Azure AD を使用したアプリケーション アクセス制御の構成
MATLAB® Production Server™ の管理者は、Microsoft® Azure® AD を使用して、デプロイされたアプリケーションへのアクセスを特定のユーザーまたはユーザー グループのみに制限できます。アプリケーション アクセス制御を有効にするには、Azure AD の管理者と相談しながら、Azure AD を構成してアクセス制御ポリシーを指定します。
Azure Portal でのアプリケーションの登録
Azure AD をアプリケーション アクセス制御に使用するには、Azure ポータルでサーバー アプリケーションおよびクライアント アプリケーションを登録します。これらのアプリケーションは、ダッシュボード アクセス制御のために登録しているアプリケーションとは異なります。これらのアプリケーションは、MATLAB Production Server にデプロイされたアプリケーションや、MATLAB Production Server クライアント ライブラリを使用して作成されたクライアント アプリケーションには関連しません。
メモ
アプリケーションの登録プロセスは Azure によって決まり、変更される可能性があります。
Azure でのサーバー アプリケーションの登録
Azure portalにサインインします。
[Azure Active Directory] から、[アプリの登録] を選択し、[新規登録] をクリックします。
結果のペインで、アプリケーションの名前 (たとえば、
MATLAB Production Server App) を入力し、[登録] を選択します。登録したアプリケーションで、[API の公開] を選択します。
スコープの追加をクリックし、アプリケーションのスコープ情報を入力します。[Scope の追加] をクリックします。スコープの追加の詳細については、Microsoft Azure のドキュメンテーションを参照してください。以下の表は、スコープを追加するためのフィールドと入力する値をリストしています。
フィールド 値 スコープ名 名前を入力します (たとえば、
user_impersonation)。同意できるユーザー Admin and usersを選択します。管理者の同意の表示名 名前を入力します (たとえば、
Access MATLAB Production Server App)。管理者の同意の説明 説明を入力します (たとえば、
Allow the application to access MATLAB Production Server App on behalf of the signed-in user)。ユーザーの同意の表示名 名前を入力します (たとえば、
Access MATLAB Production Server App)。ユーザーの同意の説明 説明を入力します (たとえば、
Allow the application to access MATLAB Production Server App on behalf of the signed-in user)。状態 Enabledを選択します。左側のナビゲーション ペインで、[マニフェスト] をクリックします。表示された JSON で、
groupMembershipClaimsの値を"SecurityGroup"に設定します。[保存] をクリックします。
Azure でのクライアント アプリケーションの登録
Azure ポータルで、クライアント アプリケーションを登録します。クライアント アプリケーションは、リクエストをサーバーに送信するクラアントがアクセス トークンを生成するのに役立ちます。クライアント アプリケーションを "ネイティブ" アプリまたは "Web" アプリとして登録できます。クライアント アプリケーションをネイティブ アプリとして登録する場合、ユーザーは、ユーザー名とパスワードを使用してログインし、アクセス トークンを生成する必要があります。クライアント アプリケーションを Web アプリとして登録する場合、ユーザーは、ブラウザーを使用してシングル サインオンでログインし、アクセス トークンを生成する必要があります。
クライアント アプリケーションを登録するには、組織のセットアップに基づいて、Azure で上位の特権が必要になる可能性があります。
ネイティブ クライアントとしてのクライアント アプリケーションの登録
Azure portalにサインインします。
[Azure Active Directory] から、[アプリの登録] を選択し、[新規登録] をクリックします。
開いたペインで、次のアプリケーション登録情報を入力し、[登録] をクリックします。
フィールド 値 名前 名前を入力します (たとえば、
MATLAB Production Server Native Client)。リダイレクト URI パブリック クライアント/ネイティブ (モバイルとデスクトップ)を選択します。左側のナビゲーション ペインで、[マニフェスト] をクリックします。JSON で、
allowPublicClientの値をtrueに設定します。[保存] をクリックします。[API のアクセス許可] をクリックし、[アクセス許可の追加] をクリックします。
開いたペインで、[所属する組織で使用している API] をクリックします。
以前に登録した
MATLAB Production Server Appサーバー アプリケーションを検索します。開いたペインで、スコープ名 (たとえば、user_impersonation) を選択し、[アクセス許可の追加] をクリックします。
Web クライアントとしてのクライアント アプリケーションの登録
Azure portalにサインインします。
[Azure Active Directory] から、[アプリの登録] を選択し、[新規登録] をクリックします。
開いたペインで、次のアプリケーション登録情報を入力し、[登録] をクリックします。
フィールド 値 名前 名前を入力します (たとえば、
