Azure Id ライブラリを使用して Azure リソースに対して Azure ホスト型 JavaScript アプリを認証する方法

アプリが Azure でホストされている場合 (Azure App Service、Azure Functions、Azure Container Apps などのサービスを使用)、マネージド ID を使用して、Azure リソースに対してアプリを安全に認証できます。

マネージド ID はアプリの ID を提供し、シークレット (接続文字列やキーなど) を使用せずに他の Azure リソースに接続できるようにします。 内部的には、Azure はアプリの ID を認識し、アプリがアクセスを許可されているリソースを認識します。 Azure では、この情報を使用してアプリの Microsoft Entra トークンを自動的に取得し、認証シークレットの管理 (作成またはローテーション) を必要とせずに他の Azure リソースに接続できるようにします。

マネージド ID の種類

マネージド ID には、次の 2 種類があります。

• システム割り当てマネージド ID - 単一の Azure リソース
• ユーザーが割り当てたマネージド ID - 複数の Azure リソース

この記事では、アプリのシステム割り当てマネージド ID を有効にして使用する手順について説明します。 ユーザー割り当てマネージド ID を使用する必要がある場合は、「ユーザー割り当てマネージド ID の管理」の記事を参照して、ユーザー割り当てマネージド ID の作成方法を確認してください。

単一リソースに対するシステム割り当てマネージド ID

システム割り当てマネージド ID は、Azure リソースによって提供され、Azure リソースに直接関連付けられます。 Azure リソースでマネージド ID を有効にすると、そのリソースのシステム割り当てマネージド ID が取得されます。 マネージド ID は、Azure リソースのライフサイクルに関連付けられています。 リソースが削除されると、その ID も Azure によって自動的に削除されます。 必要なのは、コードをホストしている Azure リソースのマネージド ID を有効にすることなので、この ID の種類は、使用するマネージド ID の最も簡単な種類です。

複数のリソースに対するユーザー割り当てマネージド ID

ユーザー割り当てマネージド ID は、スタンドアロンの Azure リソースです。 この ID の種類は、ソリューションに、同じ ID と同じアクセス許可を共有する必要がある複数の Azure リソースで実行される複数のワークロードがある場合に最もよく使用されます。 たとえば、ソリューションに、複数の App Service インスタンスと仮想マシン インスタンスで実行されるアプリケーションが含まれているとします。 アプリケーションはすべて、同じ Azure リソースのセットにアクセスする必要があります。 これらのリソース全体でユーザー割り当てマネージド ID を作成して使用するのが最適な設計選択です。

1 - ホストされているアプリでシステム割り当てマネージド ID を有効にする

最初の手順では、アプリをホストしている Azure リソースでマネージド ID を有効にします。 たとえば、Azure App Service を使用して Express.js アプリケーションをホストしている場合は、その App Service Web アプリのマネージド ID を有効にする必要があります。 VM を使用してアプリをホストしている場合は、VM でマネージド ID を使用できるようにします。

Azure portal または Azure CLI を使用して、マネージド ID を Azure リソースに使用できるようにすることができます。

Azure Portal

手順	Screenshot
Azure portal でアプリケーション コードをホストするリソースに移動します。 たとえば、ページの上部にある検索ボックスにリソースの名前を入力し、ダイアログ ボックスでそれを選択して移動できます。
リソースのページで、左側のメニューから [ID] メニュー項目を選択します。 マネージド ID をサポートできるすべての Azure リソースには、メニューのレイアウトが若干異なる場合もありますが、 ID メニュー項目があります。
[ID] ページで、次の操作を行います。 [状態] スライダーを [オン] に変更します。 [保存] を選択します。 サービスのマネージド ID を有効にするかどうかを確認するための確認ダイアログが表示されます。 [はい] を選択して、Azure リソースに対してマネージド ID を有効にします。

Azure CLI

Azure CLI コマンドは、 Azure Cloud Shell で、または Azure CLI がインストールされているワークステーション上で実行できます。

Azure リソースのマネージド ID を有効にするために使用される Azure CLI コマンドは、 az <command-group> identity --resource-group <resource-group-name> --name <resource-name> の形式です。 ここでは、一般的な Azure サービスの特定のコマンドを提供します。

Azure App Service

az webapp identity assign --resource-group <resource-group-name> -name <web-app-name>

Azure Virtual Machines

az vm identity assign --resource-group <resource-group-name> -name <virtual-machine-name>

出力は次のようになります。

{
  "principalId": "<REPLACE_WITH_YOUR_PRINCIPAL_ID>",
  "tenantId": "<REPLACE_WITH_YOUR_TENANT_ID>",
  "type": "SystemAssigned",
  "userAssignedIdentities": null
}

principalId の値は、マネージド ID の一意の ID です。 次の手順でこれらの値が必要になるので、この出力のコピーを保管しておきます。

2 - マネージド ID にロールを割り当てる

次に、アプリに必要なロール (アクセス許可) を決定し、Azure でこれらのロールにマネージド ID を割り当てる必要があります。 マネージド ID には、リソース、リソース グループ、またはサブスクリプション スコープでロールを割り当てることができます。 次に、ほとんどのアプリケーションがすべてのAzureリソースを1つのリソースグループにグループ化するため、リソースグループスコープでロールを割り当てる例を示します。

