開発者アカウントを使用したローカル開発中に Azure サービスに対して .NET アプリを認証する

ローカル開発時に、アプリケーションは異なる Azure サービスを使用するために Azure に対して認証を行う必要があります。 次のいずれかの方法を使用してローカルで認証します。

• Azure Identity ライブラリでサポートされている開発者ツールの 1 つで開発者アカウントを使用します。
• ブローカーを使用して資格情報を管理します。
• サービスプリンシパルを使用してください。

この記事では、Azure Identity ライブラリでサポートされているツールを使用して開発者アカウントを使用して認証する方法について説明します。 以下のセクションでは、次のことを説明します。

• Microsoft Entra グループを使用して、複数の開発者アカウントのアクセス許可を効率的に管理する方法。
• 開発者アカウントにロールを割り当てて、アクセス権限の範囲を設定する方法。
• サポートされているローカル開発ツールにサインインする方法。
• アプリ コードから開発者アカウントを使用して認証する方法。

認証でサポートされている開発者ツール

開発者の Azure 資格情報を使用してローカル開発中にアプリが Azure に対して認証されるようにするには、開発者は次のいずれかの開発者ツールから Azure にサインインする必要があります。

• Azure CLI
• Azure Developer CLI
• Azure PowerShell
• Visual Studio
• Visual Studio Code

Azure Identity ライブラリは、開発者がこれらのツールのいずれかからサインインしていることを検出できます。 その後、ライブラリはツールを使用して Microsoft Entra アクセス トークンを取得し、サインインしているユーザーとして Azure に対してアプリを認証できます。

この方法では、開発者の既存の Azure アカウントを利用して認証プロセスを効率化します。 ただし、開発者のアカウントには、アプリが必要とするよりも多くのアクセス許可があるため、運用環境でアプリが実行するアクセス許可を超える可能性があります。 または、ローカル開発中に使用するアプリケーションサービスプリンシパルを作成することもできます。これは、アプリが必要とするアクセスのみを持つように範囲を設定できます。

ローカル開発用の Microsoft Entra グループを作成する

個々のサービス プリンシパル オブジェクトにロールを割り当てるのではなく、アプリがローカル開発で必要とするロール (アクセス許可) をカプセル化する Microsoft Entra グループを作成します。 この方法には、次の利点があります。

• すべての開発者には、グループ レベルで同じロールが割り当てられます。
• アプリに新しいロールが必要な場合は、アプリのグループにのみ追加する必要があります。
• 新しい開発者がチームに参加すると、開発者用に新しいアプリケーション サービス プリンシパルが作成され、グループに追加され、開発者がアプリで作業するための適切なアクセス許可を持っている必要があります。

Azure Portal

1. Azure portal の Microsoft Entra ID 概要ページに移動します。

2. 左側 メニューから [すべてのグループ] を選択します。

3. [グループ] ページで、[新しいグループ] を選択します。

4. 新しいグループ ページで、次のフォームの欄に入力してください。

   • グループの種類: セキュリティを選択します。
   • グループ名: アプリ名または環境名への参照を含むグループの名前を入力します。
   • グループの説明: グループの目的を説明する説明を入力します。

   

5. [メンバー] の下の [メンバーが選択されていません] リンクを選択して、グループにメンバーを追加します。

6. 開いたポップアップ パネルで、先ほど作成したサービス プリンシパルを検索し、フィルター処理された結果から選択します。 パネルの下部にある [ 選択] ボタンを選択して、選択内容を確認します。

7. [新しいグループ] ページの下部にある [の作成] 選択してグループを作成し、[すべてのグループ] ページに戻ります。 新しいグループが表示されない場合は、しばらく待ってからページを更新してください。

Azure CLI

1. Microsoft Entra ID でグループを作成するには、az ad group create コマンドを使用します。

   az ad group create \
       --display-name <group-name> \
       --mail-nickname <group-mail-nickname> \
       --description <group-description>
   

   --display-name パラメーターと --mail-nickname パラメーターが必要です。 グループに指定する名前は、グループの目的を示すアプリの名前と環境に基づいている必要があります。

2. グループにメンバーを追加するには、アプリケーション サービス プリンシパルのオブジェクト ID が必要です。アプリケーション ID とは異なります。 az ad sp list コマンドを使用して、使用可能なサービス プリンシパルを一覧表示します。

   az ad sp list \
       --filter "startswith(displayName, '<group-name>')" \
       --query "[].{objectId:id, displayName:displayName}"
   

   --filter パラメーターは OData スタイルのフィルターを受け取り、次のようにリストをフィルター処理するために使用できます。 --query パラメーターは、出力を目的の列のみに制限します。

3. az ad group member add コマンドを使用して、そのグループにメンバーを追加します。

   az ad group member add \
       --group <group-name> \
       --member-id <object-id>
   

