他のAzure リソースに対してAzureホスト型アプリを認証するには、管理 ID を使用することをお勧めします。 このアプローチはAzure App Service、Azure Container Apps、Azure 仮想マシンでホストされているアプリなど、ほとんどのAzure サービスでサポートされています。 さまざまな認証手法と方法の詳細については、認証の概要 ページを参照してください。 前のセクションでは、次の内容について説明します。
- マネージド ID の基本的な概念
- アプリのシステム割り当てマネージド ID を作成する方法
- システム割り当てマネージド ID にロールを割り当てる方法
- アプリ コードからシステム割り当てマネージド ID を使用して認証する方法
マネージド ID の基本的な概念
マネージド ID を使用すると、シークレット キーやその他のアプリケーション シークレットを使用せずに、アプリから他のAzure リソースに安全に接続できます。 内部的には、Azureは ID と接続先のリソースを追跡します。 Azureは、この情報を使用して、アプリが他のAzure リソースに接続できるように、アプリのMicrosoft Entra トークンを自動的に取得します。
ホストされているアプリを構成する際に考慮すべきマネージド ID には、次の 2 種類があります。
- System-assigned マネージド ID は、Azure リソースで直接有効になり、そのライフ サイクルに関連付けられます。 リソースが削除されると、Azureは自動的に ID を削除します。 システム割り当て ID は、マネージド ID を使用するための最小限のアプローチを提供します。
- ユーザー割り当てマネージド ID はスタンドアロン Azure リソースとして作成され、柔軟性と機能が向上します。 同じ ID とアクセス許可を共有する必要がある複数のAzure リソースを含むソリューションに最適です。 たとえば、複数の仮想マシンが同じ一連のAzure リソースにアクセスする必要がある場合、ユーザー割り当てマネージド ID は再利用性と最適化された管理を提供します。
ヒント
システム割り当てマネージド ID とユーザー割り当てマネージド ID の選択と管理の詳細については、 マネージド ID のベスト プラクティスに関する推奨事項 の記事を参照してください。
次のセクションでは、Azureホスト型アプリに対してシステム割り当てマネージド ID を有効にして使用する手順について説明します。 ユーザー割り当てマネージド ID を使用する必要がある場合は、ユーザー割り当てマネージド ID に関する記事を参照してください。
Azure ホスティング リソースでシステム割り当てマネージド ID を有効にする
アプリでシステム割り当てマネージド ID の使用を開始するには、アプリをホストしているAzure リソース (Azure App Service、Azure Container Apps、Azure 仮想マシン インスタンスなど) で ID を有効にします。
Azure ポータルまたはAzure CLIを使用して、Azure リソースのシステム割り当てマネージド ID を有効にすることができます。
Azure ポータルで、Azure App ServiceやAzure Container Apps インスタンスなど、アプリケーション コードをホストするリソースに移動します。
リソースの [概要] ページで、[設定] を展開し、ナビゲーションから [アイデンティティ] を選択します。
[ID] ページで、[状態] スライダーを [上で] に切り替えます。
[保存] を選択して変更を保存します。
コンテナー アプリでシステム割り当てマネージド ID を有効にする方法を示すスクリーンショット。
マネージド ID にロールを割り当てる
次に、アプリで必要なロールを決定し、それらのロールをマネージド ID に割り当てます。 次のスコープで、マネージド ID にロールを割り当てることができます。
- リソース: 割り当てられたロールは、その特定のリソースにのみ適用されます。
- リソース グループ: 割り当てられたロールは、リソース グループに含まれるすべてのリソースに適用されます。
- サブスクリプション: 割り当てられたロールは、サブスクリプションに含まれるすべてのリソースに適用されます。
次の例は、多くのアプリが 1 つのリソース グループを使用して関連するすべてのAzure リソースを管理するため、リソース グループ スコープでロールを割り当てる方法を示しています。
システム割り当てマネージド ID を持つアプリを含むリソース グループの 概要 ページに移動します。
左側のナビゲーションでアクセス制御 (IAM) を選択します。
[アクセス制御 (IAM)] ページで、上部メニューの [+ の追加] を選択し、[ロールの割り当ての追加] 選択して、[ロールの割り当ての追加] ページに移動します。
ID ロールの割り当てページにアクセスする方法を示すスクリーンショット。
ロールの割り当ての追加 ページには、ID にロールを割り当てるタブ付きのマルチステップ ワークフローが表示されます。 最初の [ロール] タブで、上部にある検索ボックスを使用して、ID に割り当てるロールを見つけます。
検索結果からロールを選択し、[次へ] を選んで、メンバー タブに移動します。
[ へのアクセスの割り当て] オプションで、マネージド ID を選択します。
メンバー オプションで、+ メンバー選択 を選んで、マネージド ID の選択 パネルを開きます。
Select managed identities パネルで、サブスクリプション と マネージド ID ドロップダウンを利用して、ID の検索結果をフィルタリングします。 Select 検索ボックスを使用して、アプリをホストしているAzure リソースに対して有効にしたシステム ID を見つけます。
マネージド ID の割り当てプロセスを示すスクリーンショット。
ID を選択し、を選択した後、パネルの下部にある を選択して続行します。
ページの下部にある [確認] と [割り当て] を選択します。
最終の レビュー+割り当て タブで、レビュー+割り当て を選択して、ワークフローを完了します。
アプリからAzure サービスに対する認証
Azure Identity ライブラリには、さまざまなシナリオとMicrosoft Entra 認証フローのサポートに適合したcredentialsの実装TokenCredentialが用意されています。 マネージド ID はローカルで実行するときに使用できないため、次の手順では、どのシナリオで使用する資格情報を示します。
- ローカル開発環境: ローカル開発時にのみ、 DefaultAzureCredential という名前のクラスを、構成済みの資格情報チェーンに使用します。
DefaultAzureCredentialは、Azure CLIやVisual Studioなどのローカル ツールまたは IDE からユーザー資格情報を検出します。 また、再試行の柔軟性と利便性、応答の待機時間、複数の認証オプションのサポートも提供します。 詳細については、ローカル開発中に Azure サービスに認証する方法の記事を参照してください。 - Azure ホスト型アプリ: アプリがAzureで実行されている場合は、ManagedIdentityCredential を使用して、アプリ用に構成されたマネージド ID を安全に検出します。 この正確な種類の資格情報を指定すると、他の使用可能な資格情報が予期せず取得されなくなります。
コードを実装する
azure-identity-cpp パッケージを、vcpkg を使用してアプリケーションに追加します。