Azure Portal

手順	Screenshot
Azure portal の上部にある検索ボックスを使用してリソース グループ名を検索し、アプリケーションのリソース グループを見つけます。 ダイアログ ボックスの [リソース グループ] 見出しの下にあるリソース グループ名を選択して、リソース グループに移動します。
リソース グループのページで、左側のメニューから [アクセス制御 (IAM)] を選択します。
[アクセス制御 (IAM)] ページで、次の操作を行います。 [ロールの割り当て] タブを選択します。 上部のメニューから [+ 追加] を選択し、次に結果のドロップダウン メニューから [ロールの割り当ての追加] を選択します。
[ロールの割り当ての追加] ページには、リソース グループで割り当てることができるすべてのロールが一覧表示されます。 検索ボックスを使用して、より管理しやすいサイズにリストをフィルター処理します。 この例では、Storage BLOB ロールをフィルター処理する方法を示します。 割り当てるロールを選択します。 [次へ] を選択して、次の画面に進みます。
次の [ロールの割り当ての追加] ページでは、ロールを割り当てるユーザーを指定できます。 [アクセス権の割り当て先]で [マネージド ID] を選択します。 [メンバー] で [+ メンバーの選択] を選択する Azure portal の右側でダイアログ ボックスが開きます。
[マネージド ID の選択] ダイアログで、次の操作を行います。 [マネージド ID] ドロップダウンと [選択] テキスト ボックスを使用して、サブスクリプション内のマネージド ID の一覧をフィルター処理できます。 この例では、 App Service を選択することで、App Service に関連付けられているマネージド ID のみが表示されています。 アプリケーションをホストしている Azure リソースのマネージド ID を選択します。 ダイアログの下部にある [選択] を選んで続行します。
マネージド ID が、 [ロールの割り当ての追加] 画面に選択済みとして表示されます。 [レビューと割り当て] を選択して最終ページに移動し、もう一度 レビューと割り当て を行ってプロセスを完了します。

Azure CLI

マネージド ID には、[az role assignment create] コマンドを使用して、Azure でロールが割り当てられます。

az role assignment create --assignee "{managedIdentityId}" \
    --role "{roleName}" \
    --resource-group "{resourceGroupName}"

サービス プリンシパルを割り当てることができるロール名を取得するには、 az role definition list コマンドを使用します。

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

たとえば、マネージド ID が msdocs-sdk-auth-example リソース グループ内のすべてのストレージ アカウントに対する Azure Storage BLOB コンテナーとデータの読み取り、書き込み、削除のアクセスを許可するには、次のコマンドを使用して、アプリケーション サービス プリンシパルをストレージ BLOB データ共同作成者ロールに割り当てます。

az role assignment create --assignee aaaaaaaa-bbbb-cccc-7777-888888888888 \
    --role "Storage Blob Data Contributor" \
    --resource-group "msdocs-sdk-auth-example"

Azure CLI を使用してリソースまたはサブスクリプション レベルでアクセス許可を割り当てる方法については、「Azure CLI を使用して Azure ロールを割り当てる」を参照してください。

3 - アプリケーションに DefaultAzureCredential を実装する

DefaultAzureCredential は、マネージド ID が使用されていることを自動的に検出し、マネージド ID を使用して他の Azure リソースに対する認証を行います。 JavaScript 認証用 Azure Id ライブラリの概要 記事で説明したように、DefaultAzureCredential では複数の認証方法がサポートされ、実行時に使用される認証方法が決定されます。 この方法では、環境固有のコードを実装しなくても、アプリで異なる環境で異なる認証方法を使用できます。

まず、 @azure/identity パッケージをアプリケーションに追加します。

npm install @azure/identity

次に、アプリ内に Azure SDK クライアント オブジェクトを作成する JavaScript コードについて、次のことを行います。

1. DefaultAzureCredential モジュールから @azure/identity クラスをインポートします。
2. DefaultAzureCredential オブジェクトを作成します。
3. Azure SDK クライアント オブジェクト コンストラクターに DefaultAzureCredential オブジェクトを渡します。

これらの手順の例を次のコード セグメントに示します。

// connect-with-default-azure-credential.js
import { BlobServiceClient } from '@azure/storage-blob';
import { DefaultAzureCredential } from '@azure/identity';
import 'dotenv/config'

const accountName = process.env.AZURE_STORAGE_ACCOUNT_NAME;
if (!accountName) throw Error('Azure Storage accountName not found');

const blobServiceClient = new BlobServiceClient(
  `https://${accountName}.blob.core.windows.net`,
  new DefaultAzureCredential()
);