Azure Digital Twins で使用するアプリ登録を作成する

Azure portal 上で Microsoft Entra ID に移動します (このリンクを使用するか、ポータルの検索バーを使って検索できます)。 サービス メニューから [アプリの登録]、[+ 新しい登録] の順に選択します。

以下の [アプリケーションの登録] ページで、要求される次の値を入力します。

• 名前: 登録と関連付けるための Microsoft Entra アプリケーションの表示名。
• サポートされているアカウントの種類: [この組織ディレクトリのアカウントのみ (既定のディレクトリのみ - シングル テナント)] を選択します。

完了したら、[登録] ボタンを選択します。

登録の設定が完了したら、ポータルによって詳細ページにリダイレクトされます。

最初に、アプリの登録で Azure Digital Twins API にアクセスするために必要なサービス情報を含むマニフェスト ファイルを作成します。 その後、このファイルを CLI コマンドに渡して登録を作成します。

マニフェストを作成する

コンピューターに manifest.json という名前の新しい .json ファイルを作成します。 次のテキストをファイルにコピーします。

[
	{
		"resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0",
		"resourceAccess": [
			{
				"id": "4589bd03-58cb-4e6c-b17f-b580e39652f8",
				"type": "Scope"
			}
		]
	}
]

静的な値 0b07f429-9f4b-4714-9392-cc5e8e80c8b0 は、Azure Digital Twins サービス エンドポイントのリソース ID です。この ID は、アプリの登録で Azure Digital Twins API にアクセスするために必要となります。

完成したファイルを保存します。

Cloud Shell ユーザー: マニフェストのアップロード

このチュートリアルで Azure Cloud Shell を使用している場合は、作成したマニフェスト ファイルを Cloud Shell にアップロードして、アプリの登録を構成するときに Cloud Shell コマンドでアクセスできるようにする必要があります。 Azure CLI のローカル インストールを使用している場合は、次の手順「作成コマンドを実行する」に進むことができます。

ファイルをアップロードするには、ブラウザーで Cloud Shell ウィンドウに移動します。 [ファイルのアップロード/ダウンロード] アイコンを選択し、[アップロード] を選択します。

コンピューター上の manifest.json ファイルに移動し、[開く] を選びます。 こうすることで、Cloud Shell ストレージのルートにファイルがアップロードされます。

作成コマンドを実行する

このセクションでは、CLI コマンドを実行して、次の設定でアプリの登録を作成します。

• 任意の名前
• 既定のディレクトリ内のアカウントでのみ使用できる (シングル テナント)
• http://localhost の Web 応答 URL
• Azure Digital Twins API に対する読み取り/書き込みアクセス許可

次のコマンドを実行して登録を作成します。 Cloud Shell を使用している場合、manifest.json ファイルのパスは @manifest.json になります。

az ad app create --display-name <app-registration-name> --sign-in-audience AzureADMyOrg --required-resource-accesses "manifest.json"

コマンドの出力は、作成したアプリの登録に関する情報です。

成功を確認する

Azure Digital Twins のアクセス許可が付与されたことを確認するには、作成コマンドの、requiredResourceAccess の下にある出力で次のフィールドを探します。 それらの値が次に示されている値と一致することを確認します。

• resourceAccess > id は 4589bd03-58cb-4e6c-b17f-b580e39652f8
• resourceAppId は 0b07f429-9f4b-4714-9392-cc5e8e80c8b0

クライアント ID とテナント ID の値は、Azure portal のアプリ登録の詳細ページから収集できます。

実際のページに表示される、アプリケーション (クライアント) ID と ディレクトリ (テナント) ID をメモしておきます。

アプリ ID は先ほど実行した az ad app create コマンドの出力内で確認できます (あるいは az ad app show を使用して再度情報を表示することもできます)。

結果内で appId を探します。

az account tenant list コマンドを使用して、シェル内でテナント ID を表示できます。

Azure portal のアプリの登録ページから開始します。

1. 登録のメニューから [証明書とシークレット] を選択して、[+ 新しいクライアント シークレット] を選択します。

   

2. [説明] と [有効期限] に必要な値を入力して、[追加] を選択します。

   

3. [証明書とシークレット] ページの [有効期限] および [値] フィールドにクライアント シークレットが表示されていることを確認します。

4. 後で使用するので [シークレット ID] と [値] を記録しておきます ([コピー] アイコンを使用してクリップボードにコピーすることもできます)。

   

アプリの登録のクライアント シークレットを作成するには、前の手順で収集したアプリ登録のクライアント ID 値が必要です。 新しいシークレットを作成するには、次の CLI コマンドでその値を使用します。

az ad app credential reset --id <client-ID> --append

このコマンドに省略可能なパラメーターを追加して、資格情報の説明、終了日、その他の詳細を指定することもできます。 このコマンドとそのパラメーターの詳細については、az ad app credential reset のドキュメントを参照してください。