グループにロールを割り当てる

次に、アプリで必要なリソースのロール (アクセス許可) を決定し、作成した Microsoft Entra グループにそれらのロールを割り当てます。 グループには、リソース、リソース グループ、またはサブスクリプション スコープでロールを割り当てることができます。 この例では、ほとんどのアプリがすべての Azure リソースを 1 つのリソース グループにグループ化するため、リソース グループ スコープでロールを割り当てる方法を示します。

Azure Portal

1. Azure portal で、アプリを含むリソース グループの の [概要] ページに移動します。

2. 左側のナビゲーションから アクセス制御 (IAM) を選択します。

3. [アクセス制御 (IAM)] ページで、[+ の追加] を選択し、ドロップダウン メニューから [ロールの割り当て 追加] を選択します。 ロールの割り当ての追加 ページには、ロールを構成して割り当てるためのタブがいくつか用意されています。

4. [ロール] タブで、検索ボックスを使用して、割り当てるロールを見つけます。 ロールを選択してから、次へを選択します。

5. [メンバー] タブで、次の手順を実行します。

   • へのアクセスを割り当てる値の場合、ユーザー、グループ、またはサービス プリンシパルを選択し、または を指定します。
   • [メンバー] の値として、[+ メンバーの選択] を選択し、[メンバーの選択] ポップアップ パネルを開きます。
   • 先ほど作成した Microsoft Entra グループを検索し、フィルター処理された結果から選択します。 [を選択]してグループを選択し、展開パネルを閉じます。
   • [メンバー] タブの下部にある [レビューと割り当て] を選択します。

   

6. [レビューと割り当て] タブで、ページの下部にある [レビューと割り当て] を選択します。

Azure CLI

1. az role definition list コマンドを使って、Microsoft Entra グループまたはサービス プリンシパルに割り当て可能なロールの名前を取得します。

   az role definition list \
       --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
       --output table
   

2. az role assignment create コマンドを使用して、作成した Microsoft Entra グループにロールを割り当てます。

   az role assignment create \
       --assignee "<group-object-Id>" \
       --role "<role-name>" \
       --resource-group "<resource-group-name>"
   

   Azure CLI を使用してリソースまたはサブスクリプション レベルでアクセス許可を割り当てる方法については、「Azure CLI を使用して Azure ロールを割り当てる」を参照してください。

開発者ツールを使用して Azure にサインインする

次に、開発環境で認証を実行するために使用できるいくつかの開発者ツールのいずれかを使用して Azure にサインインします。 認証するアカウントは、先ほど作成して構成した Microsoft Entra グループにも存在する必要があります。

Visual Studio

Visual Studio 2017 以降を使用する開発者は、IDE を使用して開発者アカウントを使用して認証できます。 DefaultAzureCredential または VisualStudioCredential を使用するアプリは、このアカウントを検出して使用して、ローカルで実行するときにアプリ要求を認証できます。 このアカウントは、Visual Studio から Azure にアプリを直接発行する場合にも使用されます。

重要

Azure の認証、開発、デプロイ用の Visual Studio ツールを有効にするには、Azure 開発 ワークロード を インストールする必要があります。

1. Visual Studio で、[ツール]>[オプション] に移動して、オプション ダイアログを開きます。

2. 上部の [検索オプション] ボックスに、Azure を入力して、使用可能なオプションを絞り込みます。

3. [Azure サービス認証] で、[アカウントの選択] を選択します。

4. [アカウントの選択] の下にあるドロップダウン メニューを選択して、Microsoft アカウントの追加を選択します。

5. 開いたウィンドウで、目的の Azure アカウントの資格情報を入力し、入力を確認します。

   

6. [OK] 選択して、オプション ダイアログを閉じます。

Visual Studio Code

Visual Studio Code を使用する開発者は、ブローカーを介してエディターを介して開発者アカウントで直接認証できます。 DefaultAzureCredentialまたはVisualStudioCodeCredentialを使用するアプリでは、このアカウントを使用して、シームレスなシングル サインオン エクスペリエンスを通じてアプリ要求を認証できます。

1. Visual Studio Code で、[ 拡張機能 ] パネルに移動し、 Azure リソース 拡張機能をインストールします。 この拡張機能を使用すると、Visual Studio Code から直接 Azure リソースを表示および管理できます。 また、組み込みの Visual Studio Code Microsoft 認証プロバイダーを使用して Azure で認証します。

   

2. Visual Studio Code でコマンド パレットを開き、[ Azure: サインイン] を検索して選択します。

   

