サービスプリンシパルによるAzure AD アプリケーションの作成
サービスプリンシパルによるAzure AD アプリケーションの作成
Microsoft OneDrive は、ロールベースのサービスプリンシパルベースの認証をサポートします。 Microsoft OneDrive への認証にサービスプリンシパルを使用する場合は、ここで説明するように、カスタムAzure AD アプリケーションを作成する必要があります。Azure サービスプリンシパル認証を使用するには、認証アプリケーションにロールを割り当てる機能を設定したのち、Azure AD テナントにアプリケーションを登録し、新しいサービスプリンシパルを作成する必要があります。 この新しいサービスプリンシパルは、割り当てられたロールベースのアクセス制御を利用して、サブスクリプション内のリソースにアクセスできます。
Azure サービスプリンシパルを使用した認証
- 左側のナビゲーションペインでAzure Active Directory ->アプリの登録を選択します。
- 新規登録をクリックします。
- アプリケーションの名前を入力します。
- 希望するテナント設定を選択します。このカスタムアプリケーションはAzure サービスプリンシパル用なので、Any Microsoft Entra ID tenant - Multi Tenant を選択します。
- 新しいアプリケーションを登録するには、登録をクリックします。アプリケーション管理画面が表示されます。
OAuthClientId としてApplication (client) ID の値、AzureTenant としてDirectory (tenant) ID の値をメモします。 - 証明書とシークレットセクションに移動して、アプリケーションの認証タイプを定義します。認証には、証明書(推奨)とクライアントシークレットの2種類があります。
- 新しいクライアントシークレットの作成: 証明書とシークレットで新しいクライアントシークレットを選択し、有効期限を指定します。クライアントシークレットが保存されると、Microsoft OneDrive はキーの値を表示します。この値は一度しか表示されないので、後で使用するために記録しておきます。(この値がOAuthClientSecret となります。)
- 認証タブに移動し、アクセストークンオプションを選択します。
- Select the Microsoft Graph API and then add the delegated permissions Files.ReadWrite.All or Files.Read.All. Hit the 'Grant admin consent' button afterwards for the new permissions to take effect.
- 変更を保存します。
- 管理者の同意が必要なアクセス許可を使用することを指定した場合は、API のアクセス許可ページで現在のテナントから付与することができます。
管理者の同意の付与
カスタムアプリケーションの中には、Azure Active Directory テナント内で操作するために管理者権限が必要なものがあります。管理者の同意は、新しいカスタムAzure AD アプリケーションを作成する際に、すでに"Admin Consent Required" とマークされている関連パーミッションを追加することで付与できます。管理者の同意は、認証フローでクライアント資格情報を使用する場合にも必要です。管理者の同意を付与するには:
- 管理者にhttps://portal.azure.com にログインしてもらいます。
- アプリの登録に移動し、作成したカスタムAzure AD アプリケーションを見つけます。
- API のアクセス許可で、同意の付与をクリックします。