複数の Azure アプリとサービス間のパスワードレス接続を構成する

[アーティクル]
02/20/2024

アプリケーションでは多くの場合、複数の Azure サービス間にセキュリティで保護された接続が同時に必要になります。たとえば、エンタープライズ Azure App Service インスタンスで、複数の異なるストレージアカウント、Azure SQL データベースインスタンス、サービスバスなどに接続する場合があります。

マネージド ID は、Azure リソース間の安全なパスワードレス接続に推奨されている認証オプションです。マネージド ID では、開発者がさまざまなシークレットを手動で追跡して管理する必要はありません。これらのタスクのほとんどは Azure によって内部で処理されるためです。このチュートリアルでは、マネージド ID と Azure ID クライアントライブラリを使用して複数のサービス間の接続を管理する方法について説明します。

マネージド ID の種類を比較する

Azure には、次の種類のマネージド ID が用意されています。

システム割り当てマネージド ID は、1 つの Azure リソースに直接関連付けられます。サービスでシステム割り当てマネージド ID を有効にすると、Azure によってリンクされた ID が作成され、その ID の管理タスクが内部で処理されます。 Azure リソースが削除されると、ID も削除されます。
ユーザー割り当てマネージド ID は、管理者によって作成され、1 つ以上の Azure リソースに関連付けることができる独立した ID です。 ID のライフサイクルは、それらのリソースから独立しています。

ベストプラクティス、およびシステム割り当て ID とユーザー割り当て ID をそれぞれどのようなときに使用するかについての詳細は、ID のベストプラクティスの推奨事項に関するページを参照してください。

DefaultAzureCredential について

マネージド ID は、通常、Azure.Identity クライアントライブラリの DefaultAzureCredential というクラスを使用してアプリケーションコードに実装されます。 DefaultAzureCredential は複数の認証方法をサポートしており、どの方法が使用されるかは実行時に決定されます。この方法の詳細については、DefaultAzureCredential の概要に関するページを参照してください。

Azure でホストされているアプリを複数の Azure サービスに接続する

パスワードレス接続を使用して、既存のアプリを複数の Azure サービスとデータベースに接続する作業をしているとします。このアプリケーションは Azure App Service でホストされている ASP.NET Core Web API ですが、以下の手順は、Azure Spring Apps、Virtual Machines、Container Apps、AKS などの他の Azure ホスティング環境にも適用されます。

このチュートリアルは次のアーキテクチャに適用されますが、最小限の構成変更で、他の多くのシナリオにも適応できます。

次の手順では、システム割り当てマネージド ID とローカル開発アカウントを使用して複数の Azure サービスに接続するように、アプリを構成する方法を示します。

システム割り当てマネージド ID を作成する

Azure portal で、他のサービスに接続する、ホストされたアプリケーションに移動します。
サービスの概要ページで、[ID] を選択します。
[状態] の設定を [オン] に切り替えて、サービスのシステム割り当てマネージド ID を有効にします。

接続されている各サービスのマネージド ID にロールを割り当てる

お使いの ID にアクセスを許可するストレージアカウントの概要ページに移動します。
ストレージアカウントのナビゲーションから [アクセス制御 (IAM)] を選択します。
[+ 追加]、[ロールの割り当ての追加] の順に選択します。
[ロール] 検索ボックスで、[ストレージ BLOB データ共同作成者] を検索します。これは、BLOB データに対する読み取りと書き込みの操作を実行するためのアクセス許可を付与します。ユースケースに合った適切なロールであれば何でも割り当てることができます。一覧から [ストレージ BLOB データ共同作成者] を選択し、[次へ] を選択します。
[ロールの割り当てを追加] 画面の [アクセスの割り当て先] オプションで [マネージド ID] を選択します。次に、[+ メンバーの選択] を選択します。
ポップアップに App Service の名前を入力し、作成したマネージド ID を検索します。システム割り当て ID を選択し、[選択] を選択してポップアップメニューを閉じます。
[次へ] を何度か選択して [レビューと割り当て] を選択すれば、ロールの割り当ては完了です。
接続する他のサービスでこのプロセスを繰り返します。

