Azure Digital Twins で使用するアプリ登録を作成する

この記事では、Azure Digital Twins にアクセスできる Microsoft Entra ID "アプリ登録" を作成する方法について説明します。 この記事には、Azure portalAzure CLI の手順が含まれています。

Azure Digital Twins を使用するときは、クライアント アプリケーションでインスタンスを操作するのが一般的です。 これらのアプリケーションは、Azure Digital Twins に対して認証を行う必要がありますが、その際、アプリから使用できる認証メカニズムとしてアプリの登録があります。

アプリの登録は、認証シナリオによっては必要ありません。 一方、アプリの登録が必要な認証方法やコード サンプルをご使用の方は、それを設定して、Azure Digital Twins API へのアクセス許可を付与する方法をこの記事でご覧いただけます。 また、認証にアプリの登録を使用するために必要な重要な値を収集する方法についても説明しています。

ヒント

新しいアプリ登録を必要となるたびに設定することもできます。または、1 回だけ行い、1 つのアプリ登録を確立してそれを必要とするすべてのシナリオで共有することもできます。

登録を作成する

まず、お好みのインターフェイスの下のタブを選択します。

Azure portal 上で Microsoft Entra ID に移動します (このリンクを使用するか、ポータルの検索バーを使って検索できます)。 サービス メニューから [アプリの登録][+ 新しい登録] の順に選択します。

Azure portal の Microsoft Entra サービス ページのスクリーンショット。[アプリの登録] ページで新しい登録を作成する手順が示されています。

以下の [アプリケーションの登録] ページで、要求される次の値を入力します。

  • 名前: 登録と関連付けるための Microsoft Entra アプリケーションの表示名。
  • サポートされているアカウントの種類: [この組織ディレクトリのアカウントのみ (既定のディレクトリのみ - シングル テナント)] を選択します。

完了したら、[登録] ボタンを選択します。

記述された値が入力されている Azure portal の [アプリケーションの登録] ページのスクリーンショット。

登録の設定が完了したら、ポータルによって詳細ページにリダイレクトされます。

重要な値を収集する

次に、アプリの登録に関する重要な値を収集します。これらは、アプリの登録を使用してクライアント アプリケーションを認証するのに必要となります。 これらの値には次の値が含まれます。

  • リソース名 - Azure Digital Twins を使用する場合、リソース名http://digitaltwins.azure.net
  • クライアント ID
  • テナント ID
  • クライアント シークレット

次のセクションでは、残りの値を見つける方法について説明します。

クライアント ID とテナント ID を収集する

認証にアプリの登録を使用するには、アプリケーション (クライアント) IDディレクトリ (テナント) ID を指定する必要がある場合があります。 ここでは、これらの値を収集します。これにより、これらの値を保存して必要なときにいつでも使用できます。

クライアント ID とテナント ID の値は、Azure portal のアプリ登録の詳細ページから収集できます。

アプリ登録の重要な値が示されている Azure portal のスクリーンショット。

実際のページに表示される、アプリケーション (クライアント) IDディレクトリ (テナント) ID をメモしておきます。

クライアント シークレットを収集する

アプリの登録用のクライアント シークレットを設定します。これは、他のアプリケーションが認証に使用できます。

Azure portal のアプリの登録ページから開始します。

  1. 登録のメニューから [証明書とシークレット] を選択して、[+ 新しいクライアント シークレット] を選択します。

    Microsoft Entra アプリの登録が表示され、[新しいクライアント シークレット] が強調表示されている Azure portal のスクリーンショット。

  2. [説明] と [有効期限] に必要な値を入力して、[追加] を選択します。

    クライアント シークレットを追加しているときの Azure portal のスクリーンショット。

  3. [証明書とシークレット] ページの [有効期限] および [値] フィールドにクライアント シークレットが表示されていることを確認します。

  4. 後で使用するので [シークレット ID][値] を記録しておきます ([コピー] アイコンを使用してクリップボードにコピーすることもできます)。

    クライアント シークレットの値をコピーする方法を示す Azure portal のスクリーンショット。

重要

値をコピーして安全な場所に保存してください。再び取得することはできません。 後でこれらを見つけることができない場合は、新しいシークレットを作成する必要があります。

Azure Digital Twins のアクセス許可を付与する

次に、Azure Digital Twins へのアクセス許可を使用して、作成したアプリ登録を構成します。 必要なアクセス許可には、次の 2 種類があります。

  • Azure Digital Twins インスタンス内でのアプリの登録用のロールの割り当て
  • Azure Digital Twins API の読み取りと書き込みを行うためのアプリの API アクセス許可

ロール割り当ての作成

このセクションでは、Azure Digital Twins インスタンスでのアプリ登録用のロールの割り当てを作成します。 このロールによって、アプリの登録がインスタンスに保持するアクセス許可が決まります。そのため、状況に適したアクセス許可のレベルに一致するロールを選択する必要があります。 可能なロールの 1 つは、Azure Digital Twins データ所有者です。 ロールとその説明の完全なリストについては、「Azure 組み込みロール」を参照してください。

登録のロールの割り当てを作成するには、次の手順に従います。

  1. Azure portal 上の Azure Digital Twins インスタンスのページを開きます。

  2. [アクセス制御 (IAM)] を選択します。

  3. [追加]>[ロールの割り当ての追加] を選択して、[ロールの割り当ての追加] ページを開きます。

  4. 適切なロールを割り当てます。 詳細な手順については、「Azure portal を使用して Azure ロールを割り当てる」を参照してください。

    設定
    ロール 必要に応じて選択する
    アクセス権を割り当てる > メンバー ユーザー、グループ、またはサービス プリンシパル
    メンバー > メンバー [+ メンバーを選択]、次にアプリ登録の名前を検索する

