Skip to content
For Self-Managed AI Platform users running v11.1, see the on-premise platform documentation
リファレンスドキュメント > データ > サポートされるデータストア > ADLS Gen2

ADLS Gen2

サポートされている認証

  • OAuth
  • サービスプリンシパル
  • 共有アクセス署名(SAS)
  • 接続文字列

OAuth

DataRobotアプリケーションをAzureに登録

Microsoft IDプラットフォームが、OAuth 2.0認証および承認サービスを、アプリケーションとそのユーザーに提供するには、関連するパラメーターが設定されたAzureポータルに、アプリケーションが登録されている必要があります。

この手順が完了すると、DataRobotでの設定に必要な以下の情報が表示されます。

  • クライアントID
  • クライアントシークレット
  • スコープ
  • ロールベースのアクセス制御用に適切に設定されたエンドユーザー権限

DataRobotアプリケーションをAzureポータルに登録し、そのパラメーターを設定するには、 Microsoft Entraドキュメントの指示に従います。

  1. サポートされているアカウントの種類で、任意の組織ディレクトリ内のアカウントと、個人用のMicrosoftアカウント、または任意の組織ディレクトリ内のアカウントを選択します。
  2. 最初の登録が完了したら、概要ページのアプリケーションID(クライアントID)をコピーします。
  3. リダイレクトURIを設定しますプラットフォームの構成で、Webを選択し、リダイレクトURIを次のように入力します:https://<host>/account/adls/adls_oauth_authz_returnhttps://app.datarobot.com/account/adls/adls_oauth_authz_returnなど)。 最初の部分は、DataRobotアプリケーションをインストールした場所です。

  4. クライアントシークレットを設定します証明書とシークレットで、クライアントシークレットタブを選択し、新しいクライアントシークレットをクリックします。 クライアントシークレット値をコピーします(後でコピーすることはできません)。

    備考

    各クライアントシークレットには有効期限があります。 OAuthの停止を回避するために、定期的に新しいクライアントシークレットを作成します。 新しいクライアントシークレットが作成されたら、関連付けられたすべての資格情報を更新する必要があります。

  5. 権限の設定(範囲):

    1. Azureポータルアプリケーションの登録で、DataRobotアプリケーションに移動します。
    2. 管理の左側パネルで、API権限 > 権限を追加を選択します。
    3. Azure Data Lakeを選択し、権限の委譲をクリックし、Data Lakeサービスにフルアクセスするの横にあるボックスを選択します。 次に、権限を追加をクリックします。 Azure Data Lakeが、権限でリストされるようになりました。
    4. Azure Data Lakeの下で、User_impersonationをクリックします。 表示されるパネルの最初のURLをコピーします。これがスコープです。

ユーザーが、ストレージアカウント内のデータに既にアクセスできる場合、 ストレージアカウントへのアクセスを設定をスキップできます。

ストレージアカウントへのアクセスを設定

DataRobotアプリケーションが、ユーザーに代わってストレージアカウントのファイルまたはオブジェクトにアクセスできるようにするには、最初にストレージアカウントのファイルおよびオブジェクトへのアクセス権が、ユーザーに付与される必要があります。 Azureロールベースのアクセス制御(RBAC)が推奨されます。 詳細については、 Microsoft Azureのドキュメントを参照してください。

RBACを設定するには、次のパラメーターを使用して、 Microsoft Azureのドキュメントの指示に従います。

アプリケーションをパブリッシャー検証済みとしてマーク

DataRobotアプリケーションを、 Microsoft Entraドキュメントに記載されている手順を使用して、パブリッシャー検証済みとしてマークします。

サービスプリンシパル

DataRobotアプリケーションをAzureに登録

Azureサービスプリンシパルアカウントをサポートするには、Azureポータルで、DataRobotアプリケーションを作成して登録し、その権限を設定する必要があります。

この手順が完了すると、DataRobotでの設定に必要な以下の情報が表示されます。

  • クライアントID
  • クライアントシークレット
  • テナントID
  • ロールベースのアクセス制御用に適切に設定されたサービスプリンシパル権限

DataRobotアプリケーションをAzureポータルに登録し、そのパラメーターを設定するには、 Microsoft Entraドキュメントの指示に従います。

備考

リダイレクトURIの設定は、サービスプリンシパル接続ではオプションです。

  1. サポートされているアカウントの種類で、この組織のディレクトリのみのアカウントを選択します。 権限を割り当てるには、アプリケーション名が必要であることにご注意ください。
  2. 最初の登録が完了したら、概要ページのアプリケーションID(クライアントID)およびディレクトリID(テナントID)をコピーします。
  3. アプリケーションにロールを割り当てます。 ロール名をStorage Blob Data Readerに設定します。 ストレージアカウントレベルで権限を設定する場合、適切なストレージアカウントを選択し、指示に従います。

