ADLS Gen2¶
サポート対象の認証¶
- OAuth
- Azureサービスプリンシパル
OAuth¶
DataRobotアプリケーションをAzureに登録¶
Microsoft IDプラットフォームが、OAuth 2.0認証および承認サービスを、アプリケーションとそのユーザーに提供するには、関連するパラメーターが設定されたAzureポータルに、アプリケーションが登録されている必要があります。
この手順が完了すると、DataRobotでの設定に必要な以下の情報が表示されます。
- クライアントID
- クライアントのシークレット
- スコープ
- ロールベースのアクセス制御用に適切に設定されたエンドユーザー権限
DataRobotアプリケーションをAzureポータルに登録し、そのパラメーターを設定するには、 Microsoft Entraドキュメントの指示に従います。
- サポートされているアカウントの種類で、任意の組織ディレクトリ内のアカウントと、個人用のMicrosoftアカウント、または任意の組織ディレクトリ内のアカウントを選択します。
- 最初の登録が完了したら、概要ページのアプリケーションID(クライアントID)をコピーします。
- リダイレクトURIを設定します。 プラットフォームの構成で、Webを選択し、リダイレクトURIを次のように入力します。
https://<host>/account/adls/adls_oauth_authz_return
(`https://app.datarobot.com/account/adls/adls_oauth_authz_returnなど)。 最初の部分は、DataRobotアプリケーションをインストールした場所です。 -
クライアントシークレットを設定します。 証明書とシークレットで、クライアントシークレットタブを選択し、新しいクライアントシークレットをクリックします。 クライアントシークレット値をコピーします(後でコピーすることはできません)。
備考
各クライアントシークレットには有効期限があります。 OAuthの停止を回避するために、定期的に新しいクライアントシークレットを作成します。 新しいクライアントシークレットが作成されたら、関連付けられたすべての資格情報を更新する必要があります。
-
権限の設定(範囲):
- Azureポータルアプリケーションの登録で、DataRobotアプリケーションに移動します。
- 管理の左側パネルで、API権限 > 権限を追加を選択します。
- Azure Data Lakeを選択し、権限の委譲をクリックし、Data Lakeサービスにフルアクセスするの横にあるボックスを選択します。 次に、権限を追加をクリックします。 Azure Data Lakeが、権限でリストされるようになりました。
- Azure Data Lakeの下で、User_impersonationをクリックします。 表示されるパネルの最初のURLをコピーします。これがスコープです。
ユーザーが、ストレージアカウント内のデータに既にアクセスできる場合、 ストレージアカウントへのアクセスを設定をスキップできます。
ストレージアカウントへのアクセスを設定¶
DataRobotアプリケーションが、ユーザーに代わってストレージアカウントのファイルまたはオブジェクトにアクセスできるようにするには、最初にストレージアカウントのファイルおよびオブジェクトへのアクセス権が、ユーザーに付与される必要があります。 Azureロールベースのアクセス制御(RBAC)が推奨されます。 詳細については、 Microsoft Azureのドキュメントを参照してください。
RBACを設定するには、次のパラメーターを使用して、 Microsoft Azureのドキュメントの指示に従います。
- ステップ3:適切なロールの選択では、Storage Blob Data Readerを選択します。
- ステップ4:アクセスが必要なユーザーの選択では、アクセスを許可するユーザーまたはグループを選択します。
アプリケーションをパブリッシャー検証済みとしてマーク¶
DataRobotアプリケーションを、 Microsoft Entraドキュメントに記載されている手順を使用して、パブリッシャー検証済みとしてマークします。
Azureサービスプリンシパル¶
DataRobotアプリケーションをAzureに登録¶
Azureサービスプリンシパルアカウントをサポートするには、Azureポータルで、DataRobotアプリケーションを作成して登録し、その権限を設定する必要があります。
この手順が完了すると、DataRobotでの設定に必要な以下の情報が表示されます。
