SharePoint Online への接続

SharePoint Online への接続（REST）

REST API では、以下の認証スキームがサポートされています。

AzureAD
MSI
AzureServicePrincipal

AzureAD

Azure Active Directory（AzureAD）は、OAuth を使用して認証する接続タイプです。OAuth では認証するユーザーにインターネットブラウザでSAS Xpt との通信を要求します。下記で説明するとおり、本ドライバーはさまざまな方法でこれをサポートします。AuthScheme をAzureAD に設定します。以下で説明するAzure AD フローは、すでに設定済みであることを前提として書かれています。

Azure テナントの新しいAzureAD アプリケーションを承認する際、組織による管理者の同意が必要になる場合があります。すべてのAzureAD フローにおいて、AzureAD アプリケーションの初期インストールと使用の際は、管理者がそのAzure テナントのアプリケーションを承認する必要があります。

デスクトップアプリケーション

CData は、OAuth デスクトップ認証を簡略化する埋め込みOAuth アプリケーションを提供します。代わりに、カスタムAzureAD アプリケーションを作成することも可能です。カスタムアプリケーションの作成およびその理由については、カスタムAzureAD アプリの作成を参照してください。

認証に関する2つの方法の違いは、カスタムAzureAD アプリケーションを使用する場合に、2つの接続プロパティを追加で設定する必要があることだけです。

次の接続プロパティを設定して、接続してください。

InitiateOAuth：GETANDREFRESH に設定。InitiateOAuth を使うと、OAuth 交換の繰り返しや、手動でのOAuthAccessToken 設定を避けられます。
OAuthClientId：（カスタムアプリケーションのみ）アプリケーション設定のクライアントId に設定。
OAuthClientSecret：（カスタムアプリケーションのみ）アプリケーション設定のクライアントシークレットに設定。
CallbackURL：アプリケーション設定のリダイレクトURL に設定。

接続すると、connector はデフォルトブラウザでOAuth エンドポイントを開きます。ログインして、アプリケーションにアクセス許可を与えます。connector はこれでOAuth プロセスを完了します。

コールバックURL からアクセストークンを取得し、リクエストを認証します。
古いトークンの期限が切れたときは、新しいアクセストークンを取得します。
OAuth 値をOAuthSettingsLocation に保存します。これらの保存された値は接続間で永続化されます。

Azure サービスプリンシパル

Azure サービスプリンシパルとしての認証は、OAuth クライアントクレデンシャルフローを介して処理されます。直接のユーザー認証は行われません。代わりに、クレデンシャルはアプリケーション自体のためだけに作成されます。アプリで実行されるすべてのタスクは、デフォルトユーザーコンテキストなしで実行されます。リソースへのアプリケーションのアクセスは、割り当てられたロールの権限によって制御されます。

AzureAD アプリとAzure サービスプリンシパルの作成

Azure サービスプリンシパルを使用して認証する場合、Azure AD テナントにAzure AD アプリケーションを作成して登録する必要があります。詳しくは、Azure AD アプリケーションの作成を参照してください。

portal.azure.com の［アプリの登録］で［API のアクセス許可］に移動し、Microsoft Graph アクセス許可を選択します。アクセス許可には2つの異なるアクセス許可セットがあります。委任されたアクセス許可とアプリケーションの許可です。クライアントの資格情報認証時に使用されるアクセス許可は、［アプリケーションの許可］の下にあります。

アプリケーションへのロールの割り当て

サブスクリプションのリソースにアクセスするには、アプリケーションにロールを割り当てる必要があります。

検索バーでサブスクリプションサービスを検索・選択して、サブスクリプションページを開きます。
アプリケーションを割り当てるサブスクリプションを選択します。
アクセス制御 (IAM)を開き、追加 -> ロール割り当ての追加 を選択してロール割り当ての追加ページを開きます。
作成したAzure AD アプリに割り当てるロールとして、所有者を選択します。

認証の完了 クライアントシークレットと証明書のどちらを使用するかを選択し、以下の該当する手順に従ってください。

クライアントシークレット

次の接続プロパティを設定します。

AuthScheme：クライアントシークレットを使用する場合はAzureServicePrincipal。
InitiateOAuth： GETANDREFRESH。InitiateOAuth を使えば、繰り返しOAuth の交換を行ったり、手動でOAuthAccessToken を設定する必要はなくなります。
AzureTenant：接続するテナント。
OAuthClientId：アプリケーション設定のクライアントId。
OAuthClientSecret：アプリケーション設定のクライアントシークレット。

証明書

次の接続プロパティを設定します。

AuthScheme：証明書を使用する場合はAzureServicePrincipalCert。
InitiateOAuth： GETANDREFRESH。InitiateOAuth を使えば、繰り返しOAuth 交換を行ったり、手動でOAuthAccessToken を設定する必要はなくなります。
AzureTenant：接続するテナント。
OAuthJWTCert：JWT 証明書のストア。
OAuthJWTCertType：OAuthJWTCert で指定された証明書ストアの種類。

これで接続する準備が整いました。クライアント資格情報での認証は、他の接続同様に自動的に行われますが、ユーザーにプロンプトするウィンドウは表示されません。ユーザーコンテキストがないため、ブラウザのポップアップは必要ないからです。接続が行われ、内部的に処理されます。

MSI

Azure VM 上でSAS Xpt を実行している場合は、Managed Service Identity（MSI）の資格情報を利用して接続が可能です。

AuthScheme：AzureMSI に設定。

MSI 資格情報が認証用に自動的に取得されます。

Azure サービスプリンシパル

Azure サービスプリンシパルを使用して認証する場合、Azure AD テナントにアプリケーションを登録する必要があります。

アプリケーションへのロールの割り当て

サブスクリプションのリソースにアクセスするには、アプリケーションにロールを割り当てる必要があります。

検索バーでサブスクリプションサービスを検索・選択して、［サブスクリプション］ページを開きます。
アプリケーションを割り当てる特定のサブスクリプションを選択します。
［アクセス制御 (IAM)］を開き、［追加］->［ロール割り当ての追加］を選択して［ロール割り当ての追加］ページを開きます。
作成したAzure AD アプリに割り当てるロールとして、［所有者］を選択します。

Azure サービスプリンシパルを使用した認証

設定されたアプリ認証（クライアントシークレットまたは証明書）に応じて、以下のいずれかの接続プロパティグループを設定すると、接続できるようになります。

クライアントシークレットまたは証明書認証を選択する前に、以下を設定します。

AuthScheme：アプリ設定のAzureServicePrincipal に設定。
InitiateOAuth：GETANDREFRESH に設定。InitiateOAuth を使えば、繰り返しOAuth の交換を行ったり、手動でOAuthAccessToken を設定する必要はなくなります。
AzureTenant：接続するテナントに設定。
OAuthClientId：アプリ設定のクライアントId に設定。
OAuthGrantType：CLIENT に設定。

オプション1：クライアントシークレットを使用した認証

クライアントシークレットで認証するには、以下のように設定します。

OAuthClientId：アプリ設定のクライアントId に設定。
OAuthClientSecret：アプリケーション設定のクライアントシークレットに設定。

オプション2：JWT 証明書を使用した認証

JWT 証明書で認証するには、以下のように設定します。

OAuthJWTCert：JWT 証明書ストアに設定。
OAuthJWTCertType：OAuthJWTCert で指定された証明書ストアの種類に設定。