次の方法で共有

Split Experimentation Workspace のデータ アクセス制御を設定する (プレビュー)

  • [アーティクル]

Azure App Configuration (プレビュー) の Split Experimentation では、Microsoft Entra を使用して Split Experimentation Workspace リソースの要求を承認します。 Microsoft Entra では、カスタム ロールを使用してセキュリティ プリンシパルにアクセス許可を付与することもできます。

データ アクセス制御の概要

Split Experimentation ワークスペースに対して行われたすべての要求が承認されている必要があります。 アクセス制御ポリシーを設定するには、新しい Microsoft Entra アプリケーション登録を作成するか、既存のものを使用します。 登録されたアプリケーションは、Split Experimentation ワークスペースへのアクセスを許可するための認証ポリシー、セキュリティ原則、ロール定義などを指定します。

必要に応じて、1 つの Microsoft Entra Enterprise アプリケーションを使用して、複数の Split Experimentation ワークスペースへのアクセスを制御できます。

Split Experimentation Workspace のアクセス制御ポリシーを設定するには、コントロール プレーン操作が必要です。 Split Experimentation では、アクセス ポリシーを設定するには、アプリケーション ID のみが必要です。 上記の Entra アプリケーションは、顧客が所有し、完全に制御します。 アプリケーションは、Split Experimentation Workspace リソースがプロビジョニングされている、またはプロビジョニングされていると見なされるのと同じ Microsoft Entra テナントに存在する必要があります。

Microsoft Entra ID では、リソースへのアクセスは 2 段階のプロセスで設定されます。

  1. セキュリティ プリンシパルの ID が認証され、OAuth 2.0 トークンが発行されます。 トークンを要求するために使用するリソース名は https://login.microsoftonline.com/<tenantID> であり、<tenantID> はサービス プリンシパルが属している Microsoft Entra テナントの ID を照合します。 スコープが api://{Entra application ID>/.default であり、<Entra application ID> が Split Experimentation Workspace リソースへのアクセス ポリシーとしてリンクされているアプリケーション ID と一致していることを確認します。
  2. 指定されたリソースへのアクセスを承認するために、トークンが要求の一部として App Configuration サービスに渡されます。

アプリケーションの登録

新しいアプリを登録するか、既存の Microsoft Entra アプリケーション登録を使用して実験を実行します。

新しいアプリの登録

  1. Microsoft 管理センターで、[ID]>[アプリケーション]>[アプリの登録] に移動します。

    [アプリの登録] ページが表示されている Microsoft Entra 管理センターのスクリーンショット。

  2. アプリの名前を入力し、[サポートされているアカウントの種類][この組織のディレクトリ内のアカウントのみ] を選択します。

Note

アプリケーションは、Split Experimentation ワークスペースがプロビジョニングされている、またはプロビジョニングされていると見なされるのと同じ Microsoft Entra テナントに存在する必要があります。 この時点では、基本的な登録のみが必要です。 詳細については、「アプリケーションの登録」を参照してください。

Entra アプリケーションを対象ユーザーとして使用できるようにする

認証トークンを要求するときに、Entra アプリケーションをグローバル対象ユーザー/スコープとして使用できるようにアプリケーション ID の URI を構成します。

  1. Microsoft Entra 管理センターの [ID]>[アプリケーション]>[アプリの登録] で、[表示名] を選択してアプリケーションを開きます。 開いたウィンドウの [概要]で、[アプリケーション ID URI] をコピーします。 アプリケーション ID URI の代わりに [アプリケーション ID URI の追加] が表示される場合は、このオプションを選択した後、[追加][保存] を選択します。

    Azure portal のアプリのスクリーンショット。

  2. 次に、アプリの左側のメニューで [API の公開] を選択します。 アプリケーション ID URI 値が api://<Entra application ID> であることを確認します。ここで Entra application ID は同じ Microsoft Entra アプリケーション ID である必要があります。

    [アプリの登録] ページが表示されている Microsoft Entra 管理センターのスクリーンショット。

ユーザーが Azure portal から Split Experimentation へのアクセスを要求できるようにする

Azure portal のユーザー インターフェイスは、実質的に Split Experimentation ワークスペースの UX です。 Split Experimentation データ プレーンと対話して、メトリックの設定、実験の作成/更新/アーカイブ/削除、実験結果の取得などを行います。

