Azure Digital Twins で使用するアプリ登録を作成する

Azure portal 上で Microsoft Entra ID に移動します (このリンクを使用するか、ポータルの検索バーを使って検索できます)。 サービス メニューから [アプリの登録]、[+ 新しい登録] の順に選択します。

以下の [アプリケーションの登録] ページで、要求される次の値を入力します。

• 名前: 登録と関連付けるための Microsoft Entra アプリケーションの表示名。
• サポートされているアカウントの種類: [この組織ディレクトリのアカウントのみ (既定のディレクトリのみ - シングル テナント)] を選択します。

完了したら、[登録] ボタンを選択します。

登録の設定が完了すると、ポータルによって詳細ページにリダイレクトされます。

まず、アプリの登録が Azure Digital Twins API にアクセスするために必要なサービス情報を含むマニフェスト ファイルを作成します。 その後、このファイルを CLI コマンドに渡して登録を作成します。

マニフェストを作成する

コンピューターに manifest.json という名前の新しい .json ファイルを作成します。 次のテキストをファイルにコピーします。

[
	{
		"resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0",
		"resourceAccess": [
			{
				"id": "4589bd03-58cb-4e6c-b17f-b580e39652f8",
				"type": "Scope"
			}
		]
	}
]

0b07f429-9f4b-4714-9392-cc5e8e80c8b0静的な値は、Azure Digital Twins サービス エンドポイントのリソース ID であり、アプリの登録で Azure Digital Twins API にアクセスする必要があります。

完成したファイルを保存します。

Cloud Shell ユーザー: マニフェストのアップロード

このチュートリアルで Azure Cloud Shell を使用している場合は、アプリの登録を構成するときに Cloud Shell コマンドでアクセスできるように、作成したマニフェスト ファイルを Cloud Shell にアップロードする必要があります。 Azure CLI のローカル インストールを使用している場合は、次の手順「作成コマンドを実行する」に進むことができます。

ファイルをアップロードするには、ブラウザーで Cloud Shell ウィンドウに移動します。 [ファイルのアップロード/ダウンロード] アイコンを選択し、[アップロード] を選択します。

コンピューター上の manifest.json ファイルに移動し、[開く] を選びます。 これにより、Cloud Shell ストレージのルートにファイルがアップロードされます。

作成コマンドを実行する

このセクションでは、CLI コマンドを実行して、次の設定でアプリの登録を作成します。

• 任意の名前
• 既定のディレクトリ内のアカウントでのみ使用できる (シングル テナント)
• http://localhost の Web 応答 URL
• Azure Digital Twins API に対する読み取り/書き込みアクセス許可

アプリの登録を作成するには、次のコマンドを実行します。 Cloud Shell を使用している場合、manifest.json ファイルのパスは @manifest.json になります。

az ad app create --display-name <app-registration-name> --sign-in-audience AzureADMyOrg --required-resource-accesses "manifest.json"

コマンドの出力は、作成したアプリの登録に関する情報です。

成功を確認する

Azure Digital Twins のアクセス許可が付与されたことを確認するには、作成コマンドの、requiredResourceAccess の下にある出力で次のフィールドを探します。 値が次の値と一致することを確認します。

• resourceAccess > id は 4589bd03-58cb-4e6c-b17f-b580e39652f8
• resourceAppId は 0b07f429-9f4b-4714-9392-cc5e8e80c8b0

クライアント ID とテナント ID の値は、Azure portal のアプリ登録の詳細ページから収集できます。

実際のページに表示される、アプリケーション (クライアント) ID と ディレクトリ (テナント) ID をメモしておきます。

アプリ ID はaz ad app create実行した コマンドの出力内で確認できます (あるいは az ad app show を使用して再度情報を表示することもできます)。

結果内で appId を探します。

az account tenant list コマンドを使用して、シェル内でテナント ID を表示できます。

Azure portal のアプリの登録ページから開始します。

1. 登録のメニューから [証明書とシークレット] を選択して、[+ 新しいクライアント シークレット] を選択します。

   

2. [説明] と [有効期限] に必要な値を入力して、[追加] を選択します。

   

3. [証明書とシークレット] ページの [有効期限] および [値] フィールドにクライアント シークレットが表示されていることを確認します。

4. 後で使用するので [シークレット ID] と [値] を記録しておきます ([コピー] アイコンを使用してクリップボードにコピーすることもできます)。

   

アプリ登録のクライアント シークレットを作成するには、 前の手順で収集したアプリ登録のクライアント ID 値が必要です。 新しいシークレットを作成するには、次の CLI コマンドでクライアント ID 値を使用します。

az ad app credential reset --id <client-ID> --append

このコマンドに省略可能なパラメーターを追加して、資格情報の説明、終了日、その他の詳細を指定することもできます。 このコマンドとそのパラメーターの詳細については、az ad app credential reset のドキュメントを参照してください。

このコマンドの出力は、作成したクライアント シークレットに関する情報です。

認証にクライアント シークレットが必要な場合に使用するために、password の値をコピーします。

登録のロールの割り当てを作成するには、次の手順に従います。

1. Azure portal 上の Azure Digital Twins インスタンスのページを開きます。

2. [アクセス制御 (IAM)] を選択します。

3. [追加]>[ロールの割り当ての追加] を選択して、[ロールの割り当ての追加] ページを開きます。

4. 適切なロールを割り当てます。 詳細な手順については、「Azure portal を使用して Azure ロールを割り当てる」を参照してください。

   設定	値
   役割	必要に応じて選択する
   メンバーにアクセス権を割り当てる >	ユーザー、グループ、またはサービス プリンシパル
   メンバー > メンバー	[+ メンバーを選択]、次にアプリ登録の名前を検索する