  4. クライアントシークレットを設定します証明書とシークレットで、クライアントシークレットタブを選択し、新しいクライアントシークレットをクリックします。 クライアントシークレット値をコピーします(後でコピーすることはできません)。

    備考

    各クライアントシークレットには有効期限があります。 OAuthの停止を回避するために、定期的に新しいクライアントシークレットを作成します。 新しいクライアントシークレットが作成されたら、関連付けられたすべての資格情報を更新する必要があります。

共有アクセス署名

共有アクセス署名(SAS)認証方式では、特定のリソースに対して一定期間アクセス権が付与されます。

SASトークンの生成

AzureでSASトークンを生成するには:

  1. Azureポータルを開きます。 アクセスを許可したいコンテナが含まれるAzureストレージアカウントが必要となります。
  2. コンテナの右側にあるアクションメニューをクリックし、SASの生成を選択します。
  3. アクセス許可ドロップダウンを開き、読み取り一覧表示を選択します。 これら2つの権限は必須ですが、それ以外の権限はすべて任意です。
  4. SASトークンとURLを生成をクリックします。
  5. Blob SASトークンをコピーし、DataRobotでのセットアップに進みます。

SASの使用の詳細については、Microsoftのドキュメントを参照してください。

接続文字列

接続文字列には、DataRobotからADLS Gen2のデータにアクセスするために必要な認可情報が含まれています。

接続文字列の例を以下に示します。

DefaultEndpointsProtocol=https;AccountName=AZ_BLOB_STORAGE_ACCOUNT_NAME;AccountKey=AZ_BLOB_STORAGE_ACCOUNT_KEY;EndpointSuffix=core.windows.net

Azure Storageの接続文字列の設定に関する詳細については、Microsoftのドキュメントを参照してください。

DataRobotでの接続の設定

DataRobotでADLS Gen2に接続するには(この例ではサービスプリンシパルを使用します):

  1. ワークベンチを開き、ユースケースを選択します。
  2. データソースに接続する手順に従ってください。
  3. Azureストレージアカウント名(一意のAzure URLのサブドメイン名)を入力します。

  4. 認証新しい資格情報をクリックし、認証方法を選択します。 次に、前のセクションで取得した 必要なパラメーターと、一意の表示名を入力します。 このデータソースへの資格情報をすでに追加している場合は、保存済みの資格情報から資格情報を選択できます。

  5. 保存をクリックします。

必須パラメーター

以下の表に、ADLS Gen2との接続を確立するために最低限必要なフィールドを示します。

必須フィールド 説明 備考
Azureストレージアカウント名 Azureストレージアカウントの一意の名前。これには、すべてのAzure Storageデータオブジェクトが含まれます。 Microsoftドキュメント
クライアントID Microsoft IDプラットフォーム内のアプリケーションを識別する一意の値。 Microsoftドキュメント
クライアントシークレット Web APIにアクセスする秘密のクライアントアプリケーションで使用される資格情報。 Microsoftドキュメント
スコープ APIにアクセスする承認されたユーザーとクライアントアプリケーションのWeb APIリソースへの権限ベースのアクセス。 Microsoftドキュメント

オプションパラメーター

「ファイルシステム名」および「データストアのルートディレクトリ」は、オプションパラメーターです。 指定した場合、DataRobotから直接、指定されたファイルシステムまたはルートディレクトリ内のファイルとフォルダを参照できます。

必須フィールド 説明 備考
Azureストレージアカウント名 Azureストレージアカウントの一意の名前。これには、すべてのAzure Storageデータオブジェクトが含まれます。 Microsoftドキュメント
クライアントID アプリケーションを識別する一意の値。 Microsoftドキュメント
クライアントシークレット Web APIにアクセスする秘密のクライアントアプリケーションで使用される資格情報。 Microsoftドキュメント
AzureテナントID Microsoft Entraテナントの一意の識別子で、これは組織を表します。 Microsoftドキュメント

オプションパラメーター

「ファイルシステム名」および「データストアのルートディレクトリ」は、オプションパラメーターです。 指定した場合、DataRobotから直接、指定されたファイルシステムまたはルートディレクトリ内のファイルとフォルダを参照できます。

必須フィールド 説明 備考
Azureストレージアカウント名 Azureストレージアカウントの一意の名前。これには、すべてのAzure Storageデータオブジェクトが含まれます。 Microsoftドキュメント
SASトークン 一定期間、特定のAzureコンテナへのアクセス権を付与するトークン。 Microsoftドキュメント
ファイルシステム名 アクセスを許可するAzureコンテナの名前。 Microsoftドキュメント
必須フィールド 説明 備考
Azureの接続文字列 Azure Storageアカウント内のデータにアクセスするために必要な認可情報を含む、一意の文字列。 Microsoftドキュメント

機能に関する注意事項

DataRobotでADLS Gen2に接続する場合、以下の点に注意してください。

  • ADLS Gen2コネクターは以下をサポートしていません。

    • ワークベンチでのデータラングリング
    • バッチ予測
    • 特徴量探索