開発者アカウントを使用したローカル開発時に Azure サービスに対して .NET アプリを認証する

クラウド アプリケーションを作成する場合、開発者はローカル ワークステーションでアプリケーションをデバッグおよびテストする必要があります。 ローカル開発時に開発者のワークステーションでアプリケーションを実行する場合でも、アプリで使用されるすべての Azure サービスに対して認証する必要があります。 この記事では、ローカル開発時に開発者の Azure 資格情報を使用して Azure に対してアプリを認証する方法について説明します。

ローカル開発時に開発者の Azure 資格情報を使用して Azure に対してアプリを認証する場合、開発者は VS Code Azure Tools 拡張機能、Azure CLI、または Azure PowerShell から Azure にサインインする必要があります。 Azure SDK for .NET では、開発者がこれらのツールのいずれかからサインインしていることを検出し、サインインしているユーザーとして Azure に対してアプリを認証するために必要な資格情報を資格情報キャッシュから取得できます。

この方法は、開発者の既存の Azure アカウントを利用するため、開発チームに設定するのが最も簡単です。 ただし、開発者のアカウントにアプリケーションで必要とされるよりも多くのアクセス許可が与えられる可能性があるため、運用環境でアプリが実行されるアクセス許可を超えてしまいます。 別の方法として、アプリに必要なアクセス権のみを持つようにスコープを設定できるアプリケーション サービス プリンシパルを作成し、ローカル開発時に使用することもできます。

1 - ローカル開発用の Azure AD グループを作成する

ほとんどの場合、1 つのアプリケーションで作業する開発者が複数いるため、最初に Azure AD グループを作成して、ローカル開発でアプリに必要なロール (アクセス許可) をカプセル化することをお勧めします。 これには次のような利点があります。

• ロールはグループ レベルで割り当てられるため、すべての開発者に同じロールが割り当てられることが保証されます。
• アプリに新しいロールが必要な場合、追加する必要があるのはアプリの Azure AD グループのみです。
• 新しい開発者がチームに参加する場合は、アプリで作業するための適切なアクセス許可を取得するために、適切な Azure AD グループに追加する必要があります。

開発チームの既存の Azure AD グループがある場合は、そのグループを使用できます。 それ以外の場合は、次の手順を実行して、Azure AD グループを作成してください。

Azure Portal

手順	Screenshot
ページの上部にある検索ボックスに「Azure Active Directory」と入力し、[サービス] の下から Azure Active Directory を選択して、Azure portal の [Azure Active Directory] ページに移動します。
[Azure Active Directory] ページで、左側のメニューから [グループ] を選択します。
[すべてグループ] ページで、[新しいグループ] を選択します。
[新しいグループ] ページで、次の操作を行います。 グループの種類 → セキュリティ グループ名 →通常はアプリケーション名から作成される、セキュリティ グループの名前です。 また、グループの名前に "local-dev" のような文字列を含め、グループの目的も示すと便利です。 グループの説明 → グループの目的の説明。 [メンバー] の下の [メンバーが選択されていません] リンクを選択して、グループにメンバーを追加します。
[メンバーの追加] ダイアログ ボックスで、次の操作を行います。 検索ボックスを使用して、一覧で、ユーザー名の一覧をフィルター処理します。 このアプリのローカル開発用のユーザーを選択します。 オブジェクトを選択すると、ダイアログの下部にある [選択された項目] リストに移動します。 終わったら、[選択] ボタンを選択します。
[新規グループ] ページに戻り、[作成] を選択して、グループを作成します。 グループが作成され、[すべてのグループ] ページに戻ります。 グループが表示されるまでに最大 30 秒かかる場合があり、Azure portal でのキャッシュのためにページの更新が必要になる場合があります。

Azure CLI

az ad group create コマンドは、Azure Active Directory でグループを作成するために使用します。 --display-name パラメーターと --main-nickname パラメーターは必須です。 グループに指定する名前は、アプリケーションの名前に基づく必要があります。 また、グループの名前に "local-dev" のような語句を含め、グループの目的も示すと便利です。

az ad group create \
    --display-name MyDisplay \
    --mail-nickname MyDisplay  \
    --description <group-description>