ローカル開発の考慮事項

また、マネージド ID にロールを割り当てたときと同じ方法でユーザーアカウントにロールを割り当て、ローカル開発用の Azure リソースにアクセスできるようにすることもできます。

マネージド ID に [ストレージ BLOB データ共同作成者] ロールを割り当てたら、[アクセスの割り当て先] で、今度は [User, group or service principal] (ユーザー、グループ、またはサービスプリンシパル) を選択します。 [+ メンバーを選択する] を選択してポップアップメニューをもう一度開きます。
メールアドレスまたは名前でアクセス権を付与する user@domain アカウントまたは Microsoft Entra セキュリティグループを検索し、それを選択します。これは、Visual Studio や Azure CLI などの、ローカル開発ツールへのサインインに使用するアカウントと同じであることが必要です。

Note

複数の開発者がいるチームで作業している場合は、これらのロールを Microsoft Entra セキュリティグループに割り当てることもできます。そのうえで、アプリをローカルで開発するアクセス権が必要な開発者を、そのグループに入れることができます。

アプリケーションコードを実装する

プロジェクト内に、Azure.Identity NuGet パッケージへの参照を追加します。このライブラリには、DefaultAzureCredential の実装に必要なすべてのエンティティが含まれています。また、アプリに関連する他の Azure ライブラリも追加できます。この例では、Blob Storage と Key Vault に接続するために、Azure.Storage.Blobs および Azure.KeyVault.Keys パッケージを追加します。

dotnet add package Azure.Identity
dotnet add package Azure.Storage.Blobs
dotnet add package Azure.KeyVault.Keys

Program.cs ファイルの先頭に、次の using ステートメントを追加します。

using Azure.Identity;
using Azure.Storage.Blobs;
using Azure.Security.KeyVault.Keys;

プロジェクトコードの Program.cs ファイルで、アプリを接続する、必要なサービスのインスタンスを作成します。次の例では、対応する SDK クラスを使用して Blob Storage とサービスバスに接続します。

var blobServiceClient = new BlobServiceClient(
    new Uri("https://<your-storage-account>.blob.core.windows.net"),
    new DefaultAzureCredential(credOptions));

var serviceBusClient = new ServiceBusClient("<your-namespace>", new DefaultAzureCredential());
var sender = serviceBusClient.CreateSender("producttracking");

プロジェクト内で、依存関係 azure-identity を pom.xml ファイルに追加します。このライブラリには、DefaultAzureCredential の実装に必要なすべてのエンティティが含まれています。また、アプリに関連する他の Azure 依存関係も追加できます。この例では、Blob Storage と Key Vault に接続するために、依存関係 azure-storage-blob および azure-messaging-servicebus を追加します。

<dependencyManagement>
  <dependencies>
    <dependency>
      <groupId>com.azure</groupId>
      <artifactId>azure-sdk-bom</artifactId>
      <version>1.2.5</version>
      <type>pom</type>
      <scope>import</scope>
    </dependency>
  </dependencies>
</dependencyManagement>
<dependencies>
  <dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
  </dependency>
  <dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-storage-blob</artifactId>
  </dependency>
  <dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-messaging-servicebus</artifactId>
  </dependency>
</dependencies>

プロジェクトコードで、アプリを接続する、必要なサービスのインスタンスを作成します。次の例では、対応する SDK クラスを使用して Blob Storage とサービスバスに接続します。

class Demo {

    public static void main(String[] args) {

        DefaultAzureCredential defaultAzureCredential = new DefaultAzureCredentialBuilder().build();

        BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
            .endpoint("https://<your-storage-account>.blob.core.windows.net")
            .credential(defaultAzureCredential)
            .buildClient();

        ServiceBusClientBuilder clientBuilder = new ServiceBusClientBuilder().credential(defaultAzureCredential);
        ServiceBusSenderClient serviceBusSenderClient = clientBuilder.sender()
                                                                     .queueName("producttracking")
                                                                     .buildClient();
    }