- クライアントID
- クライアントのシークレット
- テナントID
- ロールベースのアクセス制御用に適切に設定されたサービスプリンシパル権限
DataRobotアプリケーションをAzureポータルに登録し、そのパラメーターを設定するには、 Microsoft Entraドキュメントの指示に従います。
備考
リダイレクトURIの設定は、サービスプリンシパル接続ではオプションです。
- サポートされているアカウントの種類で、この組織のディレクトリのみのアカウントを選択します。 権限を割り当てるには、アプリケーション名が必要であることにご注意ください。
- 最初の登録が完了したら、概要ページのアプリケーションID(クライアントID)およびディレクトリID(テナントID)をコピーします。
- アプリケーションにロールを割り当てます。 ロール名をStorage Blob Data Readerに設定します。 ストレージアカウントレベルで権限を設定する場合、適切なストレージアカウントを選択し、指示に従います。
-
クライアントシークレットを設定します。 証明書とシークレットで、クライアントシークレットタブを選択し、新しいクライアントシークレットをクリックします。 クライアントシークレット値をコピーします(後でコピーすることはできません)。
備考
各クライアントシークレットには有効期限があります。 OAuthの停止を回避するために、定期的に新しいクライアントシークレットを作成します。 新しいクライアントシークレットが作成されたら、関連付けられたすべての資格情報を更新する必要があります。
DataRobotでの接続の設定¶
DataRobotでADLS Gen2に接続するには(この例ではサービスプリンシパルを使用します):
- ワークベンチを開き、ユースケースを選択します。
- データソースに接続する手順に従ってください。
- Azureストレージアカウント名(一意のAzure URLのサブドメイン名)を入力します。
-
認証で新しい資格情報をクリックし、認証方法を選択します。 次に、前のセクションで取得した 必要なパラメーターと、一意の表示名を入力します。 このデータソースへの資格情報をすでに追加している場合は、保存済みの資格情報から資格情報を選択できます。
-
保存をクリックします。
必須パラメーター¶
以下の表に、ADLS Gen2との接続を確立するために最低限必要なフィールドを示します。
必須フィールド | 説明 | 備考 |
---|---|---|
Azureストレージアカウント名 | Azureストレージアカウントの一意の名前。これには、すべてのAzure Storageデータオブジェクトが含まれます。 | Microsoftドキュメント |
クライアントID | Microsoft IDプラットフォーム内のアプリケーションを識別する一意の値。 | Microsoftドキュメント |
クライアントのシークレット | Web APIにアクセスする秘密のクライアントアプリケーションで使用される資格情報。 | Microsoftドキュメント |
スコープ | APIにアクセスする承認されたユーザーとクライアントアプリケーションのWeb APIリソースへの権限ベースのアクセス。 | Microsoftドキュメント |
必須フィールド | 説明 | 備考 |
---|---|---|
Azureストレージアカウント名 | Azureストレージアカウントの一意の名前。これには、すべてのAzure Storageデータオブジェクトが含まれます。 | Microsoftドキュメント |
クライアントID | アプリケーションを識別する一意の値。 | Microsoftドキュメント |
クライアントのシークレット | Web APIにアクセスする秘密のクライアントアプリケーションで使用される資格情報。 | Microsoftドキュメント |
AzureテナントID | Microsoft Entraテナントの一意の識別子で、これは組織を表します。 | Microsoftドキュメント |
オプションパラメーター
「ファイルシステム名」および「データストアのルートディレクトリ」は、オプションパラメーターです。 指定した場合、DataRobotから直接、指定されたファイルシステムまたはルートディレクトリ内のファイルとフォルダを参照できます。
機能に関する注意事項¶
DataRobotでADLS Gen2に接続する場合、以下の点に注意してください。
-
ADLS Gen2コネクターは以下をサポートしていません。
- ワークベンチでのデータラングリング
- バッチ予測
- 特徴量探索