MATLAB Production Server Web Client)。リダイレクト URI Webを選択します。クライアント アプリケーションによって使用される有効なリダイレクト URI を入力します。左側のナビゲーション ペインで、[証明書とシークレット] を選択します。[クライアント シークレット] で、新しいクライアント シークレットを作成し、シークレットの値を保存します。
[API のアクセス許可] をクリックし、[アクセス許可の追加] をクリックして [所属する組織で使用している API] を選択します。
以前に登録した
MATLAB Production Server Appサーバー アプリケーションを検索します。開いたペインで、スコープ名 (たとえば、user_impersonation) を選択し、[アクセス許可の追加] をクリックします。
ID プロバイダーの構成
Azure ポータルでサーバー アプリケーションおよびクライアント アプリケーションを登録したら、ダッシュボードの [Application Access Control] タブで Azure AD の構成を作成します。[作成] をクリックし、[Azure AD] を選択します。
Azure ポータルで、所属する組織のテナント ID と、以前に登録したサーバー アプリケーションのアプリケーション ID を見つけます。ダッシュボードで、[Create Identity Provider for Application Access Control] の下にテナント ID とアプリケーション ID を入力します。
Azure portalにサインインします。
[Azure Active Directory] から、[プロパティ] を選択します。[Directory (tenant) ID] の値をコピーして、ダッシュボードの [Tenant ID] フィールドに貼り付けます。
[Azure Active Directory] から、[アプリの登録] を選択します。MATLAB Production Server に使用するアプリケーションを選択します (たとえば、
MATLAB Production Server App)。[アプリケーション (クライアント) ID] の値をコピーして、ダッシュボードの [Server App ID] フィールドに貼り付けます。ダッシュボードで、[作成] をクリックします。サーバーが Windows® バーチャル マシン上で実行されている場合は、値の保存に最大 30 秒かかることがあります。
アクセス制御ポリシー ルールの指定
アクセス制御ポリシー ルールを定義することで、特定のユーザー グループがアクセスできるアプリケーションを指定します。ルールを定義するには、ダッシュボードの [Application Access Control] タブで、[Access Control Policy] の下にある [ルールの追加] をクリックします。以下の値を指定します。
| フィールド | 値 |
|---|---|
| ルール ID | ルールの名前 |
| Description | ルールの説明 |
| Users | デプロイされたアプリケーションへのアクセスが許可される、Azure AD でセットアップされたユーザー名 |
| グループ | デプロイされたアプリケーションへのアクセスが許可される、Azure AD グループでセットアップされたグループのオブジェクト ID |
| アプリケーション | 指定されたユーザーおよびグループがアクセスできるアプリケーション。 すべてのアプリケーションを選択するには、 |
アプリケーション アクセス制御の有効化
ID プロバイダーを構成してアクセス制御ポリシー ルールを指定したら、ダッシュボードから [はい] オプションを選択して、ダッシュボード アクセス制御を有効にする必要があります。
アクセス トークンの生成
アプリケーション アクセス制御が有効になると、アクセス制御ポリシー ルールに指定されているユーザーはベアラー アクセス トークンを生成できます。登録されたクライアント アプリケーションがネイティブ アプリである場合、ユーザー名とパスワードまたは Windows 統合認証を使用してログインし、アクセス トークンを生成します。登録されたクライアント アプリケーションが Web アプリである場合、ブラウザーを使用してシングル サインオンでログインし、アクセス トークンを生成します。Microsoft ID プラットフォームの認証ライブラリ (Microsoft がサポートしているクライアント ライブラリまたは異なるプログラミング言語での互換性のあるクライアント ライブラリ) を使用してアクセス トークンを生成できます。詳細については、Microsoft のドキュメンテーションを参照してください。MATLAB Production Server RESTful API を使用してサーバーにリクエストを行う際に、このアクセス トークンを HTTP 認証ヘッダーで使用します。このヘッダーの形式は Authorization:Bearer <access token> です。
関連するトピック
You can also select a web site from the following list:
Americas
- América Latina (Español)
- Canada (English)
- United States (English)
Europe
- Belgium (English)
- Denmark (English)
- Deutschland (Deutsch)
- España (Español)
- Finland (English)
- France (Français)
- Ireland (English)
- Italia (Italiano)
- Luxembourg (English)
- Netherlands (English)
- Norway (English)
- Österreich (Deutsch)
- Portugal (English)
- Sweden (English)
- Switzerland
- United Kingdom (English)