バックアップ認証システムのアプリケーション要件
Microsoft Entra バックアップ認証システムを使用すると、サポートされているプロトコルとフローを使用するアプリケーションに回復性が提供されます。 バックアップ認証システムの詳細については、Microsoft Entra ID のバックアップ認証システムに関するページを参照してください。
保護のアプリケーション要件
アプリケーションは、特定の Azure 環境でサポートされているホスト名と通信し、バックアップ認証システムで現在サポートされているプロトコルを使用する必要があります。 Microsoft Authentication Library (MSAL) などの認証ライブラリを使用すると、バックアップ認証システムでサポートされている認証プロトコルを確実に使用できます。
バックアップ認証システムでサポートされているホスト名
| Azure 環境 | サポートされているホスト名 |
|---|---|
| Azure Commercial | login.microsoftonline.com |
| Azure Government | login.microsoftonline.us |
バックアップ認証システムでサポートされている認証プロトコル
OAuth 2.0 および OpenID Connect (OIDC)
一般的なガイダンス
Open Authorization (OAuth) 2.0 プロトコルまたは OIDC プロトコルを使用するすべてのアプリケーションは、回復性を確保するために、次のプラクティスに従う必要があります。
- アプリケーションで MSAL を使用するか、OpenID Connect および OAuth2 の仕様に厳密に準拠します。 Microsoft では、ご自分のプラットフォームとユース ケースに適した MSAL ライブラリを使用することをお勧めします。 これらのライブラリを使用すると、API と呼び出しパターンの使用がバックアップ認証システムでサポートされるようになります。
- アプリケーションでは、アクセス トークンの取得時に動的な同意ではなく、固定のスコープ セットが使用されます。
- アプリケーションでは、リソース所有者のパスワード資格情報の付与を使用していません。 どのクライアントの種類のバックアップ認証システムでも、この付与タイプはサポートされません。 Microsoft では、セキュリティと回復性を向上させるために、代替の付与フローに切り替えることを強くお勧めします。
- アプリケーションは UserInfo エンドポイントに依存していません。 その代わり、ID トークンの使用に切り替えることで、最大 2 つのネットワーク要求が排除され、バックアップ認証システム内で ID トークンの回復性に対する既存のサポートが使用されるため、待機時間が短縮されます。
ネイティブ アプリケーション
ネイティブ アプリケーションは、Web ブラウザーではなく、デスクトップまたはモバイル デバイスで直接実行されるパブリック クライアント アプリケーションです。 これらは、Microsoft Entra 管理センターまたは Azure portal でのアプリケーション登録でパブリック クライアントとして登録されます。
ネイティブ アプリケーションは、次のすべてが当てはまる場合に、バックアップ認証システムによって保護されます。
- アプリケーションでは、トークン キャッシュが少なくとも 3 日間保持されます。 ユーザーがアプリケーションを閉じた場合もトークン キャッシュを保持するためには、アプリケーションでデバイスのトークン キャッシュの場所、またはトークン キャッシュのシリアル化 API を使用する必要があります。
- アプリケーションでは、MSAL AcquireTokenSilent API を使用して、キャッシュされた更新トークンを使用してトークンを取得します。 ユーザーの操作が必須な場合、AcquireTokenInteractive API を使用した、バックアップ認証システムからのトークン取得が失敗する場合があります。
バックアップ認証システムでは、現在、デバイス認可付与はサポートされていません。
シングルページ Web アプリケーション
シングルページ Web アプリケーション (SPA) では、バックアップ認証システムでのサポートは制限されています。 暗黙的な許可フローを使用し、OpenID Connect ID トークンのみを要求する SPA は保護されます。 MSAL.js 1.x を使用するか、暗黙的な許可フローを直接実装するアプリのみが、この保護を使用できます。これは、2.x MSAL.js では暗黙的フローがサポートされていないためです。
バックアップ認証システムでは、現在、Proof Key for Code Exchange を使用した認可コード フローはサポートされていません。
Web アプリケーションとサービス
バックアップ認証システムでは、現在、機密クライアントとして構成されている Web アプリケーションとサービスはサポートされていません。 更新トークンとクライアント シークレットまたは証明書の資格情報を使用した認可コード付与フローとその後のトークン取得の保護は、現在サポートされていません。 OAuth 2.0 の On-Behalf-Of フローは現在サポートされていません。
SAML 2.0 シングル サインオン (SSO)
バックアップ認証システムは、Security Assertion Markup Language (SAML) 2.0 シングル サインオン (SSO) プロトコルを部分的にサポートしています。 SAML 2.0 ID プロバイダー (IdP) Initiated フローを使用するフローは、バックアップ認証システムによって保護されます。 サービス プロバイダー (SP) Initiated フローを使用するアプリケーションは、現時点ではバックアップ認証システムによって保護されていません。
バックアップ認証システムでサポートされているワークロード ID 認証プロトコル
OAuth 2.0
マネージド ID
マネージド ID を使用して Microsoft Entra アクセス トークンを取得するアプリケーションは保護されます。 Microsoft では、ほとんどのシナリオで、ユーザーの割り当てのマネージド ID を使用することをお勧めしています。 この保護はユーザー割り当てのマネージド ID とシステム割り当てのマネージド ID の両方に適用されます。
サービス プリンシパル
現在、バックアップ認証システムでは、クライアント資格情報の付与フローを使用したサービス プリンシパルベースのワークロード ID 認証はサポートされていません。 Microsoft では、保護が利用可能になったときにアプリケーションがバックアップ認証システムによって保護されるように、お使いのプラットフォームに適したバージョンの MSAL を使用することをお勧めします。