Azure Digital Twins のイベントをルーティングするためにマネージド ID を有効にする (プレビュー)

この記事では、Azure Digital Twins インスタンスのシステム割り当て ID (現時点ではプレビュー段階) を有効にし、サポートされているルーティング先にイベントを転送するときにその ID を使用する方法について説明します。 ルーティングにはマネージド ID の設定は必要ありませんが、イベント ハブService Bus  宛先、Azure Storage Container など、他の Azure AD で保護されたリソースにインスタンスが簡単にアクセスするのに役立ちます。

この記事では、次の手順を説明します。

  1. システム割り当て ID を使用して Azure Digital Twins インスタンスを作成するか、既存の Azure Digital Twins インスタンスでシステム割り当て ID を有効にします。
  2. ID に適切なロール (1 つまたは複数) を追加します。 たとえば、エンドポイントが Event Hubs の場合は ID に Azure Event Hubs データ送信者 ロールを割り当て、エンドポイントが Service Bus の場合は Azure Service Bus データ送信者ロール を割り当てます。
  3. 認証にシステム割り当て ID を使用できるエンドポイントを Azure Digital Twins に作成します。

インスタンスのシステム マネージド ID を有効にする

Azure Digital Twins インスタンスでシステム割り当て ID を有効にすると、Azure によって Azure Active Directory (Azure AD) にその ID が自動的に作成されます。 その後、その ID を使用して、イベント転送のために Azure Digital Twins エンドポイントに対する認証を行うことができます。

インスタンスの初期セットアップの一部として Azure Digital Twins インスタンスのシステム マネージド ID を有効にすることも、既に存在するインスタンスで後から有効にする こともできます。

どちらの作成方法でも、インスタンスに提供される構成オプションと結果は同じです。 このセクションでは、両方を行う方法について説明します。

インスタンスの作成時にシステム マネージド ID を追加する

このセクションでは、Azure Digital Twins インスタンスの作成中に、インスタンスのシステム マネージド ID を有効にする方法について説明します。 インスタンスの作成に Azure portalAzure CLI のどちらを使用している場合でも、ID を有効にできます。 以下のタブを使用して、好みのエクスペリエンスの手順を選択してください。

ポータルでのインスタンスの作成中にマネージド ID を追加するには、通常と同様にインスタンスの作成を開始します

システム マネージド ID オプションは、インスタンスのセットアップの [詳細] タブにあります。

このタブで、 [System managed identity](システム マネージド ID)[オン] オプションを選択して、この機能を有効にします。

Azure Digital Twins の [リソースの作成] ダイアログの [詳細] タブが表示されている Azure portal のスクリーンショット。システム マネージド ID はオンになっています。

その後、下部にあるナビゲーション ボタンを使用して、インスタンスの残りのセットアップを続けることができます。

既存のインスタンスにシステム マネージド ID を追加する

このセクションでは、既に存在する Azure Digital Twins インスタンスにシステム マネージド ID を追加します。 以下のタブを使用して、好みのエクスペリエンスの手順を選択してください。

まずブラウザーで Azure portal を開きます。

  1. ポータルの検索バーでお使いのインスタンスの名前を検索し、それを選択して詳細を表示します。

  2. 左側のメニューの [ID (プレビュー)] を選択します。

  3. このページで、 [オン] オプションを選択してこの機能を有効にします。

  4. [保存] ボタンを選択し、 [はい] を選択して確定します。

    Azure Digital Twins インスタンスの [ID (プレビュー)] ページが表示されている Azure portal のスクリーンショット。

変更が保存されると、新しい ID の [オブジェクト ID][アクセス許可] のフィールドがこのページに表示されます。

必要に応じてここから オブジェクト ID をコピーし、ID に割り当てられている Azure ロールを表示するには [アクセス許可] ボタンを使用します。 ロールを設定するには、次のセクションに進みます。

Azure ロールを ID に割り当てる

Azure Digital Twins インスタンス用のシステム割り当て ID が作成されたら、サポートされている送信先にイベントを転送するためにさまざまな種類のエンドポイントで認証を行うため、それに適切なロールを割り当てる必要があります。 このセクションでは、ロールのオプションと、それらをシステム割り当て ID に割り当てる方法について説明します。

