Azure API Management で Azure Active Directory を使用して開発者アカウントを承認するAuthorize developer accounts by using Azure Active Directory in Azure API Management

この記事では、Azure Active Directory (Azure AD) 内のユーザーに対して開発者ポータルへのアクセスを有効にする方法について説明します。This article shows you how to enable access to the developer portal for users from Azure Active Directory (Azure AD). また、Azure AD ユーザーが含まれた外部グループを追加することで Azure AD ユーザーのグループを管理する方法についても説明します。This guide also shows you how to manage groups of Azure AD users by adding external groups that contain the users.

注意

Azure AD 統合は、Developer、Standard、および Premium の各レベルでのみ使用可能です。Azure AD integration is available in the Developer, Standard, and Premium tiers only.

前提条件Prerequisites

Azure AD を使用して開発者アカウントを承認するAuthorize developer accounts by using Azure AD

  1. Azure Portal にサインインします。Sign in to the Azure portal.
  2. electSelect 矢印..
  3. 検索ボックスに、「api」と入力します。Type api in the search box.
  4. [API Management サービス] を選択します。Select API Management services.
  5. お使いの API Management サービス インスタンスを選択します。Select your API Management service instance.
  6. [セキュリティ][ID] を選択します。Under SECURITY, select Identities.

  7. 一番上にある [+追加] を選択します。Select +Add from the top.

    [ID プロバイダーの追加] ウィンドウが右側に表示されます。The Add identity provider pane appears on the right.

  8. [プロバイダーの種類][Azure Active Directory] を選択します。Under Provider type, select Azure Active Directory.

    その他必要な情報を入力するためのコントロールがウィンドウに表示されます。Controls that enable you to enter other necessary information appear in the pane. そのようなコントロールとして、[クライアント ID][クライアント シークレット] があります The controls include Client ID and Client secret. (これらのコントロールに関する情報は、記事の後半で取得します)。(You get information about these controls later in the article.)

  9. [リダイレクト URL] の内容をメモします。Make a note of the contents of Redirect URL.

    Azure Portal で ID プロバイダーを追加するための手順

  10. ブラウザーで別のタブを開きます。In your browser, open a different tab.
  11. Azure ポータルにアクセスします。Go to the Azure portal.
  12. electSelect 矢印..
  13. active」と入力します。Type active. [Azure Active Directory] ウィンドウが表示されます。The Azure Active Directory pane appears.
  14. [Azure Active Directory] を選択します。Select Azure Active Directory.
  15. [管理][アプリの登録] を選択します。Under MANAGE, select App registrations.
  16. [新しいアプリケーションの登録] を選択します。Select New application registration.

    新しいアプリの登録を作成するための選択内容

    [作成] ウィンドウが右側に表示されます。The Create pane appears on the right. ここに Azure AD アプリの関連情報を入力します。That's where you enter the Azure AD app-relevant information.

  17. アプリケーションの名前を入力します。Enter a name for the application.
  18. アプリケーション タイプとして [Web アプリ/API] を選択します。For the application type, select Web app/API.
  19. サインイン URL には、開発者ポータルのサインイン URL を入力します。For the sign-in URL, enter the sign-in URL of your developer portal. この例では、サインイン URL は https://apimwithaad.portal.azure-api.net/signin です。In this example, the sign-in URL is https://apimwithaad.portal.azure-api.net/signin.
  20. [作成] を選択して、アプリケーションを作成します。Select Create to create the application.
  21. アプリを検索するには、[アプリの登録] を選択して名前で検索します。To find your app, select App registrations and search by name.

    アプリの検索ボックス

  22. アプリケーションの登録後、[応答 URL] に移動し、[リダイレクト URL] が、手順 9. でメモした値に設定されていることを確認します。After the application is registered, go to Reply URL and make sure Redirect URL is set to the value that you got from step 9.
  23. アプリケーションを構成する場合 (アプリ ID の URL を変更するなど) は、[プロパティ] を選択します。If you want to configure your application (for example, change App ID URL), select Properties.