}

プロジェクト内で必要なのは、使用するサービスの依存関係を追加することだけです。この例では、Blob Storage と Key Vault に接続するために、依存関係 spring-cloud-azure-starter-storage-blob および spring-cloud-azure-starter-servicebus を追加します。

<dependencyManagement>
  <dependencies>
    <dependency>
      <groupId>com.azure.spring</groupId>
      <artifactId>spring-cloud-azure-dependencies</artifactId>
      <version>4.5.0</version>
      <type>pom</type>
      <scope>import</scope>
    </dependency>
  </dependencies>
</dependencyManagement>
<dependencies>
  <dependency>
    <groupId>com.azure.spring</groupId>
    <artifactId>spring-cloud-azure-starter-storage-blob</artifactId>
  </dependency>
  <dependency>
    <groupId>com.azure.spring</groupId>
    <artifactId>spring-cloud-azure-starter-servicebus</artifactId>
  </dependency>
</dependencies>

spring:
  cloud:
    azure:
      servicebus:
        namespace: <service-bus-name>
        entity-name: <service-bus-entity-name>
        entity-type: <service-bus-entity-type>
      storage:
        blob:
          account-name: <storage-account-name>

@Service
public class ExampleService {

    @Autowired
    private BlobServiceClient blobServiceClient;

    @Autowired
    private ServiceBusSenderClient serviceBusSenderClient;

}

プロジェクト内で、npm を使用して @azure/identity パッケージへの参照を追加します。このライブラリには、DefaultAzureCredential の実装に必要なすべてのエンティティが含まれています。アプリに関連する他のすべての Azure SDK ライブラリをインストールします。
```
npm install --save @azure/identity @azure/storage-blob @azure/keyvault-keys
```
index.js ファイルの先頭に、次の import ステートメントを追加して、アプリが接続するサービスに必要なクライアントクラスをインポートします。
```
import { DefaultAzureCredential } from "@azure/identity";
import { BlobServiceClient } from "@azure/storage-blob";
import { KeyClient } from "@azure/keyvault-keys";
```

index.js ファイル内で、アプリが接続する Azure サービスのクライアントオブジェクトを作成します。次の例では、対応する SDK クラスを使用して、Blob Storage と Key Vault に接続します。

// Azure resource names
const storageAccount = process.env.AZURE_STORAGE_ACCOUNT_NAME;
const keyVaultName = process.env.AZURE_KEYVAULT_NAME;

// Create client for Blob Storage using managed identity
const blobServiceClient = new BlobServiceClient(
  `https://${storageAccount}.blob.core.windows.net`,
  new DefaultAzureCredential()
);

// Create client for Key Vault using managed identity
const keyClient = new KeyClient(`https://${keyVaultName}.vault.azure.net`, new DefaultAzureCredential());

// Create a new key in Key Vault
const result = await keyClient.createKey(keyVaultName, "RSA");

このアプリケーションコードをローカルで実行すると、DefaultAzureCredential では資格情報チェーンを検索して最初に使用可能な資格情報を見つけます。ローカルで Managed_Identity_Client_ID が null の場合、ローカルの Azure CLI または Visual Studio サインインの資格情報が自動的に使用されます。このプロセスの詳細については、Azure ID ライブラリの概要に関するページを参照してください。

アプリケーションが Azure にデプロイされると、DefaultAzureCredential によって App Service Environment から自動的に Managed_Identity_Client_ID 変数が取得されます。この値は、マネージド ID がアプリに関連付けられると使用できるようになります。

この全体的なプロセスにより、コード変更を行わなくても、アプリをローカルおよび Azure で安全に実行できます。

複数のマネージド ID を使用して複数のアプリを接続する

前の例のアプリではすべて同じサービスアクセス要件を共有していましたが、たいていの場合、実際の環境はそれぞれ微妙に異なります。複数のアプリがすべて同じストレージアカウントに接続していますが、アプリのうち 2 つは異なるサービスまたはデータベースにもアクセスするというシナリオについて考えます。

