Azure Digital Twins で使用するアプリ登録を作成する

[アーティクル]
06/01/2023

この記事では、Azure Digital Twins にアクセスできる Microsoft Entra IDアプリ登録を作成する方法について説明します。この記事には、Azure portal と Azure CLI の手順が含まれています。

Azure Digital Twins を使用するときは、クライアントアプリケーションでインスタンスを操作するのが一般的です。これらのアプリケーションは、Azure Digital Twins に対して認証を行う必要がありますが、その際、アプリから使用できる認証メカニズムとしてアプリの登録があります。

アプリの登録は、認証シナリオによっては必要ありません。一方、アプリの登録が必要な認証方法やコードサンプルをご使用の方は、それを設定して、Azure Digital Twins API へのアクセス許可を付与する方法をこの記事でご覧いただけます。また、認証にアプリの登録を使用するために必要な重要な値を収集する方法についても説明しています。

ヒント

新しいアプリ登録を必要となるたびに設定することもできます。または、1 回だけ行い、1 つのアプリ登録を確立してそれを必要とするすべてのシナリオで共有することもできます。

登録を作成する

まず、お好みのインターフェイスの下のタブを選択します。

ポータル
CLI

Azure portal で Microsoft Entra ID に移動します (このリンクを使用することも、ポータルの検索バーで検索することもできます)。サービスメニューから [アプリの登録]、[+ 新しい登録] の順に選択します。

以下の [アプリケーションの登録] ページで、要求される次の値を入力します。

名前: 登録に関連付ける Microsoft Entra アプリケーションの表示名
サポートされているアカウントの種類: この組織のディレクトリ内のアカウントのみを選択 します (既定のディレクトリのみ - シングルテナント)
リダイレクト URI: Microsoft Entra アプリケーションの応答 URL 。 http://localhost のパブリッククライアント/ネイティブ (モバイルとデスクトップ) URI を追加します。

完了したら、[登録] ボタンを選択します。

登録の設定が完了したら、ポータルによって詳細ページにリダイレクトされます。

最初に、アプリの登録で Azure Digital Twins API にアクセスするために必要なサービス情報を含むマニフェストファイルを作成します。その後、このファイルを CLI コマンドに渡して登録を作成します。

マニフェストを作成する

コンピューターに manifest.json という名前の新しい .json ファイルを作成します。次のテキストをファイルにコピーします。

[
	{
		"resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0",
		"resourceAccess": [
			{
				"id": "4589bd03-58cb-4e6c-b17f-b580e39652f8",
				"type": "Scope"
			}
		]
	}
]

静的な値 0b07f429-9f4b-4714-9392-cc5e8e80c8b0 は、Azure Digital Twins サービスエンドポイントのリソース ID です。この ID は、アプリの登録で Azure Digital Twins API にアクセスするために必要となります。

完成したファイルを保存します。

Cloud Shell ユーザー: マニフェストのアップロード

このチュートリアルで Azure Cloud Shell を使用している場合は、作成したマニフェストファイルを Cloud Shell にアップロードして、アプリの登録を構成するときに Cloud Shell コマンドでアクセスできるようにする必要があります。 Azure CLI のローカルインストールを使用している場合は、次の手順「作成コマンドを実行する」に進むことができます。

ファイルをアップロードするには、ブラウザーで Cloud Shell ウィンドウに移動します。 [ファイルのアップロード/ダウンロード] アイコンを選択し、[アップロード] を選択します。

Screenshot of Azure Cloud Shell. The Upload icon is highlighted.

