Azure DevOps OAuth 2.0 認証情報の設定

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:10分

    • OAuth 2.0 認証情報を作成し Azure DevOps それを使用して Azure DevOps インスタンスを接続します。

    OAuth 2.0 の代わりにベーシック認証情報を使用する場合は、このセクションをスキップし、次のいずれかのオプションを使用してオンボーディング Azure DevOps に進みます。

    Microsoft Entra でテナントを作成する

    Microsoft Entra でテナントを作成し、Azure DevOps (ADO) アプリを作成するために必要な権限を設定します。

    始める前に

    必要なロール: Azure DevOps のテナント作成者。

    このタスクについて

    テナントは組織を表し、内部および外部ユーザーの Microsoft Cloud サービスの特定のインスタンスを管理するのに役立ちます。

    ADO アプリを作成するためのアクセス権を持つ既存のテナントがある場合は、この手順を実行する必要はありません。テナントがない場合は、 Microsoft Entra でテナントを作成する必要があります。テナントには、ADO アプリを作成するためのアクセス権があります。

    手順

    1. Microsoft Entra ポータルで、[概要] > [テナントの管理] に移動します。
    2. [Create (作成)] を選択します。
    3. [人員構成] を選択し、[続行] を選択します。
    4. 次の情報を入力します。
      • [ 組織名 ] ボックスに目的の組織名を入力します。
      • 希望の初期ドメイン名を [初期ドメイン名 ] ボックスに入力します。
    5. [次へ: レビュー + 作成] を選択します。
    6. 入力した情報を確認し、情報が正しい場合は、左下隅にある [作成 ] を選択します。

      詳細については、 Microsoft のドキュメントを参照してください。

    Microsoft Entra でテナントにユーザーを追加する

    前の手順で作成したテナントに、admin ロールを含むユーザーを追加します。

    始める前に

    必要なロール:のユーザーアドミニストレーター Azure DevOps

    手順

    1. [Entra ID テナント Microsoft ] ページで、[テナントの詳細] セクションのユーザー数リンクを選択します。[テナントの詳細] セクションのユーザー
    2. [新しいユーザーの作成] > [新しいユーザーの作成] を選択します。
    3. [基本] タブで、次の詳細を入力します。
      表 : 1. [基本] タブのフィールド
      フィールド
      ユーザープリンシパル名 一意のユーザー名を入力し、@ 記号の後ろのメニューからドメインを選択します。
      メールニックネーム 入力したユーザープリンシパル名とは異なるメールニックネームを入力する必要がある場合は、[ ユーザープリンシパル名から派生 ] オプションをオフにして、メールニックネームを入力します。
      表示名 ユーザーの名前を入力します。
      Password (パスワード) ユーザーの初回サインイン時に使用するパスワードを入力します。[パスワードの自動生成] オプションをクリアして、別のパスワードを入力します
      アカウント有効 このオプションはデフォルトでオンになっています。クリアすると、新しいユーザーはサインインできなくなります。この設定は、ユーザーの作成後に変更できます。この設定は、従来のユーザー作成プロセスでは サインインのブロック と呼ばれていました。
    4. [次へ: プロパティ] を選択して、次のセクションを完了します。
      表 : 2. [プロパティ] タブのフィールド
      フィールド
      ID ユーザーの姓と名を入力します。ユーザータイプを [メンバー] または [ゲスト] に設定します。
      ジョブ情報 ユーザーの役職、部門、マネージャーなどのジョブ関連情報を追加します。
      連絡先 ユーザーに関連する連絡先情報を追加します。
      ペアレンタルコントロール K-12 学区などの組織では、ユーザーの年齢層を入力する必要がある場合があります。未成年者は12歳以下、大人以外は13〜18歳、大人は18歳以上です。年齢グループと親オプションによる同意の組み合わせによって、法務年齢グループの分類が決まります。Legal の年齢グループ分類により、ユーザーのアクセスと権限が制限される場合があります。
      設定 ユーザーのグローバルな場所を指定します。
    5. [次へ: 割り当て] を選択して、次のセクションを完了します。
    6. [割り当て] セクションで、 [+ ロールの追加 ] を選択します。
    7. 表示されるメニューで、一覧から グローバル管理者 ロールを選択し、[ 選択 ] ボタンを選択します。
    8. [ レビュー + 作成 ] ボタンを選択します。