コードでこのセットアップを構成するには、アプリケーションで、それぞれのストレージアカウントまたはデータベースに接続するために個別のサービスを登録する必要があります。 DefaultAzureCredential を構成するときは、必ず、各サービスの正しいマネージド ID クライアント ID を取り込みます。次のコード例では、次のようなサービス接続を構成しています。

共有ユーザー割り当てマネージド ID を使用した個別のストレージアカウントへの 2 つの接続
2 つ目の共有ユーザー割り当てマネージド ID を使用した Azure Cosmos DB と Azure SQL サービスへの接続

// Get the first user-assigned managed identity ID to connect to shared storage
const clientIdStorage = Environment.GetEnvironmentVariable("Managed_Identity_Client_ID_Storage");

// First blob storage client that using a managed identity
BlobServiceClient blobServiceClient = new BlobServiceClient(
    new Uri("https://<receipt-storage-account>.blob.core.windows.net"),
    new DefaultAzureCredential()
    {
        ManagedIdentityClientId = clientIDstorage
    });

// Second blob storage client that using a managed identity
BlobServiceClient blobServiceClient2 = new BlobServiceClient(
    new Uri("https://<contract-storage-account>.blob.core.windows.net"),
    new DefaultAzureCredential()
    {
        ManagedIdentityClientId = clientIDstorage
    });


// Get the second user-assigned managed identity ID to connect to shared databases
var clientIDdatabases = Environment.GetEnvironmentVariable("Managed_Identity_Client_ID_Databases");

// Create an Azure Cosmos DB client
CosmosClient client = new CosmosClient(
    accountEndpoint: Environment.GetEnvironmentVariable("COSMOS_ENDPOINT", EnvironmentVariableTarget.Process),
    new DefaultAzureCredential()
    {
        ManagedIdentityClientId = clientIDdatabases
    });

// Open a connection to Azure SQL using a managed identity
string ConnectionString1 = @"Server=<azure-sql-hostname>.database.windows.net; User Id=ClientIDOfTheManagedIdentity; Authentication=Active Directory Default; Database=<database-name>";

using (SqlConnection conn = new SqlConnection(ConnectionString1))
{
    conn.Open();
}

pom.xml ファイルに次のコードを追加します。

<dependencyManagement>
  <dependencies>
    <dependency>
      <groupId>com.azure</groupId>
      <artifactId>azure-sdk-bom</artifactId>
      <version>1.2.5</version>
      <type>pom</type>
      <scope>import</scope>
    </dependency>
  </dependencies>
</dependencyManagement>
<dependencies>
  <dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
  </dependency>
  <dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-storage-blob</artifactId>
  </dependency>
  <dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-cosmos</artifactId>
  </dependency>
  <dependency>
    <groupId>com.microsoft.sqlserver</groupId>
    <artifactId>mssql-jdbc</artifactId>
    <version>11.2.1.jre17</version>
  </dependency>
</dependencies>

コードに次の内容を追加します。

class Demo {

    public static void main(String[] args) {
        // Get the first user-assigned managed identity ID to connect to shared storage
        String clientIdStorage = System.getenv("Managed_Identity_Client_ID_Storage");

        // Get the DefaultAzureCredential from clientIdStorage
        DefaultAzureCredential storageCredential =
            new DefaultAzureCredentialBuilder().managedIdentityClientId(clientIdStorage).build();

        // First blob storage client that using a managed identity
        BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
            .endpoint("https://<receipt-storage-account>.blob.core.windows.net")
            .credential(storageCredential)
            .buildClient();

        // Second blob storage client that using a managed identity
        BlobServiceClient blobServiceClient2 = new BlobServiceClientBuilder()
            .endpoint("https://<contract-storage-account>.blob.core.windows.net")
            .credential(storageCredential)
            .buildClient();

        // Get the second user-assigned managed identity ID to connect to shared databases
        String clientIdDatabase = System.getenv("Managed_Identity_Client_ID_Databases");

        // Create an Azure Cosmos DB client
        CosmosClient cosmosClient = new CosmosClientBuilder()
            .endpoint("https://<cosmos-db-account>.documents.azure.com:443/")
            .credential(new DefaultAzureCredentialBuilder().managedIdentityClientId(clientIdDatabase).build())
            .buildClient();

