オンプレミスでホストされているPythonアプリからAzureリソースに認証する

オンプレミスやサードパーティのデータセンターなど、Azureの外部でホストされているアプリでは、Microsoft Entra ID を介してアプリケーションサービスプリンシパルを使用してAzure サービスに対する認証を行う必要があります。以下のセクションでは、次のことを説明します。

サービスプリンシパルを作成するためにアプリケーションをMicrosoft Entraに登録する方法
スコープのアクセス許可にロールを割り当てる方法
アプリコードからサービスプリンシパルを使用して認証する方法

専用のアプリケーションサービスプリンシパルを使用すると、Azure リソースにアクセスするときに最小特権の原則に従うことができます。アクセス許可は開発中のアプリの特定の要件に限定されるため、他のアプリやサービスを対象としたAzure リソースに誤ってアクセスするのを防ぐことができます。この方法は、開発環境でアプリが過剰に特権を持たないようにすることで、アプリが運用環境に移行されたときの問題を回避するのにも役立ちます。

アプリがホストされている環境ごとに異なるアプリ登録を作成する必要があります。これにより、各サービスプリンシパルに対して環境固有のリソースアクセス許可を構成し、ある環境にデプロイされたアプリが、別の環境の一部であるAzureリソースと通信しないようにすることができます。

Azureにアプリを登録する

アプリケーションサービスプリンシパルオブジェクトは、Azure ポータルまたはAzure CLIを使用して、Azureのアプリ登録によって作成されます。

Azure portal
Azure CLI

Azure ポータルで、検索バーを使用して App registrations ページに移動します。
App registrations ページで、+ 新規登録を選択します。
「アプリケーションの登録ページ」で、次の手順を実行します。
- [名] フィールドに、アプリ名とターゲット環境を含むわかりやすい値を入力します。
- [サポートされているアカウントの種類] で、この組織のディレクトリ内のアカウントのみ (Microsoft Customer Led only - Single tenant (Microsoft カスタマー主導の場合のみ - シングルテナント)) を選択するか、要件に最も適したオプションを選択します。
[登録] を選択してアプリを登録し、サービスプリンシパルを作成します。
アプリの [アプリ登録] ページで、アプリケーション (クライアント) ID と Directory (テナント) ID コピーし、後でアプリコード構成で使用できるように一時的な場所に貼り付けます。
[証明書またはシークレットの追加] を選択して、アプリの資格情報を設定します。
[証明書 & シークレット] ページで、[+ 新しいクライアントシークレット] を選択します。
開いた [クライアントシークレットの追加] ポップアップパネルで次の操作を実行します。
- [説明] に、Current の値を入力します。
- の [有効期限] の値は、既定値の 180 日間のままにします。
- [追加] を選択してシークレットを追加します。
証明書 & シークレット ページで、クライアントシークレットの Value プロパティをコピーして、今後の手順で使用してください。

注

クライアントシークレットの値は、アプリの登録が作成された後に 1 回だけ表示されます。このクライアントシークレットを無効にすることなく、クライアントシークレットをさらに追加できますが、この値を再度表示する方法はありません。

Azure CLIコマンドは、Azure Cloud Shell または Azure CLI がインストールされているワークステーションで実行できます。

az ad sp create-for-rbac コマンドを使用して、新しいアプリ登録とアプリに対応するサービスプリンシパルを作成します。

az ad sp create-for-rbac --name <service-principal-name>

このコマンドの出力は、次の JSON のようになります。

{
  "appId": "00000000-0000-0000-0000-000000000000",
  "displayName": "<service-principal-name>",
  "password": "abcdefghijklmnopqrstuvwxyz",
  "tenant": "11111111-1111-1111-1111-111111111111"
}

後の手順でこれらの値が必要になるので、この出力をテキストエディターの一時ファイルにコピーします。

注

クライアントシークレットの値は、アプリの登録が作成された後に 1 回だけ表示されます。このクライアントシークレットを無効にすることなく、クライアントシークレットをさらに追加できますが、この値を再度表示する方法はありません。

アプリケーションサービスプリンシパルにロールを割り当てる

次に、どのリソースに対してアプリに必要なロール (アクセス許可) を決定し、作成したサービスプリンシパルにそれらのロールを割り当てます。ロールは、リソース、リソースグループ、またはサブスクリプションスコープで割り当てることができます。この例では、ほとんどのアプリですべてのAzureリソースが 1 つのリソースグループにグループ化されるため、リソースグループスコープでロールを割り当てる方法を示します。

Azure portal
Azure CLI

Azure ポータルで、アプリを含むリソースグループの Overview ページに移動します。
左側のナビゲーションから アクセス制御 (IAM) を選択します。
[ アクセス制御 (IAM)] ページで、[ + 追加 ] を選択し、ドロップダウンメニューから [ ロールの割り当ての追加 ] を選択します。 [ ロールの割り当ての追加] ページには、ロールを構成して割り当てるためのタブがいくつか用意されています。
[ ロール ] タブで、検索ボックスを使用して、割り当てるロールを見つけます。ロールを選択し、[ 次へ] を選択します。
[メンバー] タブで、次の手順を実行します。
- [ 値へのアクセスの割り当て] で、[ ユーザー、グループ、またはサービスプリンシパル ] を選択します。
- [メンバー] の値で、[+ メンバーの選択] を選択して、[メンバーの選択] ポップアップパネルを開きます。
- 先ほど作成したサービスプリンシパルを検索し、フィルター処理された結果から選択します。 [ 選択 ] を選択してグループを選択し、ポップアップパネルを閉じます。
- [メンバー] タブの下部にある [確認と割り当て] を選択します。
[ 校閲と割り当て ] タブで、ページの下部にある [校閲と割り当て ] を選択します。

az role definition list コマンドを使用して、サービスプリンシパルを割り当てることができるロールの名前を取得します。
```
az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table
```
az role assignment create コマンドを使用して、アプリケーションサービスプリンシパルにロールを割り当てます。
```
az role assignment create \
    --assignee "<app-Id>" \
    --role "<role-name>" \
    --resource-group "<resource-group-name>"
```
Azure CLIを使用してリソースまたはサブスクリプションレベルでアクセス許可を割り当てる方法については、「Azure CLIを参照してください。