コンピューター上の manifest.json ファイルに移動し、[開く] を選びます。こうすることで、Cloud Shell ストレージのルートにファイルがアップロードされます。

作成コマンドを実行する

このセクションでは、CLI コマンドを実行して、次の設定でアプリの登録を作成します。

任意の名前
既定のディレクトリ内のアカウントでのみ使用できる (シングルテナント)
http://localhost の Web 応答 URL
Azure Digital Twins API に対する読み取り/書き込みアクセス許可

次のコマンドを実行して登録を作成します。 Cloud Shell を使用している場合、manifest.json ファイルのパスは @manifest.json になります。

az ad app create --display-name <app-registration-name> --available-to-other-tenants false --reply-urls http://localhost --native-app --required-resource-accesses "<path-to-manifest.json>"

コマンドの出力は、作成したアプリの登録に関する情報です。

成功を確認する

Azure Digital Twins のアクセス許可が付与されたことを確認するには、作成コマンドの、requiredResourceAccess の下にある出力で次のフィールドを探します。それらの値が次に示されている値と一致することを確認します。

resourceAccess > id は 4589bd03-58cb-4e6c-b17f-b580e39652f8
resourceAppId は 0b07f429-9f4b-4714-9392-cc5e8e80c8b0

Screenshot of Cloud Shell output of the app registration creation command.

重要な値を収集する

次に、アプリの登録に関する重要な値を収集します。これらは、アプリの登録を使用してクライアントアプリケーションを認証するのに必要となります。これらの値には次の値が含まれます。

リソース名 - Azure Digital Twins を使用する場合、リソース名 は http://digitaltwins.azure.net。
クライアント ID
テナント ID
クライアントシークレット

次のセクションでは、残りの値を見つける方法について説明します。

クライアント ID とテナント ID を収集する

認証にアプリの登録を使用するには、アプリケーション (クライアント) ID とディレクトリ (テナント) ID を指定する必要がある場合があります。ここでは、これらの値を収集します。これにより、これらの値を保存して必要なときにいつでも使用できます。

ポータル
CLI

クライアント ID とテナント ID の値は、Azure portal のアプリ登録の詳細ページから収集できます。

ページに表示されている アプリケーション (クライアント) ID と ディレクトリ (テナント) ID を 書き留めます。

クライアントシークレットを収集する

アプリの登録用のクライアントシークレットを設定します。これは、他のアプリケーションが認証に使用できます。

ポータル
CLI

Azure portal のアプリの登録ページから開始します。

登録のメニューから [証明書とシークレット] を選択し、[+ 新しいクライアントシークレット] を選択します。
[説明] と [有効期限] に必要な値を入力して、[追加] を選択します。
[証明書とシークレット] ページの [有効期限] および [値] フィールドにクライアントシークレットが表示されていることを確認します。
後で使用するので [シークレット ID] と [値] を記録しておきます ([コピー] アイコンを使用してクリップボードにコピーすることもできます)。

重要

値をコピーして安全な場所に保存してください。再び取得することはできません。後でこれらを見つけることができない場合は、新しいシークレットを作成する必要があります。

アプリの登録のクライアントシークレットを作成するには、前の手順で収集したアプリ登録のクライアント ID 値が必要です。新しいシークレットを作成するには、次の CLI コマンドでその値を使用します。

az ad app credential reset --id <client-ID> --append

このコマンドに省略可能なパラメーターを追加して、資格情報の説明、終了日、その他の詳細を指定することもできます。このコマンドとそのパラメーターの詳細については、az ad app credential reset のドキュメントを参照してください。

このコマンドによって、作成されたクライアントシークレットに関する情報が出力されます。

認証にクライアントシークレットが必要な場合に使用するために、password の値をコピーします。

Screenshot of Cloud Shell output of the app registration creation command. The password value is highlighted.

