.Azure;
using Azure.Identity;

// Inside of Program.cs
builder.Services.AddAzureClients(x =>
{
    x.AddBlobServiceClient(new Uri("https://<account-name>.blob.core.windows.net"));
    x.UseCredential(new DefaultAzureCredential());
});

または、次に示すように、追加の Azure 登録メソッドを使わず、サービスでより直接的に DefaultAzureCredential を利用することもできます。

using Azure.Identity;

// Inside of Program.cs
builder.Services.AddSingleton<BlobServiceClient>(x => 
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

上記のコードがローカル開発中にローカル ワークステーションで実行されると、アプリケーション サービス プリンシパルの環境変数、または Visual Studio、VS Code、Azure CLI、または Azure PowerShell では一連の開発者資格情報が検索されます。いずれも、ローカル開発中に Azure リソースに対してアプリを認証するために使用できます。

Azure にデプロイすると、この同じコードでアプリを他の Azure リソースに対して認証することもできます。 DefaultAzureCredential では、環境設定とマネージド ID 構成を取得し、他のサービスに対して自動的に認証することができます。