グループにメンバーを追加するには、Azure ユーザーのオブジェクト ID が必要です。 az ad user list を使用して、使用可能なサービス プリンシパルを一覧表示します。 --filter パラメーター コマンドは OData スタイル フィルターを受け取り、表示されているユーザーの表示名のリストをフィルター処理するために使用できます。 --query パラメーターでは、必要な列のみに制限されます。

az ad user list \
    --filter "startswith(displayName, 'Bob')" \
    --query "[].{objectId:objectId, displayName:displayName}" \
    --output table

その後、az ad group member add コマンドを使用して、グループにメンバーを追加できます。

az ad group member add \
    --group <group-name> \
    --member-id <object-id>

2 - Azure AD グループにロールを割り当てる

次に、アプリで必要なリソースに対して必要なロール (アクセス許可) を決定し、それらのロールをアプリに割り当てる必要があります。 この例では、手順 1 で作成した Azure Active Directory グループにロールが割り当てられます。 ロールは、リソース、リソース グループ、またはサブスクリプション スコープで割り当てることができます。 ほとんどのアプリケーションではすべての Azure リソースを 1 つのリソース グループにグループ化するため、この例では、リソース グループのスコープでロールを割り当てる方法を示します。

Azure Portal

手順	Screenshot
Azure portal の上部にある検索ボックスを使用してリソース グループ名を検索し、アプリケーションのリソース グループを見つけます。 ダイアログ ボックスの [リソース グループ] 見出しの下にあるリソース グループ名を選択して、リソース グループに移動します。
リソース グループのページで、左側のメニューから [アクセス制御 (IAM)] を選択します。
[アクセス制御 (IAM)] ページで、次の操作を行います。 [ロールの割り当て] タブを選択します。 上部のメニューから [+ 追加] を選択し、次に結果のドロップダウン メニューから [ロールの割り当ての追加] を選択します。
[ロールの割り当ての追加] ページには、リソース グループで割り当てることができるすべてのロールが一覧表示されます。 検索ボックスを使用して、より管理しやすいサイズにリストをフィルター処理します。 この例では、Storage BLOB ロールをフィルター処理する方法を示します。 割り当てるロールを選択します。 [次へ] を選択して、次の画面に進みます。
次の [ロールの割り当ての追加] ページでは、ロールを割り当てるユーザーを指定できます。 [アクセスの割り当て先] で、[ユーザー、グループ、またはサービス プリンシパル] を選択します。 [メンバー] で [+ メンバーの選択] を選択する Azure portal の右側にダイアログ ボックスが開きます。
[メンバーの選択] ダイアログで、次の操作を行います。 [選択] テキスト ボックスを使用して、サブスクリプション内のユーザーとグループの一覧をフィルター処理できます。 必要に応じて、アプリ用に作成したローカル開発 Azure AD グループの最初の数文字を入力します。 アプリケーションに関連付けられているローカル開発 Azure AD グループを選択します。 ダイアログの下部にある [選択] を選択して続行します。
[ロールの割り当ての追加] 画面で、Azure AD グループが選択済みとして表示されるようになりました。 [レビューと割り当て] を選択して最終ページに移動し、もう一度レビューと割り当てを行ってプロセスを完了します。

Azure CLI

アプリケーション サービス プリンシパルには、az role assignment create コマンドを使用して Azure のロールが割り当てられます。

az role assignment create --assignee "{appId}" \
    --role "{roleName}" \
    --resource-group "{resourceGroupName}"

サービス プリンシパルを割り当てることができるロール名を取得するには、az role definition list コマンドを使用します。

az role definition list --query "sort_by([].{roleName:roleName, description:description}, &roleName)" --output table

たとえば、msdocs-dotnet-sdk-auth-example リソース グループ内のすべてのストレージ アカウントに対する Azure Storage の BLOB コンテナーおよびデータの読み取り、書き込み、削除のアクセス権を、appId が 00000000-0000-0000-0000-000000000000 のアプリケーション サービス プリンシパルに許可するには、次のコマンドを使用して、アプリケーション サービス プリンシパルを Storage BLOB データ共同作成者ロールに割り当てます。

az role assignment create --assignee "00000000-0000-0000-0000-000000000000" \
    --role "Storage Blob Data Contributor" \
    --resource-group "msdocs-dotnet-sdk-auth-example"

Azure CLI を使用してリソースまたはサブスクリプション レベルでアクセス許可を割り当てる方法については、「Azure CLI を使用して Azure ロールを割り当てる」を参照してください。