重要

この値を再度取得することはできないため、ここでコピーして安全な場所に保存してください。後でこの値を見つけることができなかった場合は、新しいシークレットを作成する必要があります。

Azure Digital Twins のアクセス許可を付与する

次に、Azure Digital Twins へのアクセス許可を使用して、作成したアプリ登録を構成します。必要なアクセス許可には、次の 2 種類があります。

Azure Digital Twins インスタンス内でのアプリの登録用のロールの割り当て
Azure Digital Twins API の読み取りと書き込みを行うためのアプリの API アクセス許可

ロール割り当ての作成

このセクションでは、Azure Digital Twins インスタンスでのアプリ登録用のロールの割り当てを作成します。このロールによって、アプリの登録がインスタンスに保持するアクセス許可が決まります。そのため、状況に適したアクセス許可のレベルに一致するロールを選択する必要があります。可能なロールの 1 つは、Azure Digital Twins データ所有者です。ロールとその説明の完全なリストについては、「Azure 組み込みロール」を参照してください。

ポータル
CLI

登録のロールの割り当てを作成するには、次の手順に従います。

Azure portal 上の Azure Digital Twins インスタンスのページを開きます。
[アクセス制御 (IAM)] を選択します。
[追加]>[ロールの割り当ての追加] を選択して、[ロールの割り当ての追加] ページを開きます。

適切なロールを割り当てます。詳細な手順については、「Azure portal を使用して Azure ロールを割り当てる」を参照してください。

設定	値
Role	必要に応じて選択する
メンバーへの > アクセスの割り当て	ユーザー、グループ、またはサービスプリンシパル
メンバーメンバー >	+ メンバーを選択し、アプリ登録の名前またはクライアント ID を検索します

ロールが選択されたら、 確認して割り当てます 。

ロールの割り当てを確認する

[Access Control (IAM)] > [ロールの割り当て] 下で設定したロールの割り当てを確認できます。

アプリの登録は、割り当てたロールと共にリストに表示されます。

ロールを割り当てるには、az dt role-assignment create コマンドを使用します (Azure サブスクリプションで、十分なアクセス許可を持つユーザーによって実行される必要があります)。このコマンドには、割り当てるロールの名前、Azure Digital Twins インスタンスの名前、アプリの登録の名前またはオブジェクト ID を渡す必要があります。

az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<name-or-ID-of-app-registration>" --role "<appropriate-role-name>"

このコマンドの結果として、アプリの登録用に作成されたロールの割り当てに関する情報が出力されます。

ロールの割り当てをさらに確認するには、Azure portal で検索します (Portal の手順タブに切り替えます)。

API のアクセス許可を付与する

このセクションでは、Azure Digital Twins API にアプリベースラインの読み取り/書き込みアクセス許可を付与します。

Azure CLI を使用し、マニフェストファイルを使用して前にアプリの登録を設定している場合、この手順は既に完了しています。 Azure portal を使用してアプリの登録を作成する場合は、このセクションの残りの部分を続行して API アクセス許可を設定します。

ポータル
CLI

アプリ登録のポータルページで、メニューから [API のアクセス許可] を選択します。以下のアクセス許可ページで、[+ アクセス許可の追加] ボタンを選択します。

Screenshot of the app registration in the Azure portal, highlighting the 'API permissions' menu option and 'Add a permission' button.

次の [API アクセス許可の要求] ページで、[所属する組織で使用している API] タブに切り替えて、"Azure digital twins" を検索します。検索結果から Azure Digital Twins を選択して、Azure Digital Twins API に対するアクセス許可の割り当てを続けます。

Screenshot of the 'Request API Permissions' page search result in the Azure portal showing Azure Digital Twins.

Note

サービスの以前の (2020 年 7 月より前の) パブリックプレビューで作成された既存の Azure Digital Twins インスタンスがお使いのサブスクリプションにまだある場合は、代わりに "Azure Smart Spaces Service" を検索して選択する必要があります。これは、同じ API セットの古い名前です ("アプリケーション (クライアント) ID" が上記のスクリーンショットと同じであることに注意してください)。この手順の他に、操作手順に変更はありません。 Screenshot of the 'Request API Permissions' page search result showing Azure Smart Spaces Service in the Azure portal.

