ネイティブ認証のチャレンジ型
適用対象: 従業員テナント 外部テナント (詳細情報)
ネイティブ認証では、次の 2 つの認証方法がサポートされています。
- ワンタイム パスコード (OTP) 付きメール。
- セルフサービス パスワード リセット (SSPR) をサポートする、メール アドレスとパスワード。
ネイティブ認証を使用してユーザーをサインインさせる顧客アプリでは、いずれかの認証方法を使用できます。 Microsoft Entra を正常に呼び出すには、アプリでサポートする認証方法を示す必要があります。 Microsoft Entra を使用すると、顧客アプリでは "チャレンジ型" を使用して、サポートする認証方法を公開できます。
チャレンジ型は、アプリでサポートする認証方法について Microsoft Entra に通知する要求に顧客アプリによって含められる定義済みの値です。
チャレンジ型
次の表に、サポートされているチャレンジ型の値を示します。
チャレンジ型 | 説明 |
---|---|
password | このチャレンジ型は、アプリがユーザーからのパスワード資格情報の収集をサポートしていることを示します。 |
oob | このチャレンジ型は、アプリケーションがセカンダリ チャネルを使用してユーザーに送信されたワンタイム パスワードまたはパスコード (OTP) コードの使用をサポートしていることを示します。 現時点では、この API ではメール OTP のみをサポートしています。 |
redirect | このチャレンジ型は、アプリケーションがブラウザー委任認証へのフォールバック (Web フォールバックとも呼ばれます) をサポートしていることを示します。 ネイティブ認証に準拠しているすべてのアプリで、この認証方法がサポートされている必要があります。 この要件は、アプリから Microsoft Entra に対して行うすべての呼び出しで、このチャレンジ型を含める必要があることを意味します。 クライアント アプリにこのチャレンジ型を含めなければ、要求は失敗します。 |
ネイティブ認証で新しい認証方法がサポートされる場合は、将来的に新しい値を追加します。
チャレンジ型の使用
次の表は、アプリがさまざまな認証フローに使用するチャレンジ型の値をまとめたものです。
サインアップ フロー | Sign-in flow | SSPR | |
---|---|---|---|
パスワード付きメール | oob、password、redirect | oob、password、redirect | oob および redirect |
メール OTP | oob および redirect | oob および redirect | 適用なし |
- ネイティブ認証 API を使用するアプリでは、サポートされているチャレンジ型を示すときに、redirect チャレンジ型を一覧に含める必要があります。
- Android と iOS SDK を使用するアプリでは、SDK に自動的に含まれる redirect チャレンジ型を含める必要はありません。
次の表は、Microsoft Entra またはクライアント アプリで特定のチャレンジ型をサポートしていない場合の動作をまとめたものです。
シナリオ | 起こること |
---|---|
サポートされていないチャレンジ型がクライアント アプリに含まれている | Microsoft Entra では、この要求を無効として扱う際にエラーを返します。 |
サポートされているチャレンジ型をクライアント アプリに含めることができない | これは、管理者が Microsoft Entra 管理センターで構成するチャレンジ型をクライアント アプリでサポートしていないことを示します。 この場合、Microsoft Entra では、Web フォールバックを使用するようにクライアント アプリに通知します。 |