   ヒント

   Windows/Linux または macOS のCtrl+Shift+PでCmd+Shift+Pを使用してコマンド パレットを開きます。

3. Azure.Identity.Broker NuGet パッケージをアプリに追加します。

   dotnet add package Azure.Identity.Broker
   

Azure CLI

開発者は 、Azure CLI を使用して認証できます。 DefaultAzureCredentialまたはAzureCliCredentialを使用するアプリでは、このアカウントを使用してアプリ要求を認証できます。

Azure CLI で認証するには、az login コマンドを実行します。 既定の Web ブラウザーを使用するシステムでは、Azure CLI によってブラウザーが起動され、ユーザーが認証されます。

az login

既定の Web ブラウザーがないシステムの場合、az login コマンドはデバイス コード認証フローを使用します。 ユーザーは、--use-device-code 引数を指定してブラウザーを起動するのではなく、デバイス コード フローを使用するように Azure CLI に強制することもできます。

az login --use-device-code

Azure Developer CLI

開発者は 、Azure Developer CLI を使用して認証できます。 DefaultAzureCredentialまたはAzureDeveloperCliCredentialを使用するアプリでは、このアカウントを使用してアプリ要求を認証できます。

Azure Developer CLI で認証するには、azd auth login コマンドを実行します。 既定の Web ブラウザーを使用するシステムでは、Azure Developer CLI によってブラウザーが起動され、ユーザーが認証されます。

azd auth login

既定の Web ブラウザーがないシステムの場合、azd auth login --use-device-code はデバイス コード認証フローを使用します。 ユーザーは、 --use-device-code 引数を指定してブラウザーを起動するのではなく、Azure Developer CLI にデバイス コード フローの使用を強制することもできます。

azd auth login --use-device-code

Azure PowerShell

開発者は Azure PowerShell を使用して認証できます。 DefaultAzureCredentialまたはAzurePowerShellCredentialを使用するアプリでは、このアカウントを使用してアプリ要求を認証できます。

Azure PowerShell で認証するには、Connect-AzAccountコマンドを実行します。 既定の Web ブラウザーとバージョン 5.0.0 以降の Azure PowerShell を使用するシステムでは、ブラウザーを起動してユーザーを認証します。

Connect-AzAccount

既定の Web ブラウザーがないシステムの場合、Connect-AzAccount コマンドはデバイス コード認証フローを使用します。 ユーザーは、UseDeviceAuthentication 引数を指定してブラウザーを起動するのではなく、Azure PowerShell にデバイス コード フローの使用を強制することもできます。

Connect-AzAccount -UseDeviceAuthentication

アプリから Azure サービスに対して認証する

Azure Identity ライブラリには、さまざまなシナリオと Microsoft Entra 認証フローをサポートするTokenCredentialの実装が用意されています。 この手順では、ユーザー アカウントをローカルで操作するときに、 DefaultAzureCredential または特定の開発ツールの資格情報を使用する方法を示します。

コードを実装する

次の手順を実行します。

1. プロジェクトで Azure.Identity と Microsoft.Extensions.Azure パッケージへの参照を追加します。

   dotnet add package Azure.Identity
   dotnet add package Microsoft.Extensions.Azure
   

2. Program.csで、usingおよびAzure.Identity名前空間のMicrosoft.Extensions.Azureディレクティブを追加します。

3. 対応する Addプレフィックス付き拡張メソッドを使用して、Azure サービス クライアントを登録します。

   Azure サービスには、Azure SDK クライアント ライブラリの特殊なクライアント クラスを使用してアクセスします。 これらのクライアントの種類を登録して、アプリ全体の依存関係の挿入を通じてアクセスできるようにします。

4. TokenCredential インスタンスを UseCredential メソッドに渡します。 一般的な TokenCredential 例を次に示します。

   • ローカル開発用に最適化された DefaultAzureCredential インスタンス。 次の使用例は、環境変数の AZURE_TOKEN_CREDENTIALS を devに設定します。 詳細については、「 資格情報の種類のカテゴリを除外する」を参照してください。

     builder.Services.AddAzureClients(clientBuilder =>
     {
         clientBuilder.AddBlobServiceClient(
             new Uri("https://<account-name>.blob.core.windows.net"));
     
         DefaultAzureCredential credential = new(
             DefaultAzureCredential.DefaultEnvironmentVariableName);
         clientBuilder.UseCredential(credential);
     });
     

   • VisualStudioCredentialなど、特定の開発ツールに対応する資格情報のインスタンス。

     builder.Services.AddAzureClients(clientBuilder =>
     {
         clientBuilder.AddBlobServiceClient(
             new Uri("https://<account-name>.blob.core.windows.net"));
     
         VisualStudioCredential credential = new();
         clientBuilder.UseCredential(credential);
     });
     

   ヒント

   チームが複数の開発ツールを使用して Azure で認証する場合は、ツール固有の資格情報よりも、 DefaultAzureCredential のローカル開発最適化インスタンスを優先します。