Azure Active Directory を使用した Azure Data Lake Storage Gen1 に対するサービス間認証Service-to-service authentication with Azure Data Lake Storage Gen1 using Azure Active Directory

Azure Data Lake Storage Gen1 では、認証するために Azure Active Directory を使用します。Azure Data Lake Storage Gen1 uses Azure Active Directory for authentication. Data Lake Storage Gen1 と連携して動作するアプリケーションを作成するときは、Azure Active Directory (Azure AD) に対するアプリケーションの認証方法を事前に決めておく必要があります。Before authoring an application that works with Data Lake Storage Gen1, you must decide how to authenticate your application with Azure Active Directory (Azure AD). 2 種類のオプションを使用できます。The two main options available are:

  • エンドユーザー認証End-user authentication
  • サービス間認証 (この記事)Service-to-service authentication (this article)

どちらのオプションでも、OAuth 2.0 トークンがアプリケーションに提供され、このトークンが Data Lake Storage Gen1 に対するすべての要求にアタッチされます。Both these options result in your application being provided with an OAuth 2.0 token, which gets attached to each request made to Data Lake Storage Gen1.

この記事では、サービス間認証用の Azure AD Web アプリケーションの作成方法について説明します。This article talks about how to create an Azure AD web application for service-to-service authentication. エンド ユーザー認証用に Azure AD アプリケーションを構成する方法については、Data Lake Storage Gen1 に対する Azure Active Directory を使用したエンドユーザーの認証に関するページを参照してください。For instructions on Azure AD application configuration for end-user authentication, see End-user authentication with Data Lake Storage Gen1 using Azure Active Directory.

前提条件Prerequisites

手順 1:Active Directory Web アプリケーションを作成するStep 1: Create an Active Directory web application

Azure Active Directory を使用して Azure Data Lake Storage Gen1 でのサービス間認証を行う Azure AD Web アプリケーションを作成および構成する方法について説明します。Create and configure an Azure AD web application for service-to-service authentication with Azure Data Lake Storage Gen1 using Azure Active Directory. 手順については、Microsoft Azure での Ruby アプリケーションの作成に関するページを参照してください。For instructions, see Create an Azure AD application.

前出のリンクの指示に従うときは、次のスクリーンショットに示すように、アプリケーションの種類として [Web アプリ/API] を必ず選択してください。While following the instructions at the preceding link, make sure you select Web App / API for application type, as shown in the following screenshot:

Web アプリの作成Create web app

手順 2:アプリケーション ID、認証キー、テナント ID を取得するStep 2: Get application ID, authentication key, and tenant ID

プログラムによってログインするときは、アプリケーションの ID が必要です。When programmatically logging in, you need the ID for your application. アプリケーションがその独自の資格情報で動作する場合は、さらに認証キーが必要となります。If the application runs under its own credentials, you also need an authentication key.

手順 3:Azure AD アプリケーションを Azure Data Lake Storage Gen1 アカウントのファイルまたはフォルダーに割り当てるStep 3: Assign the Azure AD application to the Azure Data Lake Storage Gen1 account file or folder

  1. Azure Portal にサインオンします。Sign on to the Azure portal. 上記で作成した Azure Active Directory アプリケーションに関連付ける Data Lake Storage Gen1 アカウントを開きます。Open the Data Lake Storage Gen1 account that you want to associate with the Azure Active Directory application you created earlier.

  2. Data Lake Storage Gen1 アカウントのブレードで、 [データ エクスプローラー] をクリックします。In your Data Lake Storage Gen1 account blade, click Data Explorer.

    Data Lake Storage Gen1 アカウントにディレクトリを作成するCreate directories in Data Lake Storage Gen1 account

  3. [データ エクスプローラー] ブレードで、Azure AD アプリケーションへのアクセスを付与するファイルまたはフォルダーをクリックし、 [アクセス] をクリックします。In the Data Explorer blade, click the file or folder for which you want to provide access to the Azure AD application, and then click Access. ファイルへのアクセスを構成する場合は、 [ファイルのプレビュー] ブレードから [アクセス] をクリックします。To configure access to a file, you must click Access from the File Preview blade.

    Data Lake ファイル システムに ACL を設定するSet ACLs on Data Lake file system

  4. [アクセス] ブレードには、既にルートに割り当てられている標準アクセスとカスタム アクセスが一覧表示されます。The Access blade lists the standard access and custom access already assigned to the root. [追加] アイコンをクリックして、カスタムレベルの ACL を追加します。Click the Add icon to add custom-level ACLs.

