Azure Maps での認証の管理

Azure Maps アカウントを作成すると、クライアント ID と共有キーが自動的に作成されます。 これらの値は、Microsoft Entra ID または共有キー認証のいずれかを使用する際の認証に必要です。

前提条件

Azure portal にサインインします。 Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

• Azure リソースのマネージド ID についての理解。 2 つのマネージド ID の種類と、その違いについて理解しておく。
• Azure Maps アカウント。
• Azure Maps による認証についての理解。

認証の詳細を表示する

Azure Maps の認証の詳細を表示するには:

1. Azure portal にサインインします。

2. [Azure サービス] セクションで [すべてのリソース] を選択し、Azure Maps アカウントを選択します。

   

3. 左側のウィンドウの [設定] セクションで、[認証] を選択します。

   

認証カテゴリを選択する

お使いのアプリケーションのニーズに応じて、アプリケーション セキュリティの実現に向けた特定の道筋があります。 Microsoft Entra ID では、幅広い認証フローをサポートするために、特定の認証カテゴリが定義されています。 アプリケーションに最適なカテゴリを選択するには、「アプリケーションのカテゴリ」を参照してください。

マネージド ID を追加および削除する方法

Azure Maps REST API で Shared Access Signature (SAS) トークン認証を有効にするには、ユーザー割り当てマネージド ID を Azure Maps アカウントに追加する必要があります。

マネージド ID の作成

ユーザー割り当てマネージド ID は、マップ アカウントの作成前または作成後に作成することができます。 マネージド ID は、ポータル、Azure 管理 SDK、または Azure Resource Manager (ARM) テンプレートを使用して追加することができます。 ARM テンプレートを使用してユーザー割り当てマネージド ID を追加するには、そのユーザー割り当てマネージド ID のリソース識別子を指定します。

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/example/providers/Microsoft.ManagedIdentity/userAssignedIdentities/exampleidentity": {}
    }
}

マネージド ID の削除

ポータルまたは Azure Resource Manager テンプレートを使用して、作成したのと同じ方法で機能を無効にすることで、システム割り当て ID を削除できます。 ユーザー割り当て ID は個別に削除することはできません。 すべての ID を削除するには、ID の種類を "None" に設定します。

この方法でシステム割り当て ID を削除すると、ID は Microsoft Entra ID からも削除されます。 Azure Maps アカウントが削除されると、システム割り当て ID は、Microsoft Entra ID からも自動的に削除されます。

Azure Resource Manager テンプレートを使用してすべての ID を削除するには、次のセクションを更新します。

"identity": {
    "type": "None"
}

認証と認可のシナリオを選択する

この表は、Azure Maps での一般的な認証と認可のシナリオの概要を示しています。 各シナリオでは、Azure Maps REST API にアクセスするために使用できるアプリの種類について説明します。 各シナリオの詳細な構成情報については、それぞれのリンクを使用してください。

組み込みの Azure Maps ロールの定義を表示する

組み込みの Azure Maps ロールの定義を表示するには:

1. 左側のウィンドウで [アクセス制御 (IAM)] を選択します。

2. [ロール] タブを選択します。

3. 検索ボックスに「Azure Maps」と入力します。

結果には、Azure Maps に使用できる組み込みロールの定義が表示されます。

ロールの割り当てを表示する

Azure Maps に対するアクセス権が付与されているユーザーやアプリを表示するには、 [アクセス制御 (IAM)] に移動します。 そこで、 [ロールの割り当て] を選択してから、「Azure Maps」でフィルター処理します。

1. 左側のウィンドウで [アクセス制御 (IAM)] を選択します。

2. [ロールの割り当て] タブを選択します。

3. 検索ボックスに「Azure Maps」と入力します。

結果には、現在の Azure Maps ロールの割り当てが表示されます。

Azure Maps のトークンを要求する

Microsoft Entra トークン エンドポイントからトークンを要求します。 Microsoft Entra ID から要求された場合、以下の詳細を使用します。

Microsoft Entra ID からのユーザーやサービス プリンシパルのアクセス トークンの要求の詳細については、「Microsoft Entra ID の認証シナリオ」を参照してください。 特定のシナリオを表示するには、シナリオの表をご覧ください。

共有キーの管理とローテーション

Azure Maps サブスクリプション キーは、Azure Maps アカウントのルート パスワードに似ています。 サブスクリプション キーは常に慎重に保護してください。 ご自身のキーを安全に管理およびローテーションするには、Azure Key Vault を使用します。 アクセス キーを他のユーザーに配布したり、ハードコーディングしたり、他のユーザーがアクセスできるプレーンテキストで保存したりしないでください。 ご自身のキーが侵害された可能性があると思われる場合は、そのキーをローテーションしてください。

サブスクリプション キーを手動でローテーションする

Azure Maps アカウントのセキュリティを確保するために、お使いのサブスクリプション キーは定期的にローテーションすることをお勧めします。 可能であれば、Azure Key Vault を使用してアクセスキーを管理してください。 Key Vault を使用していない場合は、お使いのキーを手動でローテーションする必要があります。

キーをローテーションさせることができるように、2 つのサブスクリプション キーが割り当てられます。 2 つのキーにより、アプリケーションがプロセス全体を通じて Azure Maps へのアクセスを確実に維持できるようにします。

Azure portal で Azure Maps サブスクリプション キーをローテーションするには、次の手順に従います。

1. アプリケーション コードを、Azure Maps アカウントの 2 次キーを参照するように更新してデプロイします。
2. Azure portal で、ご自身の Azure Maps アカウントに移動します。
3. [設定] で [認証] を選択します。
4. Azure Maps アカウントの主キーを再生成するには、主キーの隣にある [再生成] ボタンを選択します。
5. 新しい主キーを参照するようにアプリケーション コードを更新してデプロイします。
6. 同様に、 2 次キーを再生成します。

次のステップ

Azure Maps アカウントにおける API 使用状況メトリックを確認します。

Microsoft Entra ID を Azure Maps と統合する方法を示すサンプルを確認します: