Microsoft Entra ID を使用した Azure Data Lake Storage Gen1 でのサービス間認証
Azure Data Lake Storage Gen1 では、認証にMicrosoft Entra IDが使用されます。 Data Lake Storage Gen1で動作するアプリケーションを作成する前に、Microsoft Entra IDを使用してアプリケーションを認証する方法を決定する必要があります。 2 種類のオプションを使用できます。
- エンドユーザー認証
- サービス間認証 (この記事)
どちらのオプションでも、OAuth 2.0 トークンがアプリケーションに提供され、このトークンが Data Lake Storage Gen1 に対するすべての要求にアタッチされます。
この記事では、サービス間認証用のMicrosoft Entra Web アプリケーションを作成する方法について説明します。 エンド ユーザー認証用のアプリケーション構成Microsoft Entra手順については、「Microsoft Entra IDを使用したData Lake Storage Gen1によるエンド ユーザー認証」を参照してください。
前提条件
- Azure サブスクリプション。 Azure 無料試用版の取得に関するページを参照してください。
手順 1:Active Directory Web アプリケーションを作成する
Microsoft Entra IDを使用して、Azure Data Lake Storage Gen1 でサービス間認証用のMicrosoft Entra Web アプリケーションを作成して構成します。 手順については、「Microsoft Entra アプリケーションを作成する」を参照してください。
前出のリンクの指示に従うときは、次のスクリーンショットに示すように、アプリケーションの種類として [Web アプリ/API] を必ず選択してください。
手順 2:アプリケーション ID、認証キー、テナント ID を取得する
プログラムによってログインするときは、アプリケーションの ID が必要です。 アプリケーションがその独自の資格情報で動作する場合は、さらに認証キーが必要となります。
アプリケーションのアプリケーション ID と認証キー (クライアント シークレットとも呼ばれる) を取得する方法については、「アプリケーション ID と認証キーを取得する」を参照してください。
テナント ID を取得する方法については、「テナント ID を取得する」を参照してください。
手順 3: Azure Data Lake Storage Gen1 アカウント ファイルまたはフォルダーにMicrosoft Entra アプリケーションを割り当てる
Azure Portal にサインオンします。 前に作成したMicrosoft Entra アプリケーションに関連付けるData Lake Storage Gen1 アカウントを開きます。
Data Lake Storage Gen1 アカウントのブレードで、 [データ エクスプローラー] をクリックします。
[Data Explorer] ブレードで、Microsoft Entra アプリケーションへのアクセスを提供するファイルまたはフォルダーをクリックし、[アクセス] をクリックします。 ファイルへのアクセスを構成する場合は、 [ファイルのプレビュー] ブレードから [アクセス] をクリックします。
[アクセス] ブレードには、既にルートに割り当てられている標準アクセスとカスタム アクセスが一覧表示されます。 [追加] アイコンをクリックして、カスタムレベルの ACL を追加します。
[追加] アイコンをクリックして、 [カスタム アクセスの追加] ブレードを開きます。 このブレードで、[ユーザーまたはグループの選択] をクリックし、[ユーザーまたはグループの選択] ブレードで、前に作成したMicrosoft Entra アプリケーションを探します。 検索対象のグループが多数存在する場合は、上部にあるテキスト ボックスを使用してグループ名をフィルター処理できます。 追加するグループをクリックして、 [選択] をクリックします。
[アクセス許可の選択] をクリックして、アクセス許可を選択するともに、このアクセス許可に既定の ACL、アクセス ACL、またはその両方のいずれを割り当てるか選択します。 [OK] をクリックします。
![[アクセス許可の選択] オプションが強調表示されている [カスタム アクセスの追加] ブレードと、[OK] オプションが強調表示されている [アクセス許可の選択] ブレードのスクリーンショット。](media/data-lake-store-authenticate-using-active-directory/adl.acl.4.png "グループにアクセス許可を割り当てる")
Data Lake Storage Gen1 でのアクセス許可と既定/アクセス ACL の詳細については、Data Lake Storage Gen1 のアクセス制御に関するページを参照してください。
[カスタム アクセスの追加] ブレードで [OK] をクリックします。 新しく追加されたグループは、関連付けられたアクセス許可と一緒に [アクセス] ブレードに一覧表示されます。
![[カスタム アクセス] セクションで新しく追加されたグループが強調表示されている [アクセス] ブレードのスクリーンショット。](media/data-lake-store-authenticate-using-active-directory/adl.acl.5.png "グループにアクセス許可を割り当てる")
注意
Microsoft Entra アプリケーションを特定のフォルダーに制限する予定の場合は、.NET SDK を介したファイル作成アクセスを有効にするために、同じMicrosoft Entraアプリケーション実行アクセス許可をルートに付与する必要もあります。
注意
SDK を使用してData Lake Storage Gen1 アカウントを作成する場合は、Data Lake Storage Gen1 アカウントを作成するリソース グループにロールとしてMicrosoft Entra Web アプリケーションを割り当てる必要があります。
手順 4:OAuth 2.0 トークン エンドポイントを取得する (Java ベースのアプリケーションのみ)
Azure Portal にサインオンし、左ウィンドウの [Active Directory] をクリックします。
左ウィンドウで、 [アプリの登録] をクリックします。
[アプリの登録] ブレードの上部にある [エンドポイント] をクリックします。
![[アプリの登録] オプションと [エンドポイント] オプションが強調表示されている [Active Directory] のスクリーンショット。](media/data-lake-store-authenticate-using-active-directory/oauth-token-endpoint.png "OAuth トークン エンドポイント")
エンドポイントの一覧から、Oauth 2.0 トークン エンドポイントをコピーします。
![OAuth 2.0 トークン エンドポイントのコピー アイコンが強調表示されている [エンドポイント] ブレードのスクリーンショット。](media/data-lake-store-authenticate-using-active-directory/oauth-token-endpoint-1.png "OAuth トークン エンドポイント")
次の手順
この記事では、Microsoft Entra Web アプリケーションを作成し、.NET SDK、Java、Python、REST API などを使用して作成するクライアント アプリケーションで必要な情報を収集しました。Microsoft Entra ネイティブ アプリケーションを使用して最初に Data Lake Storage Gen1 で認証し、ストアで他の操作を実行する方法について説明する次の記事に進むことができます。