    [プロパティ] ウィンドウを開く

    このアプリケーションで複数の Azure AD インスタンスを使用する場合は、[マルチテナント] に対して [はい] を選択します。If multiple Azure AD instances will be used for this application, select Yes for Multi-tenanted. 既定値は [いいえ] です。The default is No.

  24. [必要なアクセス許可] を選択して、アプリケーションのアクセス許可を設定します。Set application permissions by selecting Required permissions.
  25. アプリケーションを選択し、[ディレクトリ データの読み取り][サインインとユーザー プロファイルの読み取り] のチェック ボックスをオンにします。Select your application, and then select the Read directory data and Sign in and read user profile check boxes.

    アクセス許可のチェック ボックス

    アプリケーションのアクセス許可と委任されたアクセス許可の詳細については、Graph API へのアクセスに関するページを参照してください。For more information about application permissions and delegated permissions, see Accessing the Graph API.

  26. 左側のウィンドウで、[アプリケーション ID] の値をコピーします。In the left pane, copy the Application ID value.

    [アプリケーション ID] の値

  27. API Management アプリケーションに戻ります。Switch back to your API Management application.

    [ID プロバイダーの追加] ウィンドウで、[クライアント ID] ボックスに [アプリケーション ID] の値を貼り付けます。In the Add identity provider window, paste the Application ID value in the Client ID box.

  28. Azure AD の構成に戻り、[キー] を選択します。Switch back to the Azure AD configuration, and select Keys.
  29. 名前と期間を指定して新しいキーを作成します。Create a new key by specifying a name and duration.
  30. [保存] を選択します。Select Save. キーが生成されます。The key is generated.

    キーをクリップボードにコピーします。Copy the key to the clipboard.

    キーを作成するための選択内容

    注意

    このキーを書き留めておきます。Make a note of this key. Azure AD の構成ウィンドウを閉じた後はキーを再表示できません。After you close the Azure AD configuration pane, the key cannot be displayed again.

  31. API Management アプリケーションに戻ります。Switch back to your API Management application.

    [ID プロバイダーの追加] ウィンドウで、[クライアント シークレット] ボックスにキーを貼り付けます。In the Add identity provider window, paste the key in the Client secret text box.

    重要

    キーの有効期限が切れる前に、クライアント シークレット キーを更新するようにしてください。Please make sure to update the Client secret before the key expires.

  32. [ID プロバイダーの追加] ウィンドウには、[許可されているテナント] テキスト ボックスもあります。The Add identity provider window also contains the Allowed Tenants text box. ここには、API Management サービス インスタンスの API へのアクセスを許可する Azure AD インスタンスのドメインを指定します。There, specify the domains of the Azure AD instances to which you want to grant access to the APIs of the API Management service instance. 複数のドメインを指定する場合は、改行文字、スペース、またはコンマで区切ります。You can separate multiple domains with newlines, spaces, or commas.

    [許可されているテナント] セクションには、複数のドメインを指定できます。You can specify multiple domains in the Allowed Tenants section. アプリケーションが登録されている元のドメインとは別のドメインからユーザーがサインインするには、別のドメインの全体管理者がアプリケーションにディレクトリ データへのアクセス許可を付与する必要があります。Before any user can sign in from a different domain than the original domain where the application was registered, a global administrator of the different domain must grant permission for the application to access directory data. アクセス許可を付与するために、全体管理者は次の操作を行う必要があります。To grant permission, the global administrator should:

    a.a. https://<URL of your developer portal>/aadadminconsent に移動します (例: https://contoso.portal.azure-api.net/aadadminconsent)。Go to https://<URL of your developer portal>/aadadminconsent (for example, https://contoso.portal.azure-api.net/aadadminconsent).

    b.b. アクセスを許可する Azure AD テナントのドメイン名を入力します。Type in the domain name of the Azure AD tenant that they want to give access to.

    c.c. [Submit](送信) をクリックします。Select Submit.

    次の例では、miaoaad.onmicrosoft.com の全体管理者がこの特定の開発者ポータルの権限を付与しようとしています。In the following example, a global administrator from miaoaad.onmicrosoft.com is trying to give permission to this particular developer portal.

