アクセス制限ガイド
Azure AD (Microsoft Entra ID) を使用して、開発者ポータルへのアクセスを特定のユーザーのみに制限する方法を解説します。
実現できること
以下の条件をすべて満たすユーザーのみが開発者ポータルにログインできるように制限します。
- Azure AD (Entra ID) にアカウントが存在する
- 管理者が事前にアクセスを許可(割り当て)している
必要な設定の概要
- 認証設定
ID プロバイダーとして Microsoft Entra ID を構成 - 割り当て必須化
エンタープライズアプリで「ユーザー割り当て」を必須に設定 - ユーザー割り当て
許可するユーザー/グループをアプリに割り当て
設定手順詳細
1
Microsoft Entra ID 認証の設定
開発者ポータルの認証基盤を Azure AD に切り替えます。
API Management インスタンスの「開発者ポータル」設定で、ID プロバイダーリストに Microsoft Entra ID を追加します。 これにより、Azure AD 上に「アプリの登録」が作成されます。
API Management > 開発者ポータル > ID プロバイダー > + 追加
公式ドキュメント: 認証の設定 2
ユーザー割り当ての必須化 (重要)
ここがアクセス制限の肝となる設定です。
Azure AD (Entra ID) の管理画面に移動し、ステップ1で作成された「エンタープライズアプリケーション」を探します。 「プロパティ」メニューから以下の設定を変更します。
割り当てが必要ですか? (Assignment required?)
はい (Yes)※ この設定を「はい」にすることで、明示的に許可されていないユーザーは、たとえ社内の Azure AD アカウントを持っていてもログインできなくなります。
3
ユーザーまたはグループの割り当て
アクセスを許可する対象を指定します。
同じエンタープライズアプリケーションの「ユーザーとグループ」メニューから、アクセスを許可したいユーザーやセキュリティグループを追加します。
推奨: グループでの管理
個別のユーザーを追加するのではなく、「APIM_Developers」のようなセキュリティグループを作成して割り当てると、運用が楽になります。
推奨される追加設定
匿名アクセスの無効化
開発者ポータルの設定で、匿名ユーザー(未サインイン)がコンテンツを閲覧できないように制限し、強制的にサインインページへリダイレクトさせることができます。
サインアップの無効化
ユーザーが勝手にアカウントを作成できないよう、従来の「ユーザー名/パスワード」によるサインアップ機能を無効化することを推奨します。