   

   

   ロールが選択されたら、 確認して割り当てます 。

ロールの割り当てを確認する

[アクセス制御 (IAM)] > [ロールの割り当て] の下で設定したロールの割り当てを確認できます。

アプリの登録は、割り当てたロールと共にリストに表示されます。

az dt role-assignment create コマンドを使用してロールを割り当てます (Azure サブスクリプションに十分なアクセス許可が必要です)。 このコマンドには、割り当てるロールの名前、Azure Digital Twins インスタンスの名前、アプリの登録の名前またはオブジェクト ID を渡す必要があります。

az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<name-or-ID-of-app-registration>" --role "<appropriate-role-name>"

このコマンドの結果は、アプリ登録用に作成されたロールの割り当てに関する情報を出力します。

ロールの割り当てをさらに確認するには、Azure portal で検索します (Portal の手順タブに切り替えます)。

アプリ登録のポータル ページで、メニューから [API のアクセス許可] を選択します。 以下のアクセス許可ページで、[+ アクセス許可の追加] ボタンを選択します。

次の [API アクセス許可の要求] ページで、[所属する組織で使用している API] タブに切り替えて、"Azure digital twins" を検索します。 検索結果から Azure Digital Twins を選択して、Azure Digital Twins API に対するアクセス許可の割り当てを続けます。

次に、これらの API に付与するアクセス許可を選択します。 [Read (1)]\(読み取り (1)\) アクセス許可を展開して、[Read.Write]\(読み取り.書き込み\) と示されたチェック ボックスをオンにし、このアプリ登録に読み取りおよび書き込みのアクセス許可を付与します。

完了したら、[アクセス許可の追加] を選択します。

API のアクセス許可を確認する

[API のアクセス許可] ページで、Read.Write のアクセス許可が反映された Azure Digital Twins のエントリがあることを確認します。

また、アプリ登録の manifest.json 内で Azure Digital Twins への接続を検証できます。これは、API のアクセス許可を追加したときに、Azure Digital Twins 情報によって自動的に更新されました。

これを行うには、メニューから [マニフェスト] を選択して、アプリ登録のマニフェスト コードを表示します。 コード ウィンドウの一番下までスクロールし、requiredResourceAccess の下の次のフィールドと値を探します。

• "resourceAppId": "0b07f429-9f4b-4714-9392-cc5e8e80c8b0" (この値は、Azure Digital Twins サービス エンドポイントのリソース ID です)。
• "resourceAccess" > "id": "4589bd03-58cb-4e6c-b17f-b580e39652f8" (この値は、Azure Digital Twins の Read.Write 委任されたアクセス許可のアクセス許可 ID です)。

これらの値は、次のスクリーンショットに示されています。

これらの値がない場合は、API アクセス許可の追加に関するセクションの手順を再試行してください。

CLI を使用している場合は、「登録を作成する」手順の一環として、API のアクセス許可が前に設定されています。

Azure portal を使用して確認できるようになりました (Portal の指示タブに切り替えます)。

サブスクリプションの所有者または管理者が行う必要がある可能性のある一般的なアクティビティを次に示します。 これらの操作は、Azure portal の Microsoft Entra アプリの登録ページから実行できます。

• アプリ登録に対する管理者の同意を付与する。 組織では、サブスクリプション内のすべてのアプリ登録について、Microsoft Entra ID で 管理者の同意が グローバルに有効になっている場合があります。 その場合、アプリの登録が有効になるように、アプリ登録の API アクセス許可 ページで、所有者/管理者が会社に対してこのボタンを選択する必要があります。

  

  • 同意が正常に付与された場合は、Azure Digital Twins のエントリに [(ユーザーの会社) に付与されました] の [状態] 値が表示されます。

  

• パブリック クライアント アクセスをアクティブ化する

• Web およびデスクトップへのアクセスに特定の応答 URL を設定する

• 暗黙の OAuth2 認証フローを許可する

サブスクリプションの所有者または管理者が行う必要がある可能性のある一般的なアクティビティを次に示します。

• アプリ登録に対する管理者の同意を付与する。 組織では、サブスクリプション内のすべてのアプリ登録について、Microsoft Entra ID で 管理者の同意が グローバルに有効になっている場合があります。 その場合、所有者/管理者は、より多くの委任されたアクセス許可またはアプリケーションアクセス許可を付与する必要がある場合があります。
• 登録の create または update コマンドに --set publicClient=true を追加して、パブリック クライアント アクセスをアクティブ化する。
• --reply-urls パラメーターを使用して、Web およびデスクトップへのアクセスに特定の応答 URL を設定する。 az ad コマンドでこのパラメーターを使用する方法の詳細については、az ad app のドキュメントを参照してください。
• --oauth2-allow-implicit-flow パラメーターを使用して、暗黙的な OAuth2 認証フローを許可する。 az ad コマンドでこのパラメーターを使用する方法の詳細については、az ad app のドキュメントを参照してください。