オンプレミスでホストされている .NET アプリから Azure リソースに対して認証する

Azure の外部 (オンプレミスやサードパーティのデータ センターなど) でホストされているアプリは、Azure リソースにアクセスするときに、アプリケーション サービス プリンシパルを使用して Azure に対する認証を行う必要があります。 アプリケーション サービス プリンシパル オブジェクトは、Azure のアプリ登録プロセスを使用して作成されます。 アプリケーション サービス プリンシパルが作成されると、アプリのクライアント ID とクライアント シークレットが生成されます。 クライアント ID、クライアント シークレット、テナント ID は環境変数に格納されるため、実行時にアプリを Azure に対して認証するために Azure SDK for .NET で使用できます。

アプリがホストされている環境ごとに異なるアプリ登録を作成する必要があります。 これにより、サービス プリンシパルごとに環境固有のリソース アクセス許可を構成し、ある環境にデプロイされたアプリが、別の環境の一部である Azure リソースと通信しないようにすることができます。

1 - Azure にアプリケーションを登録する

アプリは、Azure portal または Azure CLI を使用して Azure に登録できます。

Azure Portal

Azure portal にサインインして、次の手順を実行します。

手順	Screenshot
Azure portal で、次の操作を行います。 Azure portal の上部にある検索バーに「アプリの登録」と入力します。 検索バーの下に表示されるメニューの [サービス] 見出しの下にある [アプリの登録] と書かれた項目を選択します。
[アプリの登録] ページで、[+ 新規登録] を選択します。
[アプリケーションの登録] ページで、次のようにフォームに入力します。 名前 → Azure でのアプリ登録の名前を入力します。 この名前には、アプリの登録の対象となるアプリ名と環境 (テスト、運用) を含めることをお勧めします。 サポートされているアカウントの種類 → この組織のディレクトリ内のアカウントのみ。 [登録] を選択してアプリを登録し、アプリケーション サービス プリンシパルを作成します。
お使いのアプリの [アプリの登録] ページで、次の操作を行います。 アプリケーション (クライアント) ID → ローカル開発時にアプリが Azure にアクセスするために使用するアプリ ID です。 この値は、後の手順で必要になるので、テキスト エディターで一時的な場所にコピーします。 ディレクトリ (テナント) ID → この値は、Azure に対して認証するときにもアプリで必要になります。 この値も後の手順で必要になるので、テキスト エディターで一時的な場所にコピーします。 クライアント資格情報 → アプリが Azure に対して認証して Azure サービスを使用する前に、アプリのクライアント資格情報を設定する必要があります。 [証明書またはシークレットの追加] を選択して、アプリの資格情報を追加します。
[証明書とシークレット] ページで、[+ 新しいクライアント シークレット] を選びます。
[クライアント シークレットの追加] ダイアログがページの右側から表示されます。 このダイアログで、次の操作を行います。 説明 → 現在の値を入力します。 有効期限 → "24 か月"の値を選択します。 [追加] を選択してシークレットを追加します。 重要: シークレットの有効期限の前に予定表にアラームを設定します。 これにより、事前に新しいシークレットを追加し、このシークレットの有効期限が切れる前にアプリを更新して、アプリのサービスが中断しないようにできます。
[証明書とシークレット] ページにクライアント シークレットの値が表示されます。 この値は、後の手順で必要になるので、テキスト エディターで一時的な場所にコピーします。 重要: この値が表示されるのは今回だけです。 このページを終了または更新すると、この値を再度表示できなくなります。 このクライアント シークレットを無効にすることなく、さらにクライアント シークレットを追加できますが、この値は再度表示されません。

Azure CLI

az ad sp create-for-rbac --name <app-name>

このコマンドの出力は次のように表示されます。 次の手順でこれらの値が必要になりますが、パスワード (クライアント シークレット) の値をもう一度表示できなくなるため、これらの値をメモするか、このウィンドウを開いたままにします。

{
  "appId": "00000000-1111-2222-3333-444444444444",
  "displayName": "msdocs-dotnet-sdk-auth-prod",
  "password": "abcdefghijklmnopqrstuvwxyz",
  "tenant": "00000000-0000-0000-0000-000000000000"
}

2 - アプリケーション サービス プリンシパルにロールを割り当てる

次に、アプリがどのリソースでどのロール (アクセス許可) を必要としているかを決定し、それらのロールをアプリに割り当てる必要があります。 ロールは、リソース、リソース グループ、またはサブスクリプション スコープで割り当てることができます。 ほとんどのアプリケーションではすべての Azure リソースを 1 つのリソース グループにグループ化するため、この例では、リソース グループのスコープでサービス プリンシパルのロールを割り当てる方法を示します。