        // Open a connection to Azure SQL using a managed identity
        String connectionUrl = "jdbc:sqlserver://<azure-sql-hostname>.database.windows.net:1433;"
            + "database=<database-name>;encrypt=true;trustServerCertificate=false;hostNameInCertificate=*.database"
            + ".windows.net;loginTimeout=30;Authentication=ActiveDirectoryMSI;";
        try {
            Connection connection = DriverManager.getConnection(connectionUrl);
            Statement statement = connection.createStatement();
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
}

pom.xml ファイルに次のコードを追加します。

<dependencyManagement>
  <dependencies>
    <dependency>
      <groupId>com.azure.spring</groupId>
      <artifactId>spring-cloud-azure-dependencies</artifactId>
      <version>4.5.0</version>
      <type>pom</type>
      <scope>import</scope>
    </dependency>
  </dependencies>
</dependencyManagement>
<dependencies>
  <dependency>
    <groupId>com.azure.spring</groupId>
    <artifactId>spring-cloud-azure-starter-storage-blob</artifactId>
  </dependency>
  <dependency>
    <groupId>com.azure.spring</groupId>
    <artifactId>spring-cloud-azure-starter-cosmos</artifactId>
  </dependency>
  <dependency>
    <groupId>com.microsoft.sqlserver</groupId>
    <artifactId>mssql-jdbc</artifactId>
  </dependency>
  <dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-jdbc</artifactId>
  </dependency>
</dependencies>

application.yml ファイルに次のコードを追加します。

spring:
  cloud:
    azure:
      cosmos:
        endpoint: https://<cosmos-db-account>.documents.azure.com:443/
        credential:
          client-id: <Managed_Identity_Client_ID_Databases>
          managed-identity-enabled: true
      storage:
        blob:
          endpoint: https://<contract-storage-account>.blob.core.windows.net
          credential:
            client-id: <Managed_Identity_Client_ID_Storage>
            managed-identity-enabled: true
  datasource:
    url: jdbc:sqlserver://<azure-sql-hostname>.database.windows.net:1433;database=<database-name>;encrypt=true;trustServerCertificate=false;hostNameInCertificate=*.database.windows.net;loginTimeout=30;Authentication=ActiveDirectoryMSI;

コードに次の内容を追加します。

注意

Spring Cloud Azure では、同じサービスのクライアントを複数構成することはサポートされていません。次のコードは、このような状況のために複数の Bean を作成するものです。

@Configuration
public class AzureStorageConfiguration {

    @Bean("secondBlobServiceClient")
    public BlobServiceClient secondBlobServiceClient(BlobServiceClientBuilder builder) {
        return builder.endpoint("https://<receipt-storage-account>.blob.core.windows.net").buildClient();
    }

    @Bean("firstBlobServiceClient")
    public BlobServiceClient firstBlobServiceClient(BlobServiceClientBuilder builder) {
        return builder.buildClient();
    }
}

@Service
public class ExampleService {

    @Autowired
    @Qualifier("firstBlobServiceClient")
    private BlobServiceClient blobServiceClient;

    @Autowired
    @Qualifier("secondBlobServiceClient")
    private BlobServiceClient blobServiceClient2;

    @Autowired
    private CosmosClient cosmosClient;

    @Autowired
    private JdbcTemplate jdbcTemplate;

}

プロジェクト内で、npm を使用して @azure/identity パッケージへの参照を追加します。このライブラリには、DefaultAzureCredential の実装に必要なすべてのエンティティが含まれています。アプリに関連する他のすべての Azure SDK ライブラリをインストールします。
```
npm install --save @azure/identity @azure/storage-blob @azure/cosmos mssql
```
index.js ファイルの先頭に、次の import ステートメントを追加して、アプリが接続するサービスに必要なクライアントクラスをインポートします。
```
import { DefaultAzureCredential } from "@azure/identity";
import { BlobServiceClient } from "@azure/storage-blob";
import { KeyClient } from "@azure/keyvault-keys";
```

index.js ファイル内で、アプリが接続する Azure サービスのクライアントオブジェクトを作成します。次の例では、対応する SDK クラスを使用して、Blob Storage、Cosmos DB、Azure SQL に接続します。