    標準アクセスとカスタム アクセスを一覧表示するList standard and custom access

  5. [追加] アイコンをクリックして、 [カスタム アクセスの追加] ブレードを開きます。Click the Add icon to open the Add Custom Access blade. このブレードの [ユーザーまたはグループの選択] をクリックし、 [ユーザーまたはグループの選択] ブレードで、作成しておいた Azure Active Directory アプリケーションを探します。In this blade, click Select User or Group, and then in Select User or Group blade, look for the Azure Active Directory application you created earlier. 検索対象のグループが多数存在する場合は、上部にあるテキスト ボックスを使用してグループ名をフィルター処理できます。If you have many groups to search from, use the text box at the top to filter on the group name. 追加するグループをクリックして、 [選択] をクリックします。Click the group you want to add and then click Select.

    グループを追加するAdd a group

  6. [アクセス許可の選択] をクリックして、アクセス許可を選択するともに、このアクセス許可に既定の ACL、アクセス ACL、またはその両方のいずれを割り当てるか選択します。Click Select Permissions, select the permissions and whether you want to assign the permissions as a default ACL, access ACL, or both. [OK] をクリックします。Click OK.

    [アクセス許可の選択] オプションが強調表示されている [カスタム アクセスの追加] ブレードと、[OK] オプションが強調表示されている [アクセス許可の選択] ブレードのスクリーンショット。Screenshot of the Add Custom Access blade with the Select Permissions option called out and the Select Permissions blade with the OK option called out.

    Data Lake Storage Gen1 でのアクセス許可と既定/アクセス ACL の詳細については、Data Lake Storage Gen1 のアクセス制御に関するページを参照してください。For more information about permissions in Data Lake Storage Gen1, and Default/Access ACLs, see Access Control in Data Lake Storage Gen1.

  7. [カスタム アクセスの追加] ブレードで [OK] をクリックします。In the Add Custom Access blade, click OK. 新しく追加されたグループは、関連付けられたアクセス許可と一緒に [アクセス] ブレードに一覧表示されます。The newly added groups, with the associated permissions, are listed in the Access blade.

    [カスタム アクセス] セクションで新しく追加されたグループが強調表示されている [アクセス] ブレードのスクリーンショット。Screenshot of the Access blade with the newly added group called out in the Custom Access section.

注意

Azure Active Directory アプリケーションを特定のフォルダーに制限する予定の場合は、その同じ Azure Active ディレクトリ アプリケーションに、root に対する実行アクセス許可も付与する必要があります。これにより、.NET SDK 経由でファイル作成アクセスが可能になります。If you plan on restricting your Azure Active Directory application to a specific folder, you will also need to give that same Azure Active directory application Execute permission to the root to enable file creation access via the .NET SDK.

注意

SDK を使用して Data Lake Storage Gen1 アカウントを作成する場合、その作成先となるリソース グループに Azure AD Web アプリケーションをロールとして割り当てる必要があります。If you want to use the SDKs to create a Data Lake Storage Gen1 account, you must assign the Azure AD web application as a role to the Resource Group in which you create the Data Lake Storage Gen1 account.

手順 4:OAuth 2.0 トークン エンドポイントを取得する (Java ベースのアプリケーションのみ)Step 4: Get the OAuth 2.0 token endpoint (only for Java-based applications)

  1. Azure Portal にサインオンし、左ウィンドウの [Active Directory] をクリックします。Sign on to the Azure portal and click Active Directory from the left pane.

  2. 左ウィンドウで、 [アプリの登録] をクリックします。From the left pane, click App registrations.

  3. [アプリの登録] ブレードの上部にある [エンドポイント] をクリックします。From the top of the App registrations blade, click Endpoints.

    [アプリの登録] オプションと [エンドポイント] オプションが強調表示されている [Active Directory] のスクリーンショット。Screenshot of Active Directory with the App registrations option and the Endpoints option called out.

  4. エンドポイントの一覧から、Oauth 2.0 トークン エンドポイントをコピーします。From the list of endpoints, copy the OAuth 2.0 token endpoint.

    OAuth 2.0 トークン エンドポイントのコピー アイコンが強調表示されている [エンドポイント] ブレードのスクリーンショット。Screenshot of the Endpoints blade with the O AUTH 2 point O TOKEN ENDPOINT copy icon called out.

次のステップNext steps

この記事では、Azure AD Web アプリケーションを作成し、.NET SDK、Java、Python、REST API などを使用して作成するクライアント アプリケーションに必要な情報を収集しました。これで、以下の記事に進むことができます。これらの記事では、Azure AD ネイティブ アプリケーションを使用して、Data Lake Storage Gen1 に対し、まず認証を行ってからその他の操作を実行する方法について説明しています。In this article, you created an Azure AD web application and gathered the information you need in your client applications that you author using .NET SDK, Java, Python, REST API, etc. You can now proceed to the following articles that talk about how to use the Azure AD native application to first authenticate with Data Lake Storage Gen1 and then perform other operations on the store.