Azure Portal

手順	Screenshot
Azure portal の上部にある検索ボックスを使用してリソース グループ名を検索し、アプリケーションのリソース グループを見つけます。 ダイアログ ボックスの [リソース グループ] 見出しの下にあるリソース グループ名を選択して、リソース グループに移動します。
リソース グループのページで、左側のメニューから [アクセス制御 (IAM)] を選択します。
[アクセス制御 (IAM)] ページで、次の操作を行います。 [ロールの割り当て] タブを選択します。 上部のメニューから [+ 追加] を選択し、次に結果のドロップダウン メニューから [ロールの割り当ての追加] を選択します。
[ロールの割り当ての追加] ページには、リソース グループで割り当てることができるすべてのロールが一覧表示されます。 検索ボックスを使用して、より管理しやすいサイズにリストをフィルター処理します。 この例では、Storage BLOB ロールをフィルター処理する方法を示します。 割り当てるロールを選択します。 [次へ] を選択して、次の画面に進みます。
次の [ロールの割り当ての追加] ページでは、ロールを割り当てるユーザーを指定できます。 [アクセスの割り当て先] で、[ユーザー、グループ、またはサービス プリンシパル] を選択します。 [メンバー] で [+ メンバーの選択] を選択する Azure portal の右側にダイアログ ボックスが開きます。
[メンバーの選択] ダイアログで、次の操作を行います。 [選択] テキスト ボックスを使用して、サブスクリプション内のユーザーとグループの一覧をフィルター処理できます。 必要に応じて、アプリ用に作成したサービス プリンシパルの最初の数文字を入力して、一覧をフィルター処理します。 アプリケーションに関連付けられているサービス プリンシパルを選択します。 ダイアログの下部にある [選択] を選択して続行します。
[ロールの割り当ての追加] 画面で、サービス プリンシパルが選択済みとして表示されるようになりました。 [レビューと割り当て] を選択して最終ページに移動し、もう一度レビューと割り当てを行ってプロセスを完了します。

Azure CLI

サービス プリンシパルには、az role assignment create コマンドを使用して、Azure でロールが割り当てられます。

az role assignment create --assignee "{appId}" \
    --role "{roleName}" \
    --resource-group "{resourceGroupName}"

サービス プリンシパルを割り当てることができるロール名を取得するには、az role definition list コマンドを使用します。

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

たとえば、msdocs-dotnet-sdk-auth-example リソース グループ内のすべてのストレージ アカウントに対する Azure Storage の BLOB コンテナーおよびデータの読み取り、書き込み、削除アクセスを、appId が 00000000-0000-0000-0000-000000000000 のサービス プリンシパルに許可するには、次のコマンドを使用して、アプリケーション サービス プリンシパルを "Storage BLOB データ共同作成者" ロールに割り当てます。

az role assignment create --assignee "00000000-0000-0000-0000-000000000000" \
    --role "Storage Blob Data Contributor" \
    --resource-group "msdocs-dotnet-sdk-auth-example"

Azure CLI を使用してリソースまたはサブスクリプション レベルでアクセス許可を割り当てる方法については、「Azure CLI を使用して Azure ロールを割り当てる」を参照してください。

3 - アプリケーションの環境変数を構成する

DefaultAzureCredential オブジェクトでは、実行時に一連の環境変数でサービス プリンシパルの資格情報が検索されます。 .NET を使用する場合、ツールと環境に応じて、複数の方法で環境変数を構成できます。

どの方法を選択するかに関わらず、サービス プリンシパルを使用する場合は次の環境変数を構成する必要があります。

• AZURE_CLIENT_ID → アプリ ID の値です。
• AZURE_TENANT_ID → テナント ID の値です。
• AZURE_CLIENT_SECRET →アプリ用に生成されたパスワード/資格情報。

IIS

アプリが IIS でホストされている場合は、アプリ プールごとに環境変数を設定し、アプリケーション間で設定を分離することをお勧めします。

appcmd.exe set config -section:system.applicationHost/applicationPools /+"[name='Contoso'].environmentVariables.[name='ASPNETCORE_ENVIRONMENT',value='Production']" /commit:apphost
appcmd.exe set config -section:system.applicationHost/applicationPools /+"[name='Contoso'].environmentVariables.[name='AZURE_CLIENT_ID',value='00000000-0000-0000-0000-000000000000']" /commit:apphost
appcmd.exe set config -section:system.applicationHost/applicationPools /+"[name='Contoso'].environmentVariables.[name='AZURE_TENANT_ID',value='11111111-1111-1111-1111-111111111111']" /commit:apphost
appcmd.exe set config -section:system.applicationHost/applicationPools /+"[name='Contoso'].environmentVariables.[name='AZURE_CLIENT_SECRET',value='=abcdefghijklmnopqrstuvwxyz']" /commit:apphost

これらの設定は、applicationHost.config ファイル内の applicationPools 要素を使って直接構成することもできます。

<applicationPools>
   <add name="CorePool" managedRuntimeVersion="v4.0" managedPipelineMode="Classic">
      <environmentVariables>
         <add name="ASPNETCORE_ENVIRONMENT" value="Development" />
         <add name="AZURE_CLIENT_ID" value="00000000-0000-0000-0000-000000000000" />
         <add name="AZURE_TENANT_ID" value="11111111-1111-1111-1111-111111111111" />
         <add name="AZURE_CLIENT_SECRET" value="=abcdefghijklmnopqrstuvwxyz" />
      </environmentVariables>
   </add>
</applicationPools>