次に、これらの API に対して付与するアクセス許可を選択します。 [Read (1)]\(読み取り (1)\) アクセス許可を展開して、[Read.Write]\(読み取り.書き込み\) と示されたチェックボックスをオンにし、このアプリ登録に読み取りおよび書き込みのアクセス許可を付与します。

Screenshot of the 'Request API Permissions' page and selecting 'Read.Write' permissions for the Azure Digital Twins APIs in the Azure portal.

完了したら、[アクセス許可の追加] を選択します。

API のアクセス許可を確認する

[API のアクセス許可] ページで、Read.Write のアクセス許可が反映された Azure Digital Twins のエントリがあることを確認します。

また、アプリ登録の manifest.json 内で Azure Digital Twins への接続を検証できます。これは、API のアクセス許可を追加したときに、Azure Digital Twins 情報によって自動的に更新されました。

これを行うには、メニューから [マニフェスト] を選択して、アプリ登録のマニフェストコードを表示します。コードウィンドウの一番下までスクロールし、requiredResourceAccess の下の次のフィールドと値を探します。

"resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0"
"resourceAccess" > "id": "4589bd03-58cb-4e6c-b17f-b580e39652f8"

これらの値については、下のスクリーンショットをご覧ください。

これらの値がない場合は、API アクセス許可の追加に関するセクションの手順を再試行してください。

組織でのその他の考えられる手順

アプリの登録を設定するには、サブスクリプションの所有者または管理者からの追加のアクションが組織で必要になる可能性があります。必要な手順は、組織の具体的な設定によって異なることがあります。以下のタブを選択すると、お好みのインターフェイスに合わせて調整されたこの情報が表示されます。

ポータル
CLI

サブスクリプションの所有者または管理者による実行が必要になる可能性がある一般的な潜在的なアクティビティのいくつかを次に示します。これらの操作およびその他の操作は、Azure portal の Microsoft Entra アプリの登録ページから実行できます。

アプリ登録に対する管理者の同意を付与する。組織では、サブスクリプション内のすべてのアプリ登録に対して Microsoft Entra ID で管理同意がグローバルに有効になっている可能性があります。その場合は、有効にするアプリの登録について、アプリの登録の [API のアクセス許可] ページで所有者/管理者がユーザーの会社に対してこのボタンを選択する必要があります。
- 同意が正常に付与された場合は、Azure Digital Twins のエントリに [(ユーザーの会社) に付与されました] の [状態] 値が表示されます。
パブリッククライアントアクセスをアクティブ化する
Web およびデスクトップへのアクセスに特定の応答 URL を設定する
暗黙の OAuth2 認証フローを許可する

サブスクリプションの所有者または管理者による実行が必要になる可能性がある一般的な潜在的なアクティビティのいくつかを次に示します。

アプリ登録に対する管理者の同意を付与する。組織では、サブスクリプション内のすべてのアプリ登録に対して Microsoft Entra ID で管理同意がグローバルに有効になっている可能性があります。その場合、所有者/管理者は、追加の委任されたアクセス許可またはアプリケーションのアクセス許可を付与する必要がある場合があります。
登録の create または update コマンドに --set publicClient=true を追加して、パブリッククライアントアクセスをアクティブ化する。
--reply-urls パラメーターを使用して、Web およびデスクトップへのアクセスに特定の応答 URL を設定する。 az ad コマンドでこのパラメーターを使用する方法の詳細については、az ad app のドキュメントを参照してください。
--oauth2-allow-implicit-flow パラメーターを使用して、暗黙的な OAuth2 認証フローを許可する。 az ad コマンドでこのパラメーターを使用する方法の詳細については、az ad app のドキュメントを参照してください。

アプリ登録とそのさまざまな設定オプションの詳細については、「Microsoft ID プラットフォームにアプリケーションを登録する」を参照してください。

次のステップ

この記事では、Azure Digital Twins API を使用してクライアントアプリケーションを認証するために使用できる Microsoft Entra アプリ登録を設定します。

次に、認証メカニズムについて、アプリの登録を使用するものと、使用しないものについて確認します。

アプリ認証コードを作成する