Azure Data Lake Storage Gen1 では、認証に Microsoft Entra ID が使用されます。 Data Lake Storage Gen1 または Azure Data Lake Analytics で動作するアプリケーションを作成する前に、Microsoft Entra ID でアプリケーションの認証を行う方法を決めておく必要があります。 2 種類のオプションを使用できます。
- エンドユーザー認証 (この記事)
- サービス間の認証 (上のドロップダウンからこのオプションを選択します)
どちらのオプションでも、OAuth 2.0 トークンがアプリケーションに提供され、このトークンが Azure Data Lake Storage Gen1 または Azure Data Lake Analytics に対する各要求にアタッチされます。
この記事では、 エンド ユーザー認証用の Microsoft Entra ネイティブ アプリケーションを作成する方法について説明します。 サービス間認証用の Microsoft Entra アプリケーション構成の手順については、 Microsoft Entra ID を使用した Data Lake Storage Gen1 でのサービス間認証に関する記事を参照してください。
[前提条件]
Azure サブスクリプション。 「Azure 無料試用版を入手する」を参照してください。
サブスクリプション ID。 これは Azure Portal から取得できます。 たとえば、Data Lake Storage Gen1 アカウントのブレードから入手できます。
お使いの Microsoft Entra ドメインの名前。 Azure Portal の右上隅にマウスを置くことで取得できます。 次のスクリーンショットでは、ドメイン名は contoso.onmicrosoft.com され、角かっこ内の GUID はテナント ID です。
Azure テナント ID。 テナント ID を取得する方法については、「テナント ID を 取得する」を参照してください。
エンドユーザー認証
この認証メカニズムは、エンド ユーザーに Microsoft Entra ID 経由でアプリケーションにサインインしてもらう場合に推奨される方法です。 アプリケーションは、ログインしたエンド ユーザーと同じアクセス レベルで Azure リソースにアクセスできます。 エンド ユーザーは、アプリケーションのアクセスを維持するために、資格情報を定期的に入力する必要があります。
エンド ユーザーがサインインした結果、アプリケーションにアクセス トークンと更新トークンが与えられます。 アクセス トークンは、Data Lake Storage Gen1 または Data Lake Analytics に対して行われる要求ごとにアタッチされ、既定では 1 時間有効です。 更新トークンは、新しいアクセス トークンを取得するために使用でき、既定では最大 2 週間有効です。 エンド ユーザーのサインインには、2 つの異なる方法を使用できます。
OAuth 2.0 ポップアップの使用
アプリケーションで、エンド ユーザーが資格情報を入力できる OAuth 2.0 認証ポップアップをトリガーできます。 このポップアップは、必要であれば、Microsoft Entra の 2 要素認証 (2FA) プロセスでも機能します。
注
この方法は、Python または Java 用の Azure AD Authentication Library (ADAL) ではまだサポートされていません。
ユーザーの資格情報を直接渡す
アプリケーションで、ユーザーの資格情報を Microsoft Entra ID に直接提供できます。 この方法は、組織 ID のユーザー アカウントでのみ機能します。@outlook.com や @live.com で終わるアカウントを含む、個人や "Live ID" のユーザー アカウントには対応していません。 さらに、この方法は、Microsoft Entra の 2 要素認証 (2FA) を必要とするユーザー アカウントには対応しません。
この方法を使用するための要件
- Microsoft Entra ドメインの名前。 この要件は、この記事の前提条件で既に示されています。
- Microsoft Entra テナント ID。 この要件は、この記事の前提条件で既に示されています。
- Microsoft Entra ID ネイティブ アプリケーション
- Microsoft Entra ネイティブ アプリケーションのアプリケーション ID
- Microsoft Entra ネイティブ アプリケーションのリダイレクト URI
- 委任されたアクセス許可を設定する
手順 1: Active Directory ネイティブ アプリケーションを作成する
Microsoft Entra ネイティブ アプリケーションを作成し、Microsoft Entra ID を使用する Data Lake Storage Gen1 でのエンド ユーザー認証用に構成します。 手順については、「 Microsoft Entra アプリケーションの作成」を参照してください。
リンクの手順に従いながら、次のスクリーンショットに示すように、アプリケーションの種類として [ネイティブ ] を選択していることを確認します。
手順 2: アプリケーション ID とリダイレクト URI を取得する
アプリケーション ID を取得する方法については、「アプリケーション ID を取得する」を参照してください。
リダイレクト URI を取得するには、次の手順を実行します。
Azure portal で Microsoft Entra ID を選択し、[ アプリの登録] を選択し、作成した Microsoft Entra ネイティブ アプリケーションを見つけて選択します。
アプリケーションの [設定] ブレードで、[ リダイレクト URI] を選択します。
表示された値をコピーします。
手順 3: アクセス許可を設定する
Azure portal で Microsoft Entra ID を選択し、[ アプリの登録] を選択し、作成した Microsoft Entra ネイティブ アプリケーションを見つけて選択します。
アプリケーションの [設定] ブレードで、[ 必要なアクセス許可] を選択し、[ 追加] を選択します。
![[設定] ブレードのスクリーンショット。[リダイレクト U R I] オプションが強調表示され、[リダイレクト U R I] ブレードに実際の U R I が表示されています。](media/data-lake-store-end-user-authenticate-using-active-directory/aad-end-user-auth-set-permission-1.png)
[ API アクセスの追加 ] ブレードで、[ API の選択] を選択し、[ Azure Data Lake] を選択して、[選択] を 選択します。
![[API アクセスの追加] ブレードのスクリーンショット。[API の選択] オプションが強調表示され、[Azure Data Lake] オプションと [選択] オプションが強調表示された [API の選択] ブレードが表示されています。](media/data-lake-store-end-user-authenticate-using-active-directory/aad-end-user-auth-set-permission-2.png)
[ API アクセスの追加 ] ブレードで、[ アクセス許可の選択] を選択し、 Data Lake Store へのフル アクセス権を付与するチェック ボックスをオンにして、[選択] を 選択します。
![[アクセス許可の選択] オプションが強調表示された [API アクセスの追加] ブレードと、[Azure Data Lake サービスへのフル アクセス権を持つ] オプションと [選択] オプションが強調表示されている [アクセスの有効化] ブレードのスクリーンショット。](media/data-lake-store-end-user-authenticate-using-active-directory/aad-end-user-auth-set-permission-3.png)
[ 完了] を選択します。
最後の 2 つの手順を繰り返して、 Windows Azure サービス管理 API のアクセス許可も付与します。
次のステップ
この記事では、Microsoft Entra ネイティブ アプリケーションを作成し、.NET SDK、Java SDK、REST API などを使って作成するクライアント アプリケーションで必要な情報を収集しました。これで、最初に Microsoft Entra Web アプリケーションを使って Data Lake Storage Gen1 での認証を行ってから、ストアで他の操作を実行する方法について説明する、以下の記事に進むことができます。