このコマンドによって、作成されたクライアント シークレットに関する情報が出力されます。

認証にクライアント シークレットが必要な場合に使用するために、password の値をコピーします。

登録のロールの割り当てを作成するには、次の手順に従います。

1. Azure portal 上の Azure Digital Twins インスタンスのページを開きます。

2. [アクセス制御 (IAM)] を選択します。

3. [追加]>[ロールの割り当ての追加] を選択して、[ロールの割り当ての追加] ページを開きます。

4. 適切なロールを割り当てます。 詳細な手順については、「Azure portal を使用して Azure ロールを割り当てる」を参照してください。

   設定	値
   ロール	必要に応じて選択する
   アクセス権を割り当てる > メンバー	ユーザー、グループ、またはサービス プリンシパル
   メンバー > メンバー	[+ メンバーを選択]、次にアプリ登録の名前を検索する

   

   

   ロールが選択されたら、確認して割り当てます。

ロールの割り当てを確認する

[Access Control (IAM)] > [ロールの割り当て] 下で設定したロールの割り当てを確認できます。

アプリの登録は、割り当てたロールと共にリストに表示されます。

ロールを割り当てるには、az dt role-assignment create コマンドを使用します (Azure サブスクリプションで、十分なアクセス許可を持つユーザーによって実行される必要があります)。 このコマンドには、割り当てるロールの名前、Azure Digital Twins インスタンスの名前、アプリの登録の名前またはオブジェクト ID を渡す必要があります。

az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<name-or-ID-of-app-registration>" --role "<appropriate-role-name>"

このコマンドの結果として、アプリの登録用に作成されたロールの割り当てに関する情報が出力されます。

ロールの割り当てをさらに確認するには、Azure portal で検索します (Portal の手順タブに切り替えます)。

アプリ登録のポータル ページで、メニューから [API のアクセス許可] を選択します。 以下のアクセス許可ページで、[+ アクセス許可の追加] ボタンを選択します。

次の [API アクセス許可の要求] ページで、[所属する組織で使用している API] タブに切り替えて、"Azure digital twins" を検索します。 検索結果から Azure Digital Twins を選択して、Azure Digital Twins API に対するアクセス許可の割り当てを続けます。

次に、これらの API に対して付与するアクセス許可を選択します。 [Read (1)]\(読み取り (1)\) アクセス許可を展開して、[Read.Write]\(読み取り.書き込み\) と示されたチェック ボックスをオンにし、このアプリ登録に読み取りおよび書き込みのアクセス許可を付与します。

完了したら、[アクセス許可の追加] を選択します。

API のアクセス許可を確認する

[API のアクセス許可] ページで、Read.Write のアクセス許可が反映された Azure Digital Twins のエントリがあることを確認します。

また、アプリ登録の manifest.json 内で Azure Digital Twins への接続を検証できます。これは、API のアクセス許可を追加したときに、Azure Digital Twins 情報によって自動的に更新されました。

これを行うには、メニューから [マニフェスト] を選択して、アプリ登録のマニフェスト コードを表示します。 コード ウィンドウの一番下までスクロールし、requiredResourceAccess の下の次のフィールドと値を探します。

• "resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0"
• "resourceAccess" > "id": "4589bd03-58cb-4e6c-b17f-b580e39652f8"

これらの値については、下のスクリーンショットをご覧ください。

これらの値がない場合は、API アクセス許可の追加に関するセクションの手順を再試行してください。

CLI を使用している場合は、「登録を作成する」手順の一環として、API のアクセス許可が前に設定されています。

Azure portal を使用して確認できるようになりました (Portal の指示タブに切り替えます)。

サブスクリプションの所有者または管理者による実行が必要になる可能性がある一般的な潜在的なアクティビティのいくつかを次に示します。 これらの操作は、Azure portal の Microsoft Entra アプリの登録ページから実行できます。

• アプリ登録に対する管理者の同意を付与する。 組織では、サブスクリプション内のすべてのアプリ登録について、Microsoft Entra ID で [管理者の同意が必要] がグローバルに有効になっている可能性があります。 その場合は、有効にするアプリの登録について、アプリの登録の [API のアクセス許可] ページで所有者/管理者がユーザーの会社に対してこのボタンを選択する必要があります。

  

  • 同意が正常に付与された場合は、Azure Digital Twins のエントリに [(ユーザーの会社) に付与されました] の [状態] 値が表示されます。

  

• パブリック クライアント アクセスをアクティブ化する

• Web およびデスクトップへのアクセスに特定の応答 URL を設定する

• 暗黙の OAuth2 認証フローを許可する

サブスクリプションの所有者または管理者による実行が必要になる可能性がある一般的な潜在的なアクティビティのいくつかを次に示します。

• アプリ登録に対する管理者の同意を付与する。 組織では、サブスクリプション内のすべてのアプリ登録について、Microsoft Entra ID で [管理者の同意が必要] がグローバルに有効になっている可能性があります。 その場合、所有者/管理者は、追加の委任されたアクセス許可またはアプリケーションのアクセス許可を付与する必要がある場合があります。
• 登録の create または update コマンドに --set publicClient=true を追加して、パブリック クライアント アクセスをアクティブ化する。
• --reply-urls パラメーターを使用して、Web およびデスクトップへのアクセスに特定の応答 URL を設定する。 az ad コマンドでこのパラメーターを使用する方法の詳細については、az ad app のドキュメントを参照してください。
• --oauth2-allow-implicit-flow パラメーターを使用して、暗黙的な OAuth2 認証フローを許可する。 az ad コマンドでこのパラメーターを使用する方法の詳細については、az ad app のドキュメントを参照してください。