これを実現するには、Azure portal の Split UI を事前に認証する必要があります。

スコープの追加

Microsoft Entra 管理センターで、アプリに移動し、[API の公開] 左側のメニューを開き、[スコープの追加] を選択します。

スコープを追加する方法を示す Microsoft Entra 管理センターのスクリーンショット。

  1. [同意できるユーザー][管理者とユーザー] を選択します。
  2. [管理者の同意の表示名][管理者の同意の説明] を入力します。

Split Experimentation リソース プロバイダー ID の承認

  1. [API の公開] メニューを表示したまま、[承認済みクライアント アプリケーション]>[クライアント アプリケーションの追加] までスクロール ダウンし、Split Experimentation のリソース プロバイダー ID d3e90440-4ec9-4e8b-878b-c89e889e9fbc に対応するクライアント ID を入力します。

    Split Experimentation のリソース プロバイダー ID を承認する方法を示す Microsoft Entra 管理センターのスクリーンショット。

  2. [アプリケーションの追加] をクリックします。

承認ロールの追加

Split Experimentation ワークスペースでは、アクセス制御のスコープを設定するための既知のロールがサポートされています。 Entra アプリケーションに次のロールを追加します。

  1. アプリの [アプリ ロール] メニューに移動し、[アプリ ロールの作成] を選択します。

  2. 開いたペインで次の情報を選択または入力して、ExperimentationDataOwner ロールを作成します。 このロールは、Split Experimentation リソースに対するすべての操作を実行するためのフル アクセス権をアプリに付与します。

    • 表示名: ExperimentationDataOwner と入力します
    • 許可されるメンバーの種類: [両方 (ユーザー/グループ + アプリケーション)] を選択します。
    • : ExperimentationDataOwner と入力します。
    • 説明: Read-write access to Experimentation Workspace と入力します
    • このアプリ ロールを有効にしますか?: このチェック ボックスをオンにします。

    アプリ ロールを作成する方法を示す Microsoft Entra 管理センターのスクリーンショット。

  3. ExperimentationDataReader ロールを作成します。 このロールは、Split Experimentation リソースに対する読み取りアクセス権をアプリに付与しますが、アプリが変更を加えることは許可しません。

    • 表示名: ExperimentationDataReader と入力します
    • 許可されるメンバーの種類: [両方 (ユーザー/グループ + アプリケーション)] を選択します
    • : ExperimentationDataReader と入力します
    • 説明: Read-only access to Experimentation Workspace と入力します
    • このアプリ ロールを有効にしますか?: このチェック ボックスをオンにします。

ユーザーとロールの割り当てを構成する

割り当て要件オプションを選択します

  1. アプリの [概要] メニューに移動し、[ローカル ディレクトリ内のマネージド アプリケーション] の下のリンクを選択します。 これにより、Microsoft 管理センターの [ID]>[エンタープライズ アプリケーション] メニューでアプリが開きます。

  2. 左側で [管理]>[プロパティ] を開き、[必要な割り当て] 設定で任意のオプションを選択します。

    • はい: エンタープライズ アプリケーションの [ユーザーとグループ] で 明示的に定義されたエントリのみがトークンを取得し、関連する Split Experimentation ワークスペースにアクセスできます。 このオプションを選択することをお勧めします。
    • いいえ: 同じ Entra テナント内のすべてのユーザーがトークンを取得できるため、Split Experimentation コントロール プレーンのオプトイン設定を使用して、関連付けられている Split Experimentation ワークスペースにアクセスできます。

    割り当てを要求する方法を示す Microsoft Entra 管理センターのスクリーンショット。

ユーザーとグループの割り当て

  1. [ユーザーとグループ] メニューに戻り、[ユーザー/グループの追加] を選択します

    ユーザーにロールを割り当てる方法を示す Microsoft Entra 管理センターのスクリーンショット。

  2. ユーザーまたはグループを選択し、Split Experimentation ワークスペースに作成したロールのいずれかを選択します。

関連するコンテンツ