選択したターミナルで、アプリケーション プロジェクト ディレクトリに移動し、次のコマンドを実行します。
vcpkg add port azure-identity-cppCMake ファイルに次のコードを追加します。
find_package(azure-identity-cpp CONFIG REQUIRED) target_link_libraries(<your project name> PRIVATE Azure::azure-identity)Azure サービスには、さまざまなAzure SDK クライアント ライブラリの特殊なクライアントを使用してアクセスします。 アプリで Azure SDK クライアントをインスタンス化する C++ コードの場合は、次のことが必要です。
- ヘッダーを含めます。
- のインスタンスを作成します。
-
DefaultAzureCredentialのインスタンスをAzure SDKクライアント コンストラクターに渡します。 - 環境変数をに設定して、がマネージド ID 資格情報を使用するようにします。 この方法により、Azureにデプロイする際の認証の予測が容易になり、デバッグが容易になります。 詳細については、「特定の 資格情報を使用する」を参照してください。
これらの手順の例は、Azure Storage BLOB クライアントを含む次のコード セグメントに示されています。
#include <azure/identity.hpp> #include <azure/storage/blobs.hpp> #include <iostream> #include <memory> int main() { try { // Create a credential auto credential = std::make_shared<Azure::Identity::DefaultAzureCredential>(true); // Create a client for the specified storage account std::string accountUrl = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/"; Azure::Storage::Blobs::BlobServiceClient blobServiceClient(accountUrl, credential); // Get a reference to a container std::string containerName = "sample-container"; auto containerClient = blobServiceClient.GetBlobContainerClient(containerName); // Get a reference to a blob std::string blobName = "sample-blob"; auto blobClient = containerClient.GetBlobClient(blobName); // TODO: perform some action with the blob client // auto downloadResult = blobClient.DownloadTo("path/to/local/file"); std::cout << "Successfully authenticated and created Azure clients." << std::endl; } catch (const std::exception& ex) { std::cout << "Exception: " << ex.what() << std::endl; return 1; } return 0; }
Azure SDK for C++ 認証の概要に関する記事で説明したように、DefaultAzureCredential では複数の認証方法がサポートされ、実行時に使用される認証方法が決定されます。 この方法の利点は、環境固有のコードを実装しなくても、アプリが異なる環境で異なる認証方法を使用できることです。 ローカル開発時にワークステーションで上記のコードを実行すると、DefaultAzureCredential は、環境設定によって決定されるアプリケーション サービス プリンシパルまたは開発者ツールの資格情報を使用して、他のAzure リソースとの認証を行います。 これにより、ローカル開発時と Azure にデプロイされた際に、同じコードを使用して Azure リソースに対するアプリの認証を行うことができます。
Important
DefaultAzureCredential は、Azureホスティング環境で使用される資格情報とローカル開発で使用される資格情報を組み合わせることにより、Azureにデプロイするアプリケーションを開発するときに認証を簡略化します。 運用環境では、特定の資格情報の種類を使用して、認証をより予測可能でデバッグしやすくすることをお勧めします。
DefaultAzureCredential の代わりに、ManagedIdentityCredential を使用します。 を使用する手順は、型の使用と同じです。
これらの手順の例は、Azure Storage BLOB クライアントを含む次のコード セグメントに示されています。
#include <azure/identity.hpp>
#include <azure/storage/blobs.hpp>
#include <iostream>
#include <memory>
int main() {
try {
// Create a system-assigned managed identity credential
auto credential = std::make_shared<Azure::Identity::ManagedIdentityCredential>();
// Create a client for the specified storage account
std::string accountUrl = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/";
Azure::Storage::Blobs::BlobServiceClient blobServiceClient(accountUrl, credential);
// Get a reference to a container
std::string containerName = "sample-container";
auto containerClient = blobServiceClient.GetBlobContainerClient(containerName);
// Get a reference to a blob
std::string blobName = "sample-blob";
auto blobClient = containerClient.GetBlobClient(blobName);
// TODO: perform some action with the blob client
// auto downloadResult = blobClient.DownloadTo("path/to/local/file");
std::cout << "Successfully authenticated using system-assigned managed identity." << std::endl;
} catch (const std::exception& ex) {
std::cout << "Exception: " << ex.what() << std::endl;
return 1;
}
return 0;
}