Azure サービスプリンシパル

Azure サービスプリンシパルは、ロールに基づいたアプリケーションベースの認証です。これは、認証がユーザーごとではなく、アプリケーションごとに行われることを意味します。 アプリで実行されるすべてのタスクは、デフォルトユーザーコンテキストなしで実行されます。 リソースへのアプリケーションのアクセスは、割り当てられたロールの権限によって制御されます。

Azure サービスプリンシパル認証を使用するには、以下を行います。

• 認証アプリケーションにロールを割り当てる機能を設定します。これには、カスタムOAuth アプリケーションの作成 で説明するように、カスタムOAuth AD アプリケーションを作成します。
• Azure AD テナントにアプリケーションを登録し、ロールベースのアクセス制御で使用できる新しいサービスプリンシパルを作成して、サブスクリプション内のリソースにアクセスします。

以下の手順に従います。

1. カスタムOAuth アプリケーションの作成 での説明のとおりに、カスタムAzure AD アプリケーションを作成します。
2. アプリケーションへのロールの割り当て：
   1. 検索バーを使用してサブスクリプションサービスを検索します。
   2. サブスクリプションページを開きます。
   3. アプリケーションを割り当てるサブスクリプションを選択します。
   4. アクセス制御（IAM）を開きます。
   5. 追加 -> ロールの割り当ての追加を選択します。Microsoft OneDrive はロールの割り当ての追加ページを開きます。
   6. 作成したカスタムAzure AD アプリケーションに所有者ロールを割り当てます。

管理者の同意

管理者の同意は、Azure Active Directory テナントの管理者が、管理者の同意を明示的に必要とするカスタムアプリケーションに権限を付与する場合に行います。

Azure ポータルで新しいAzure AD アプリケーションを作成する場合には、アプリケーションに必要なアクセス許可を指定する必要があります。一部のアクセス許可には、「管理者の同意が必要」と記載されている場合があります。 例えば、すべてのグループのアクセス許可には管理者の同意が必要です。アプリケーションが管理者の同意を必要とする場合、方法は2つあります。

管理者の同意を付与する最も簡単な方法は、管理者がportal.azure.com にログインして、アプリの登録で作成したアプリケーションに移動することです。API のアクセス許可で、 同意の付与をクリックします。これにより、アプリケーションが作成されたテナントにアクセス権限が付与されます。

組織に複数のテナントがある場合、または組織外の他のテナントにアプリのアクセス許可を与える必要がある場合、GetAdminConsentURL ストアドプロシージャを使用してAdmin Authorization URL を生成します。GetOAuthAuthorizationURL ストアドプロシージャとは異なり、このエンドポイントから返される重要な情報はありません。代わりに、OAuth アプリケーションが正常に認可されると、アクセス権限が付与されたことを示すBoolean 値が返されます。

管理者がOAuth アプリケーションを承認後、認証を続行できます。