Azureのログイン情報を取得する

Azureと連携するには、IncredibuildCloudのアクティベート時に次のログイン情報が必要です。

• TenantID

• 新しいAzureADアプリケーションのID

• クライアントシークレット

これらの詳細を生成するには、[GlobalAdministrator]、および[Owner]のロールが付与されたユーザーでこの記事の手順に従います。

注意：これらの手順は2020年に検証されたものですが、その後Azureのアプリケーションが変更されている可能性があります。

AzureADアプリケーションの作成

IncredibuildCloudでAzureプラットフォーム上のリソースを管理するには、AzureActiveDirectory(AD)アプリケーションを新規作成し、Azureリソースに対するアクセスと変更の権限をIncredibuildCloudに付与する必要があります。AzureActiveDirectoryアプリケーションの作成に関する詳細については、「Azureのドキュメント」を参照してください。

1. Azureポータルで[検索]ボックスに「Appregistrations」と入力します。

2. [Appregistrations]ページで、+［Newregistration］オプションをクリックします。

   

3. [RegisteranApplication]ページで、「名前」を入力し、」[SupportedAccountTypes]のデフォルト設定はそのままにしておきます。

   

4. 新しく登録したアプリケーションのページで次の値をコピーして適当な場所にメモしておきます。

   • Application(client)ID：これは新規作成したAzureADアプリケーションIDです。

   • Directory(tenant)ID:これはテナントIDです。

     

     これらの情報はIncredibuild Cloudをアクティベートする際に必要ですが、新規のアプリケーションを削除しない限りいつでもAzureポータルにアクセスし、この情報を取得することができます。

5. 同じページで、［AddanApplicationIDURI］オプションをクリックします。

   

6. 「ExposeanAPI」ページで[Addascope]のオプションをクリックします。

   

7. 「Addascope」ダイアログで次の手順を行います。

   

   1. 表示された文字列はそのままで[SaveandContinue]をクリックします。

   2. 注意:「api://...."」で始まるテキストは、単にデフォルトで生成されるGUIDです。このまま使用できますが、任意のURLを入力することもできます(「api://」「http://」のどちらでも)。

8. 2つ目の「Addascope」のダイアログボックスで、次のように入力します。

   

   • Scopename:「user_impersonation」と入力します。

   • 同意できるのは誰ですか?‐［Adminsandusers］を選択します。

   • Adminconsentdisplayname-「AccessIncredibuildCloudApp」と入力します。

   • Adminconsentdescription-「AllowtheapplicationtoaccessIncredibuildCloudApponbehalfofthesigned-inuser」と入力します。

   • Userconsentdisplayname-AccessIncredibuild CloudAppと入力します。

   • Userconsentdescription-AllowtheapplicationtoaccessIncredibuild CloudApponbehalfofthesigned-inuserと入力します。

   • State:[Enabled]を選択します。

9. 必要項目への入力の終了後、[Addscope]ボタンをクリックして新しいスコープを保存します。

10. ［Authentication］の画面を開きます。その後、[Addaplatform]のボタンをクリックします。

    

11. ［Configureplatforms］のダイアログボックスで、［Web］オプションを選択します。

    

12. ［ConfigureWeb］ダイアログで次の手順を行います。

    

    -RedirectURLs-ダミーのURLを入力します。-Implicitgrant-［IDtokens］チェックボックスを選択し、次に、［Configure］ボタンをクリックします。

クライアントシークレットの作成

新しいAzureアプリをAzureADで認証するにはクライアントシークレット(アプリケーションパスワード)が必要です。作成したクライアントシークレットはコピーして適当な場所にメモしておいてください。後で取得し直すことはできませんが、元の情報が見つからない場合は、新たにシークレットを作成する必要があります。

1. 「Certificates&secrets」ページを開きます。[+Newclientsecret]のオプションをクリックします。

   

2. ［Addaclientsecret］のダイアログで次の手順を行います。

   

   • Description-自由に入力してください。

   • Expires-［Never］のラジオボタンを選択します。

   次に、［Add]ボタンをクリックします。

3. Certificates&secretsページ-「Clientsecrets」セクションで、新しいアプリの［Value］列の内容をコピーしてください。

   

   重要:アクティベーションの手続き中、この「ClientSecret」「Value」を［Incredibuild Cloud-AzureLogin］ダイアログボックスに入力する必要があります。

1つ以上のカスタムAzureロールを作成する

ロールはアカウントでIncredibuildが持つ権限を定義します。クラウドの構成によって異なる権限が必要です。

1. 以下の選択肢から使用するオプションを決定してください。

   1. サブスクリプション全体に対して完全な権限を持つ単一のロールを使用します。

      fullPermissions.jsonファイルには、Incredibuildのすべてのユースケースに必要なすべての権限が含まれています。

   2. 異なるリソース グループで3つの異なるカスタム ロール セットを使用します。

      1. vnetPermissions.json：仮想ネットワークを含むリソース グループで必要

      2. nsgPermissions.json：ネットワーク セキュリティ グループを含むリソース グループで必要

      3. resourceManagementPermissions.json：Incredibuildヘルパーを含むリソース グループに必要

2. JSON形式で権限のセットをダウンロードします。

3. Azure ポータルで、検索ボックスに「Subscriptions」と入力します。

4. 「Subscriptions」ページで新しいアプリを割り当てるサブスクリプションを選択します。

   

5. 選択した「Subscriptions」ページで、［Accesscontrol(IAM)］を選択します。

6. 必要な権限ごとにロールを作成するには

   1. [Add]>[AddCustomRole]をクリックします。

      

   2. [StartfromJSON]をクリックし、このロールの権限を持つJSONを選択します。

      

   3. [AssignableScopes]にアクセスし、必要なサブスクリプションを選択します。

      

   4. [ReviewandCreate]をクリックします。

   5. 複数のロールを作成する場合、この手順を繰り返します。

アプリケーションにロールを割り当てる

単一のカスタム権限セットを使用している場合は、サブスクリプションに直接ロールを割り当てます。それ以外の場合は、必要に応じて個々のロールを関連するリソースグループに割り当てます。2つ目のオプションでは、各ロールに対して以下の手順を繰り返します。

1. 関連するリソース グループまたはサブスクリプションに移動します。

2. [Accesscontrol(IAM)]>[Add]>[Add Role Assignment]にアクセスしてください。

   

3. [Add role assignment]ダイアログボックスで、先ほど作成したカスタムロールを1つ選択します。

   

4. 先ほど作成したIncredibuildで使用するアプリケーションを選択します。

   

5. [Review and Assign]をクリックします。