アプリ環境変数を設定する

実行時に、、DefaultAzureCredential、EnvironmentCredential など、ClientSecretCredentialの特定の資格情報で、環境変数の規則によってサービスプリンシパル情報を検索します。ツールと環境に応じて、Pythonを使用するときに環境変数を構成する方法は複数あります。

選択した方法に関係なく、サービスプリンシパルに対して次の環境変数を構成します。

AZURE_CLIENT_ID: Azureで登録されているアプリを識別するために使用されます。
AZURE_TENANT_ID: Microsoft Entra テナントの ID。
AZURE_CLIENT_SECRET: アプリ用に生成されたシークレット資格情報。

Visual Studio Codeでは、プロジェクトの launch.json フォルダーにある .vscode ファイルで環境変数を設定できます。これらの値は、アプリの起動時に自動的にプルされます。ただし、これらの構成はデプロイ中にアプリと共に移動しないため、ターゲットホスティング環境に環境変数を設定する必要があります。

{
    "configurations": [
        {
            "env": {
                "AZURE_CLIENT_ID": "<your-client-id>",
                "AZURE_TENANT_ID": "<your-tenant-id>",
                "AZURE_CLIENT_SECRET": "<your-client-secret>"
            }
        }
    ]
}

Windowsコマンドラインから、次のコマンドを使用してユーザーレベルの環境変数を設定できます。

setx AZURE_CLIENT_ID "<your-client-id>"
setx AZURE_TENANT_ID "<your-tenant-id>"
setx AZURE_CLIENT_SECRET "<your-client-secret>"

管理者としてコマンドプロンプトを実行し、 /m フラグを追加すると、システムレベルの環境変数を設定することもできます。

setx AZURE_CLIENT_ID "<your-client-id>" /m
setx AZURE_TENANT_ID "<your-tenant-id>" /m
setx AZURE_CLIENT_SECRET "<your-client-secret>" /m

PowerShell を使用して、ユーザーレベルまたはシステムレベルで環境変数を設定することもできます。

PowerShell を使用してユーザーレベルで環境変数を設定するには、次のコマンドを使用します。

[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "User")

システムレベルの環境変数は、[管理者として実行] オプションを使用して開くと、PowerShell を使用して設定することもできます。

[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "Machine")

Gunicorn を使用して UNIX サーバー環境でPython Web アプリを実行する場合は、次に示すように、EnvironmentFile ファイルの gunicorn.service ディレクティブを使用してアプリの環境変数を指定できます。

[Unit]
Description=gunicorn daemon
After=network.target

[Service]
User=www-user
Group=www-data
WorkingDirectory=/path/to/python-app
EnvironmentFile=/path/to/python-app/py-env/app-environment-variables
ExecStart=/path/to/python-app/py-env/bin/gunicorn --config config.py wsgi:app

[Install]
WantedBy=multi-user.target

EnvironmentFile ディレクティブで指定されたファイルには、次に示すように、環境変数とその値の一覧が含まれている必要があります。

AZURE_CLIENT_ID=<your-client-id>
AZURE_TENANT_ID=<your-tenant-id>
AZURE_CLIENT_SECRET=<your-client-secret>

アプリからAzure サービスに対する認証

azure-identity ライブラリには、さまざまなシナリオとMicrosoft Entra認証フローのサポートに適合したさまざまなcredentialsTokenCredentialの実装が用意されています。この手順では、ローカルおよび運用環境でサービスプリンシパルを操作するときに ClientSecretCredential を使用する方法を示します。

コードを実装する

まず、アプリケーションにパッケージを追加します。

pip install azure-identity

次に、アプリでAzure SDKクライアントオブジェクトを作成するPython コードについては、次の手順を実行する必要があります。

ClientSecretCredential モジュールから azure.identity クラスをインポートします。
os モジュールをインポートして環境変数を読み取ります。
環境変数を読み取って、クライアント ID、テナント ID、およびクライアントシークレットを取得します。
テナント ID、クライアント ID、クライアントシークレットを渡す ClientSecretCredential オブジェクトを作成します。
ClientSecretCredential オブジェクトを Azure SDK クライアントオブジェクトコンストラクターに渡します。

この方法の例を次のコードセグメントに示します。

import os
from azure.identity import ClientSecretCredential
from azure.storage.blob import BlobServiceClient

tenant_id = os.environ.get("AZURE_TENANT_ID")
client_id = os.environ.get("AZURE_CLIENT_ID")
client_secret = os.environ.get("AZURE_CLIENT_SECRET")

credential = ClientSecretCredential(tenant_id, client_id, client_secret)

blob_service_client = BlobServiceClient(
    account_url="https://<my_account_name>.blob.core.windows.net",
    credential=credential)

フィードバック

このページはお役に立ちましたか?

Last updated on 2026-03-06