3 - .NET ツールを使って Azure にサインインする

次に、いくつかの .NET ツール オプションのいずれかを使って、Azure にサインインする必要があります。 サインインするアカウントは、前に作成および構成した Azure Active Directory グループに存在する必要もあります。

Visual Studio

Visual Studio のトップ メニューから [ツール]>[オプション] に移動してオプション ダイアログを開きます。 左上の検索バーに「Azure」と入力してオプションをフィルター処理します。 [Azure サービス認証] で、[アカウントの選択] を選びます。

[アカウントの選択] の下にあるドロップダウン メニューを選び、[Microsoft アカウントを追加] を選びます。 アカウントの選択を求めるウィンドウが開きます。 目的の Azure アカウントの資格情報を入力し、確認を選びます。

VS Code Azure Tools 拡張機能

アプリで VS Code の開発者資格情報を使用する場合は、VS Code に VS Code Azure Tools 拡張機能をインストールする必要があります。

VS コード用の Azure Tools 拡張機能をインストールする

左側のパネルに、Azure アイコンが表示されます。 このアイコンを選択すると、Azure サービスのコントロール パネルが表示されます。 任意のサービスの下で [Azure にサインイン] を選択して、Visual Studio Code で Azure Tools の認証プロセスを完了します。

Azure CLI

開発者のワークステーションでターミナルを開き、Azure CLI から Azure にサインインします。

az login

Azure PowerShell

開発者のワークステーションでターミナルを開き、Azure PowerShell から Azure にサインインします。

Connect-AzAccount

4 - アプリケーションに DefaultAzureCredential を実装する

DefaultAzureCredential では複数の認証方法がサポートされており、実行時に使われる認証方法が決定されます。 このようにして、アプリでは環境固有のコードを実装することなく、さまざまな環境でさまざまな認証方法を使用できます。

DefaultAzureCredential によって資格情報が検索される順序と場所は、DefaultAzureCredential にあります。

DefaultAzureCredential を実装するには、最初に Azure.Identity と、必要に応じて Microsoft.Extensions.Azure パッケージをアプリケーションに追加します。 これを実行するには、コマンド ラインまたは NuGet パッケージ マネージャーを使います。

コマンド ライン

アプリケーション プロジェクト ディレクトリで任意のターミナル環境を開き、次のコマンドを入力します。

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

NuGet パッケージ マネージャー

Visual Studio でプロジェクト ノードを右クリックし、[NuGet パッケージの管理] を選びます。 検索フィールドで「Azure.Identity」を検索し、一致するパッケージをインストールします。 Microsoft.Extensions.Azure パッケージについても、このプロセスを繰り返します。

通常、Azure サービスには、SDK からの対応するクライアント クラスを使ってアクセスします。 これらのクラスと独自のカスタム サービスは、アプリ全体で依存関係の挿入を介してアクセスできるように、Program.cs ファイルに登録する必要があります。 Program.cs 内で、次の手順に従ってサービスと DefaultAzureCredential を正しくセットアップします。

1. using ステートメントを使って、Azure.Identity 名前空間と Microsoft.Extensions.Azure 名前空間を組み込みます。
2. 関連するヘルパー メソッドを使って Azure サービスを登録します。
3. DefaultAzureCredential オブジェクトのインスタンスを UseCredential メソッドに渡します。

この例を次のコード セグメントに示します。

using Microsoft.Extensions.Azure;
using Azure.Identity;

// Inside of Program.cs
builder.Services.AddAzureClients(x =>
{
    x.AddBlobServiceClient(new Uri("https://<account-name>.blob.core.windows.net"));
    x.UseCredential(new DefaultAzureCredential());
});

または、次に示すように、追加の Azure 登録メソッドを使わず、サービスでより直接的に DefaultAzureCredential を利用することもできます。

using Azure.Identity;

// Inside of Program.cs
builder.Services.AddSingleton<BlobServiceClient>(x => 
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

上記のコードがローカル開発中にローカル ワークステーションで実行されると、アプリケーション サービス プリンシパルの環境変数、または Visual Studio、VS Code、Azure CLI、または Azure PowerShell では一連の開発者資格情報が検索されます。いずれも、ローカル開発中に Azure リソースに対してアプリを認証するために使用できます。

Azure にデプロイすると、この同じコードでアプリを他の Azure リソースに対して認証することもできます。 DefaultAzureCredential では、環境設定とマネージド ID 構成を取得し、他のサービスに対して自動的に認証することができます。