注意

これは重要なステップです。行わないと、ID はエンドポイントにアクセスできず、イベントは配信されません。

サポートされている配信先と Azure ロール

送信先の種類に応じて、ID がエンドポイントにアクセスするために必要な最小限のロールを次に示します。 さらに高いアクセス許可を持つロール (データ所有者ロールなどの) も機能します。

到着地 Azure ロール
Azure Event Hubs Azure Event Hubs データ送信者
Azure Service Bus Azure Service Bus データ送信者
[Azure ストレージ コンテナー] ストレージ BLOB データ共同作成者

Azure Digital Twins でのルーティングでサポートされているエンドポイント、ルート、送信先の種類の詳細については、イベント ルートに関するページを参照してください。

ロールを割り当てる

注意

このセクションは、アクセス許可の付与や委任を含む、Azure リソースへのユーザー アクセスを管理するためのアクセス許可を持つ Azure ユーザーが行う必要があります。 この要件を満たす一般的なロールは、所有者アカウント管理者ユーザー アクセス管理者共同作成者 の組み合わせです。 Azure Digital Twins のロールのアクセス許可要件の詳細については、インスタンスと認証の設定に関する記事を参照してください。

以下のタブを使用して、好みのエクスペリエンスの手順を選択してください。

ID にロールを割り当てるには、まずブラウザーで Azure portal を開きます。

  1. ポータルの検索バーで名前を検索して、お使いのエンドポイント リソース (イベント ハブ、Service Bus トピック、またはストレージ コンテナー) に移動します。

  2. [アクセス制御 (IAM)] を選択します。

  3. [追加] > [ロールの割り当ての追加] を選択して、[ロールの割り当ての追加] ページを開きます。

  4. 以下の情報を使用して、目的のロールを Azure Digital Twins インスタンスのマネージド ID に割り当てます。 詳細な手順については、「Azure portal を使用して Azure ロールを割り当てる」を参照してください。

    設定
    Role ドロップダウン メニューから目的のロールを選択します。
    アクセスの割り当て先 [システム割り当てマネージド ID] で、 [Digital Twins] を選択します。
    メンバー ロールを割り当てる Azure Digital Twins インスタンスのマネージド ID を選択します。 マネージ ID の名前はインスタンスの名前と一致するため、Azure Digital Twins インスタンスの名前を選択します。

    [ロールの割り当ての追加] ページ

ID ベースの認証を使用してエンドポイントを作成する

Azure Digital Twins インスタンスのシステム マネージド ID を設定し、それに適切なロールを割り当てた後は、認証にその ID を使用できる Azure Digital Twins エンドポイントを作成できます。 このオプションは、種類が Event Hubs と Service Bus のエンドポイントでのみ使用できます (Event Grid ではサポートされていません)。

注意

キー ベースの ID で既に作成されているエンドポイントを編集して、ID ベースの認証に変更することはできません。 最初にエンドポイントを作成するときに、認証の種類を選択する必要があります。

以下のタブを使用して、好みのエクスペリエンスの手順を選択してください。

まず、こちらの Azure Digital Twins のエンドポイントを作成する手順に従います。

エンドポイントの種類に必要な詳細を設定するステップになったら、[認証の種類] で [Identity-based](ID ベース) を必ず選択します。

エンドポイントの設定を終了し、 [保存] を選択します。

システム マネージド ID を無効にする場合の考慮事項

ID は、それを使用するエンドポイントとは別に管理されているため、ID またはそのロールを変更したときの Azure Digital Twins インスタンスのエンドポイントに対する影響について考慮することが重要です。 ID を無効にした場合、またはエンドポイントに必要なロールを削除した場合、エンドポイントにアクセスできなくなり、イベントのフローが中断される可能性があります。

設定されていたマネージド ID を無効にした後もエンドポイントを引き続き使用するには、エンドポイントを削除し、異なる認証の種類で再作成する必要があります。 この変更を行った後、エンドポイントへのイベントの配信が再開されるまで、最大で 1 時間かかることがあります。

次のステップ

Azure AD でのマネージド ID の詳細について確認します。