Windows

Windows の環境変数は、コマンド ラインから設定できます。 ただし、この方法を使うと、そのオペレーティング システム上で実行されているすべてのアプリケーションから値にアクセスできるため、注意しないと競合が発生するおそれがあります。 環境変数は、ユーザー レベル、システム レベルのいずれかで設定できます。

# Set user environment variables
setx ASPNETCORE_ENVIRONMENT "Development"
setx AZURE_CLIENT_ID "00000000-0000-0000-0000-000000000000"
setx AZURE_TENANT_ID "11111111-1111-1111-1111-111111111111"
setx AZURE_CLIENT_SECRET "=abcdefghijklmnopqrstuvwxyz"

# Set system environment variables - requires running as admin
setx ASPNETCORE_ENVIRONMENT "Development"
setx AZURE_CLIENT_ID "00000000-0000-0000-0000-000000000000" /m
setx AZURE_TENANT_ID "11111111-1111-1111-1111-111111111111" /m
setx AZURE_CLIENT_SECRET "=abcdefghijklmnopqrstuvwxyz" /m

また、PowerShell を使って、ユーザー レベルまたはコンピューター レベルで環境変数を設定することもできます。

# Set user environment variables
[Environment]::SetEnvironmentVariable("ASPNETCORE_ENVIRONMENT", "Development", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "00000000-0000-0000-0000-000000000000", "User")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "11111111-1111-1111-1111-111111111111", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "=abcdefghijklmnopqrstuvwxyz", "User")

# Set system environment variables - requires running as admin
[Environment]::SetEnvironmentVariable("ASPNETCORE_ENVIRONMENT", "Development", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "00000000-0000-0000-0000-000000000000", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "11111111-1111-1111-1111-111111111111", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "=abcdefghijklmnopqrstuvwxyz", "Machine")

4 - アプリケーションに DefaultAzureCredential を実装する

DefaultAzureCredential では複数の認証方法がサポートされており、実行時に使用される認証方法が決定されます。 このようにして、アプリでは環境固有のコードを実装することなく、さまざまな環境でさまざまな認証方法を使用できます。

DefaultAzureCredential によって資格情報が検索される順序と場所は、DefaultAzureCredential にあります。

DefaultAzureCredential を実装するには、最初に Azure.Identity と、必要に応じて Microsoft.Extensions.Azure パッケージをアプリケーションに追加します。 これを実行するには、コマンド ラインまたは NuGet パッケージ マネージャーを使います。

コマンド ライン

アプリケーション プロジェクト ディレクトリで任意のターミナル環境を開き、次のコマンドを入力します。

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

NuGet パッケージ マネージャー

Visual Studio でプロジェクト ノードを右クリックし、[NuGet パッケージの管理] を選びます。 検索フィールドで「Azure.Identity」を検索し、一致するパッケージをインストールします。 Microsoft.Extensions.Azure パッケージについても、このプロセスを繰り返します。

通常、Azure サービスには、SDK からの対応するクライアント クラスを使ってアクセスします。 これらのクラスと独自のカスタム サービスは、アプリ全体で依存関係の挿入を介してアクセスできるように、Program.cs ファイルに登録する必要があります。 Program.cs 内で、次の手順に従ってサービスと DefaultAzureCredential を正しくセットアップします。

1. using ステートメントを使って、Azure.Identity 名前空間と Microsoft.Extensions.Azure 名前空間を組み込みます。
2. 関連するヘルパー メソッドを使って Azure サービスを登録します。
3. DefaultAzureCredential オブジェクトのインスタンスを UseCredential メソッドに渡します。

この例を次のコード セグメントに示します。

using Microsoft.Extensions.Azure;
using Azure.Identity;

// Inside of Program.cs
builder.Services.AddAzureClients(x =>
{
    x.AddBlobServiceClient(new Uri("https://<account-name>.blob.core.windows.net"));
    x.UseCredential(new DefaultAzureCredential());
});

または、次に示すように、追加の Azure 登録メソッドを使わず、サービスでより直接的に DefaultAzureCredential を利用することもできます。

using Azure.Identity;

// Inside of Program.cs
builder.Services.AddSingleton<BlobServiceClient>(x => 
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new DefaultAzureCredential()));

上記のコードがローカル開発中にローカル ワークステーションで実行されると、アプリケーション サービス プリンシパルの環境変数、または Visual Studio、VS Code、Azure CLI、または Azure PowerShell では一連の開発者資格情報が検索されます。いずれも、ローカル開発中に Azure リソースに対してアプリを認証するために使用できます。

Azure にデプロイすると、この同じコードでアプリを他の Azure リソースに対して認証することもできます。 DefaultAzureCredential では、環境設定とマネージド ID 構成を取得し、他のサービスに対して自動的に認証することができます。