      詳細については、 Microsoft のドキュメントを参照してください。

    Azure portal で組織を作成する

    アプリを作成するためのアクセス権を持つ新しいテナントに組織を作成します。

    始める前に

    必要なロール:グローバルアドミニストレーター Azure DevOps

    手順

    1. 前の手順で作成したユーザーを使用して Azure ポータルにログインします。
    2. [Azure DevOps 組織 (Azure DevOps Organizations)] > [自分の Azure DevOps 組織 (My Azure DevOps Organizations)] に移動します。
    3. [新しい組織を作成] を選択します。
    4. ADO 組織の名前と場所を入力し、[ 続行] を選択します。ADO 組織ページの作成

      この新しく作成された組織は、 Microsoft Entra でテナントを作成する トピックで作成されたテナントに接続されます。

    Azure DevOpsアプリの作成

    Azure DevOps (ADO) アプリを作成して構成し、必要な値をコピーして、ServiceNow インスタンスで OAuth 2.0 認証を有効にします。

    始める前に

    必要なロール:グローバルアドミニストレーター Azure DevOps

    手順

    1. Azure ポータルで、[アプリの登録] に移動します。
    2. [+ 新規登録] を選択します。
    3. [アプリの登録] ページで、表の説明に従ってアプリケーションの登録情報を入力します。
      表 : 3. [アプリの登録] ページ
      フィールド
      [Name (名前)] ユーザーに表示されるわかりやすいアプリケーション名を入力します。
      サポートされているアカウントの種類 この組織ディレクトリ内のアカウントのみを選択します (単一テナント)
      リダイレクト URL ServiceNow インスタンスの URL を入力します。
    4. [登録 (Register)] を選択します。
    5. 新しく作成されたアプリケーションで、左側のナビゲーションペインの [概要] ページから次の詳細をコピーします。
      • アプリケーション (クライアント) ID
      • ディレクトリー (テナント) ID
      ADO アプリの概要ページ
    6. 左側のナビゲーションペインにある [> 証明書とシークレットの管理 (Manage Certificates & secrets )] リンクを選択して、クライアントシークレットを追加します。
      詳細については、Microsoft ドキュメントの「 クライアントシークレットの追加 」および 「アプリケーションの登録 」トピックを参照してください。
    7. クライアントシークレットの値をコピーします。ADO アプリの [証明書とシークレット (Certificates & secrets)] セクション
    8. [ > API 権限の管理] に移動します。
    9. [+ アクセス許可の追加] を選択し、右側の [Microsoft API] タブを選択します。
    10. Azure DevOps を検索して選択し、 vso.project 権限を追加します。
    11. vso.project 権限を選択し、 [リソースアプリ ID ] の値をコピーします。[API 権限] 画面のリソースアプリ ID
      注:
      ここでコピーしたリソースアプリ ID の値は、アプリケーションレジストリの OAuth エンティティスコープに追加されます。

    OAuth プロバイダーとしてAzure DevOpsを登録

    Azure DevOps (ADO) アプリアカウントの構成中に生成された情報を使用し、Azure DevOps を OAuth プロバイダーとして登録して、インスタンスが OAuth 2.0 トークンを要求できるようにします。

    始める前に

    必要なロール:admin

    手順

    1. ServiceNow DevOps チェンジベロシティで、次の場所に移動します: All (すべて) > システム OAuth > アプリケーションレジストリー.
    2. [New (新規)] を選択します。
      OAuth アプリケーションの種類は?」というメッセージが表示されます。
    3. [サードパーティ OAuth プロバイダーに接続します] を選択します。
    4. フォームのフィールドに入力します。
      表 : 4. アプリケーションレジストリフォームのフィールド
      フィールド 説明
      名前 レコードを一意に識別する名前。たとえば、「 My ADO App Provider」と入力します。
      クライアント ID ADO アプリのクライアント ID (ヒント:ADO アプリの [概要 ] セクションで利用可能)。
      クライアントシークレット ADO アプリのクライアントシークレット (ヒント:ADO アプリの [証明書とシークレット ] セクションで利用可能)。
      デフォルトの権限許可タイプ アプリケーションレジストリに関連付けられた権限許可のタイプ。[クライアント認証情報] を選択します。
      認証 URL 次のように入力します。