  33. 必要な構成を指定したら、[追加] を選択します。After you specify the desired configuration, select Add.

    [ID プロバイダーの追加] ウィンドウの [追加] ボタン

変更が保存されると、指定された Azure AD インスタンスのユーザーは、「Azure AD アカウントを使用して開発者ポータルにサインインする」の手順に従って開発者ポータルにサインインできます。After the changes are saved, users in the specified Azure AD instance can sign in to the developer portal by following the steps in Sign in to the developer portal by using an Azure AD account.

Azure AD テナントの名前の入力

次の画面で、アクセス許可の付与を確認するメッセージが全体管理者に表示されます。On the next screen, the global administrator is prompted to confirm giving the permission.

アクセス許可の割り当ての確認

全体管理者がアクセス許可を付与する前に全体管理者以外のユーザーがログインしようとすると、サインイン試行は失敗し、エラー画面が表示されます。If a non-global administrator tries to sign in before a global administrator grants permissions, the sign-in attempt fails and an error screen is displayed.

外部 Azure AD グループを追加するAdd an external Azure AD group

Azure AD インスタンス内のユーザーのアクセスを有効にした後、API Management で Azure AD グループを追加できます。After you enable access for users in an Azure AD instance, you can add Azure AD groups in API Management. これにより、グループ内の開発者と目的の成果物の関連付けをより簡単に管理できます。Then, you can more easily manage the association of the developers in the group with the desired products.

外部の Azure AD グループを構成するには、先に前のセクションの手順を実行して、[ID] タブで Azure AD を構成する必要があります。To configure an external Azure AD group, you must first configure the Azure AD instance on the Identities tab by following the procedure in the previous section.

外部の Azure AD グループは、API Management インスタンスの [グループ] タブから追加します。You add external Azure AD groups from the Groups tab of your API Management instance.

  1. [グループ] タブを選択します。Select the Groups tab.
  2. [AAD グループの追加] ボタンを選択します。Select the Add AAD group button. [AAD グループの追加] ボタン"Add AAD group" button
  3. 追加するグループを選択します。Select the group that you want to add.
  4. [選択] ボタンを押します。Press the Select button.

外部 Azure AD グループを追加した後、そのプロパティを確認および構成できます。After you add an external Azure AD group, you can review and configure its properties. [グループ] タブからグループの名前を選択します。ここでは、グループの [名前][説明] の情報を編集できます。Select the name of the group from the Groups tab. From here, you can edit Name and Description information for the group.

これで、構成された Azure AD インスタンスのユーザーが開発者ポータルにサインインできるようになります。Users from the configured Azure AD instance can now sign in to the developer portal. これらのユーザーは、可視性があるすべてのグループを表示し、サブスクライブすることができます。They can view and subscribe to any groups for which they have visibility.

Azure AD アカウントを使用して開発者ポータルにサインインするSign in to the developer portal by using an Azure AD account

前のセクションで構成した Azure AD アカウントを使用して開発者ポータルにサインインするには、次の操作を行います。To sign in to the developer portal by using an Azure AD account that you configured in the previous sections:

  1. Active Directory のアプリケーション構成のサインイン URL を使用して新しいブラウザー ウィンドウを開き、[Azure Active Directory] を選択します。Open a new browser window by using the sign-in URL from the Active Directory application configuration, and select Azure Active Directory.

    サインイン ページ

  2. Azure AD 内のいずれかのユーザーの資格情報を入力し、[サインイン] を選択します。Enter the credentials of one of the users in Azure AD, and select Sign in.

    ユーザー名とパスワードを使用してサインインする

  3. 追加情報が必要な場合は、登録フォームが表示されることがあります。You might be prompted with a registration form if any additional information is required. 登録フォームに入力し、[サインアップ] を選択します。Complete the registration form, and select Sign up.

    登録フォームの [サインアップ] ボタン

ユーザーは、API Management サービス インスタンスの開発者ポータルにサインインしました。Your user is now signed in to the developer portal for your API Management service instance.

登録が完了した後の開発者ポータル