次の方法で共有

マネージド ID を使用して配信元に対する認証を行う (プレビュー)

Applies to: ✔️ Front Door Standard ✔️ Front Door Premium

Microsoft Entra ID によって提供されるマネージド ID を使用すると、Azure Front Door Standard/Premium インスタンスは、資格情報を管理することなく、Azure Blob Storage などの他の Microsoft Entra で保護されたリソースに安全にアクセスできます。 詳細については、「Azure リソースのマネージド ID とは」を参照してください。

Azure Front Door のマネージド ID を有効にし、マネージド ID に配信元に必要なアクセス許可を付与すると、Front Door はマネージド ID を使用して、指定されたリソースにアクセスするためのアクセス トークンを Microsoft Entra ID から取得します。 トークンが正常に取得されると、Front Door はベアラー スキームを使用して Authorization ヘッダー内のトークンの値を設定し、要求を配信元に転送します。 Front Door は、有効期限が切れるまでトークンをキャッシュします。

Note

この機能は現在、Front Door で Private Link が有効になっているオリジンではサポートされていません。

Azure Front Door では、次の 2 種類のマネージド ID がサポートされています:

  • System-assigned identity: This identity is tied to your service and is deleted if the service is deleted. それぞれのサービスで、システム割り当て ID を 1 つだけ設定できます。
  • User-assigned identity: This is a standalone Azure resource that can be assigned to your service. それぞれのサービスで、複数のユーザー割り当て ID を設定できます。

マネージド ID は、Azure サブスクリプションがホストされている Microsoft Entra テナントに固有です。 サブスクリプションが別のディレクトリに移動された場合は、ID を再作成して再構成する必要があります。

Prerequisites

マネージド ID の有効化

  1. 既存の Azure Front Door プロファイルに移動します。 Select Identity under Security in the left menu.

  2. Choose either a System assigned or User assigned managed identity.

    • System assigned - A managed identity tied to the Azure Front Door profile lifecycle.

    • User assigned - A standalone managed identity resource with its own lifecycle.

    System assigned

    1. Toggle the Status to On and select Save.

      システム割り当てマネージド ID 構成ページのスクリーンショット。

    2. Confirm the creation of a system managed identity for your Front Door profile by selecting Yes when prompted.

    User assigned

    ユーザー割り当てマネージド ID を使用するには、既に作成してある必要があります。 新しい ID を作成する手順については、「ユーザー割り当てマネージド ID の作成」を参照してください。

    1. In the User assigned tab, select + Add to add a user-assigned managed identity.

    2. ユーザー割り当てマネージド ID を検索して選択します。 Then select Add to attach it to the Azure Front Door profile.

    3. 選択したユーザー割り当てマネージド ID の名前が Azure Front Door プロファイルに表示されます。

      Front Door プロファイルに追加されたユーザー割り当てマネージド ID のスクリーンショット。

ID を配信元グループに関連付ける

Note

この関連付けは、以下の場合にのみ機能します。

  • 配信元グループに、プライベート リンクが有効になっている配信元が含まれていない。
  • 配信元グループ設定で、正常性プローブ プロトコルが [HTTPS] に設定されている。
  • ルート設定で、転送プロトコルが [HTTPS のみ] に設定されている。
  • ルール セットで、'ルート構成のオーバーライド' アクションを使用する場合の転送プロトコルが [HTTPS のみ] に設定されている。

  1. 既存の Azure Front Door プロファイルに移動し、配信元グループを開きます。

  2. 配信元が既に構成されている既存の配信元グループを選択します。

  3. Scroll down to the Authentication section.

  4. Enable Origin authentication.

  5. システム割り当てマネージド ID またはユーザー割り当てマネージド ID を選択します。

  6. Enter the correct scope within the Scope field.

  7. Click on Update.

    ID を配信元グループに関連付けるスクリーンショット。

オリジンリソースへのアクセス提供

  1. 配信元リソースの管理ページに移動します。 たとえば、配信元が Azure Blob Storage の場合は、そのストレージ アカウント管理ページに移動します。

Note

次の手順では、配信元が Azure Blob Storage であることを前提としています。 別のリソースの種類を使用している場合は、ロールの割り当て時に適切な ジョブ機能ロール を選択してください。 それ以外の場合、ほとんどのリソースの種類に関する手順は同じです。

  1. [アクセス制御 (IAM)] セクションに移動し、[追加] をクリックします。 ドロップダウン メニューから [ ロールの割り当ての追加] を選択します。 アクセス制御設定のスクリーンショット。
  2. [ロール] タブの [職務権限] で、一覧から適切なロール (例: ストレージ BLOB データ閲覧者) を選択し、[次へ] を選択します。 [ロールの割り当ての追加] の [ロール] タブのスクリーンショット。
  3. In the Members tab, under the Assign access to, choose Managed identity and then click on Select members. [ロールの割り当ての追加] の [メンバー] タブのスクリーンショット。
  4. [ マネージド ID の選択] ウィンドウが開きます。 Choose the subscription where your Front Door is located and under Managed identity dropdown, choose Front Door and CDN profiles. Under the Select dropdown, choose the managed identity created for your Front Door. Click on the Select button in the bottom.
  5. [ 確認して割り当てる ] を選択し、検証が完了した後に [ 確認と割り当て ] をもう一度選択します。

配信元認証を使用するときのヒント

  • 配信元グループの構成時にエラーが発生する場合は、以下の手順を実行します。
    • 正常性プローブ プロトコルが HTTPS に設定されていることを確認します。
    • ルート設定、ルート構成オーバーライド設定 (ルール セット内、どちらか一方または両方) で、転送プロトコルが [HTTPS のみ] に設定されていることを確認します。
    • 配信元グループ内にプライベート リンクが有効な配信元がないことを確認します。
  • 配信元からの応答に "アクセスが拒否されました" が含まれている場合は、配信元リソースにアクセスするための適切なロールがマネージド ID に割り当てられていることを確認します。
  • ストレージの SAS トークンからの移行: SAS トークンからマネージド ID に移行する場合は、ダウンタイムを回避するための段階的なアプローチに従ってください。 マネージド ID を有効にし、配信元に関連付け、SAS トークンの使用を停止します。
  • 配信元グループ設定で配信元認証を有効にした後は、Front Door ポータルの ID 設定から ID を直接無効化または削除したり、マネージド ID ポータルでユーザー割り当てマネージド ID を直接削除したりしないでください。 これを行うと、オリジン認証がすぐに失敗するようになります。 配信元認証機能の使用を停止したい場合や、ID を削除または無効化したい場合は、まず、配信元リソースの [アクセス制御 (IAM)] セクションでアクセス制限を無効化して、マネージド ID や Entra ID トークンなしで配信元にアクセスできるようにします。 その後、Front Door 配信元グループ設定で配信元認証を無効にします。 構成が更新されるまでしばらく待ってから、必要に応じて ID を削除または無効化にします。
  • クライアントが Authorization ヘッダーの下で既に独自のトークンを送信している場合、トークン値は AFD によって配信元認証トークンで上書きされます。 AFD でクライアント トークンを配信元に送信する場合は、サーバー変数 {http_req_header_Authorization} を使用して別のヘッダーの下にトークンを送信するように AFD ルールを構成できます。 別のヘッダーを介してクライアント トークンを配信元に送信するルールのスクリーンショット。
  • 配信元認証と AFD から Azure Key Vault への認証には、異なるマネージド ID を使用することをお勧めします。