      https://login.microsoftonline.com/<ディレクトリ (テナント) ID>oauth2/v2.0/authorize

      ここで、ディレクトリ (テナント) ID は、ADO アプリの [概要] セクションにある英数字の値です。
      トークン URL 次のように入力します。

      https://login.microsoftonline.com/<ディレクトリ (テナント) ID>oauth2/v2.0/token

      ここで、ディレクトリ (テナント) ID は、ADO アプリの [概要] セクションにある英数字の値です。
    5. 残りのフォームフィールドはそのままにします。
      ADO OAuth アプリレジストリページ
    6. フォームヘッダーを選択して長押し (または右クリック) し、[ 保存] を選択します。
      OAuth 認証情報が検証され、 リダイレクト URL が入力されます (ヒント:以前に ADO アプリの作成時に指定したリダイレクト URL と一致する必要があります)。
    7. [OAuth エンティティスコープ] 関連タブを選択します。
    8. OAuth スコープの値を <前の手順のステップ 11 でコピーしたリソースアプリ ID の値>/.defaultとして追加します。OAuth エンティティスコープ関連タブ

    組織およびプロジェクトレベルの設定を構成する

    アプリの組織レベルとプロジェクトレベルの設定を構成します。

    始める前に

    必要なロール: プロジェクト コレクション管理者 グループのメンバー または組織の所有者。

    手順

    1. Azure DevOpsポータルで組織の [組織設定] に移動します。
    2. [Users] を選択します。
    3. [ ユーザーまたはサービスプリンシパル ] フィールドで、前の手順で作成したアプリをリストに選択します。組織にアプリユーザーを追加
    4. ユーザーリストに戻り、アプリユーザーを選択します。
    5. [アクション] メニューを選択し、[アクセスを管理] を選択します。
    6. アプリでアクセスできるようにするプロジェクトを追加し、そのプロジェクトに プロジェクト管理者 ロールを割り当てます。
      注:
      リリース パイプラインまたはクラシック パイプラインが表示されない場合は、組織の [クラシック リリース パイプラインの作成を無効にする ] 設定がオフになっていることを確認します。
      組織のパイプライン設定
    7. プロジェクトの [プロジェクト設定 ] に移動します。
    8. [権限] を選択します。
      デフォルトでは、権限の下に 1 つのプロジェクトチームが作成されます。プロジェクトレベルの権限
    9. デフォルトのプロジェクトチームを選択し、[メンバー] タブに移動します。
    10. アプリユーザーを追加します。デフォルトプロジェクトにアプリユーザーを追加

    認証情報レコードの作成と OAuth トークンの取得

    認証情報レコードを作成し、OAuth トークンを取得します。

    始める前に

    必要なロール:admin、sn_devops.admin

    このタスクについて

    ADO OAuth 2.0 では、 ServiceNow のビルド、リリース、およびフィードに対して個別の認証情報レコードを作成する必要があります。

    手順

    1. 次のように移動する。 All (すべて) > 接続 & 認証情報 > 認証情報.
    2. [New (新規)] を選択します。
      「作成する認証情報のタイプは?」というメッセージが表示されます。
    3. [OAuth 2.0 認証情報] を選択します。
    4. フォームのフィールドに入力します。
      表 : 5. OAuth 2.0 認証情報フォームのフィールド
      フィールド 必要な値
      名前 レコードを一意に識別する名前。たとえば、「 My ADO APP ビルド認証情報」と入力します。
      アクティブ レコードを有効にするオプション。
      OAuth エンティティプロファイル アプリケーションレジストリに作成されたデフォルトの OAuth エンティティプロファイル。
    5. レコードを保存します
    6. OAuth トークンを生成するには、[ OAuth トークンの取得 ] 関連リンクを選択します。
    7. 手順を繰り返して、リリースとフィードの認証情報を作成します。