    [ロールの割り当ての追加] ページの [ロール] タブのスクリーンショット。

    [ロールの割り当ての追加] ページの [メンバー] タブのスクリーンショット。

    ロールが選択されたら、確認して割り当てます。

ロールの割り当てを確認する

[Access Control (IAM)] > [ロールの割り当て] 下で設定したロールの割り当てを確認できます。

Azure portal での Azure Digital Twins インスタンスのロールの割り当てページのスクリーンショット。

アプリの登録は、割り当てたロールと共にリストに表示されます。

API のアクセス許可を付与する

このセクションでは、Azure Digital Twins API にアプリ ベースラインの読み取り/書き込みアクセス許可を付与します。

Azure CLI を使用し、マニフェスト ファイルを使用して前にアプリの登録を設定している場合、この手順は既に完了しています。 Azure portal を使用してアプリの登録を作成する場合は、このセクションの残りの部分を続行して API アクセス許可を設定します。

アプリ登録のポータル ページで、メニューから [API のアクセス許可] を選択します。 以下のアクセス許可ページで、[+ アクセス許可の追加] ボタンを選択します。

[API のアクセス許可] メニュー オプションと [アクセス許可の追加] ボタンが強調表示されている Azure portal のアプリ登録のスクリーンショット。

次の [API アクセス許可の要求] ページで、[所属する組織で使用している API] タブに切り替えて、"Azure digital twins" を検索します。 検索結果から Azure Digital Twins を選択して、Azure Digital Twins API に対するアクセス許可の割り当てを続けます。

Azure Digital Twins が表示された Azure portal の [API アクセス許可の要求] ページの検索結果のスクリーンショット。

Note

サービスの以前の (2020 年 7 月より前の) パブリック プレビューで作成された既存の Azure Digital Twins インスタンスがお使いのサブスクリプションにまだある場合は、代わりに "Azure Smart Spaces Service" を検索して選択する必要があります。 これは、同じ API セットの古い名前です ("アプリケーション (クライアント) ID" が上記のスクリーンショットと同じであることに注意してください)。この手順の他に、操作手順に変更はありません。 Azure portal での Azure Smart Spaces Service が表示された [API アクセス許可の要求] ページの検索結果のスクリーンショット。

次に、これらの API に対して付与するアクセス許可を選択します。 [Read (1)]\(読み取り (1)\) アクセス許可を展開して、[Read.Write]\(読み取り.書き込み\) と示されたチェック ボックスをオンにし、このアプリ登録に読み取りおよび書き込みのアクセス許可を付与します。

Azure portal での Azure Digital Twins API の 'Read.Write' アクセス許可が選択された [API アクセス許可の要求] ページのスクリーンショット。

完了したら、[アクセス許可の追加] を選択します。

API のアクセス許可を確認する

[API のアクセス許可] ページで、Read.Write のアクセス許可が反映された Azure Digital Twins のエントリがあることを確認します。

Azure Digital Twins に対して '読み取り/書き込みアクセス' が表示されている、Azure portal の Microsoft Entra アプリ登録の API のアクセス許可のスクリーンショット。

また、アプリ登録の manifest.json 内で Azure Digital Twins への接続を検証できます。これは、API のアクセス許可を追加したときに、Azure Digital Twins 情報によって自動的に更新されました。

これを行うには、メニューから [マニフェスト] を選択して、アプリ登録のマニフェスト コードを表示します。 コード ウィンドウの一番下までスクロールし、requiredResourceAccess の下の次のフィールドと値を探します。

  • "resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0"
  • "resourceAccess" > "id": "4589bd03-58cb-4e6c-b17f-b580e39652f8"

これらの値については、下のスクリーンショットをご覧ください。

Azure portal の Microsoft Entra アプリ登録のマニフェストのスクリーンショット。

これらの値がない場合は、API アクセス許可の追加に関するセクションの手順を再試行してください。

組織でのその他の考えられる手順

アプリの登録を設定するには、サブスクリプションの所有者または管理者からの追加のアクションが組織で必要になる可能性があります。 必要な手順は、組織の具体的な設定によって異なることがあります。 以下のタブを選択すると、お好みのインターフェイスに合わせて調整されたこの情報が表示されます。

サブスクリプションの所有者または管理者による実行が必要になる可能性がある一般的な潜在的なアクティビティのいくつかを次に示します。 これらの操作は、Azure portal の Microsoft Entra アプリの登録ページから実行できます。

  • アプリ登録に対する管理者の同意を付与する。 組織では、サブスクリプション内のすべてのアプリ登録について、Microsoft Entra ID で [管理者の同意が必要] がグローバルに有効になっている可能性があります。 その場合は、有効にするアプリの登録について、アプリの登録の [API のアクセス許可] ページで所有者/管理者がユーザーの会社に対してこのボタンを選択する必要があります。

    API のアクセス許可の下に [管理者の同意の付与] ボタンが表示されている Azure portal のスクリーンショット。

    • 同意が正常に付与された場合は、Azure Digital Twins のエントリに [(ユーザーの会社) に付与されました][状態] 値が表示されます。

    API のアクセス許可の下に、会社に付与された管理者の同意が表示されている Azure portal のスクリーンショット。

  • パブリック クライアント アクセスをアクティブ化する

  • Web およびデスクトップへのアクセスに特定の応答 URL を設定する

  • 暗黙の OAuth2 認証フローを許可する

アプリ登録とそのさまざまな設定オプションの詳細については、「Microsoft ID プラットフォームにアプリケーションを登録する」を参照してください。

次のステップ

この記事では、クライアント アプリケーションを Azure Digital Twins API で認証するために使用できる Microsoft Entra アプリの登録を設定しました。

次に、認証メカニズムについて、アプリの登録を使用するものと、使用しないものについて確認します。