// Get the first user-assigned managed identity ID to connect to shared storage
const clientIdStorage = process.env.MANAGED_IDENTITY_CLIENT_ID_STORAGE;

// Storage account names
const storageAccountName1 = process.env.AZURE_STORAGE_ACCOUNT_NAME_1;
const storageAccountName2 = process.env.AZURE_STORAGE_ACCOUNT_NAME_2;

// First blob storage client that using a managed identity
const blobServiceClient = new BlobServiceClient(
  `https://${storageAccountName1}.blob.core.windows.net`,
  new DefaultAzureCredential({
    managedIdentityClientId: clientIdStorage
  })
);

// Second blob storage client that using a managed identity
const blobServiceClient2 = new BlobServiceClient(
  `https://${storageAccountName2}.blob.core.windows.net`,
  new DefaultAzureCredential({
    managedIdentityClientId: clientIdStorage
  })
);

// Get the second user-assigned managed identity ID to connect to shared databases
const clientIdDatabases = process.env.MANAGED_IDENTITY_CLIENT_ID_DATABASES;

// Cosmos DB Account endpoint
const cosmosDbAccountEndpoint = process.env.COSMOS_ENDPOINT;

// Create an Azure Cosmos DB client
const client = new CosmosClient({
  endpoint: cosmosDbAccountEndpoint,
  credential: new DefaultAzureCredential({
    managedIdentityClientId: clientIdDatabases
  })
});

// Open a connection to Azure SQL using a managed identity with mssql package
// mssql reads the environment variables to get the managed identity
const server = process.env.AZURE_SQL_SERVER;
const database = process.env.AZURE_SQL_DATABASE;
const port = parseInt(process.env.AZURE_SQL_PORT);
const type = process.env.AZURE_SQL_AUTHENTICATIONTYPE;

const config = {
    server,
    port,
    database,
    authentication: {
        type                // <---- Passwordless connection
    },
    options: {
        encrypt: true
    }
};

await sql.connect(sqlConfig);

ユーザー割り当てマネージド ID とシステム割り当てマネージド ID を同時にリソースに関連付けることもできます。これは、すべてのアプリで同じ共有サービスにアクセスする必要がありますが、アプリの 1 つが追加のサービスへの固有の依存関係を持っているというシナリオで役立ちます。システム割り当て ID を使用すると、アプリが削除されたときに、その特定のアプリに関連付けられている ID も削除されます。これによって環境がクリーンに保たれます。

これらの種類のシナリオの詳細については、ID のベストプラクティスの推奨事項に関するページを参照してください。

次の手順

このチュートリアルでは、アプリケーションをパスワードレス接続に移行する方法について説明しました。この記事で説明されている概念の詳細については、次のリソースを参照してください。

Microsoft Entra ID を使用して BLOB へのアクセスを認可する
.NET Core の詳細については、「Get started with .NET in 10 minutes (10 分で .NET を使い始める)」を参照してください。

次の方法で共有

複数の Azure アプリとサービス間のパスワードレス接続を構成する

マネージド ID の種類を比較する

DefaultAzureCredential について

Azure でホストされているアプリを複数の Azure サービスに接続する

システム割り当てマネージド ID を作成する

接続されている各サービスのマネージド ID にロールを割り当てる

ローカル開発の考慮事項

アプリケーションコードを実装する

複数のマネージド ID を使用して複数のアプリを接続する

次の手順

フィードバック

その他のリソース

次の方法で共有

複数の Azure アプリとサービス間のパスワードレス接続を構成する

マネージド ID の種類を比較する

DefaultAzureCredential について

Azure でホストされているアプリを複数の Azure サービスに接続する

システム割り当てマネージド ID を作成する

接続されている各サービスのマネージド ID にロールを割り当てる

ローカル開発の考慮事項

アプリケーション コードを実装する

複数のマネージド ID を使用して複数のアプリを接続する

次の手順

フィードバック

その他のリソース

アプリケーションコードを実装する