チュートリアル: Node.js デーモン アプリケーションを認可するように外部テナントを準備する

このチュートリアル シリーズでは、Node.js デーモン クライアント アプリを構築し、それを Microsoft Entra 管理センターで認証用に準備する方法について説明します。 Open Authorization (OAuth) 2.0 クライアント資格情報許可フローを使ってから、Web API を呼び出すためのアクセス トークンを取得するようにそれを構成します。

このチュートリアルでは、

• Web API を Microsoft Entra 管理センターに登録し、その識別子を記録する
• Web API のアプリ ロールを構成する
• クライアント デーモン アプリケーションを登録する
• デーモン アプリにアクセス許可を付与する
• デーモン アプリのクライアント シークレットを作成する

Microsoft Entra 管理センターでクライアント デーモン アプリケーションと Web API を既に登録している場合は、このチュートリアルの手順をスキップして、「API を呼び出すためのアクセス トークンの取得」に進むことができます。

前提条件

• 外部テナント。 作成するには、次のいずれかの方法を選択します。
  • (推奨) Microsoft Entra 外部 ID 拡張機能を使用して、Visual Studio Code 内で直接外部テナントを設定します。
  • Microsoft Entra 管理センターで新しい外部テナントを作成します。

Web API アプリケーションを登録する

1. アプリケーション開発者以上として Microsoft Entra 管理センターにサインインします。

2. 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコン を使用し、[ディレクトリとサブスクリプション] メニューから外部テナントに切り替えます。

3. [ID]>[アプリケーション]>[アプリの登録] を参照します。

4. [+ 新規登録] を選択します。

5. 表示される [アプリケーションの登録] ページで、アプリケーションの登録情報を入力します。

   1. [名前] セクションで、アプリのユーザーに表示されるわかりやすいアプリケーション名 (ciam-ToDoList-api など) を入力します。

   2. [サポートされているアカウントの種類] で、 [この組織のディレクトリ内のアカウントのみ] を選択します。

6. [登録] を選択して、アプリケーションを作成します。

7. 登録が完了すると、アプリケーションの [概要] ペインが表示されます。 アプリケーションのソース コードで使用するディレクトリ (テナント) ID とアプリケーション (クライアント) ID を記録します。

アプリ ロールを構成する

API は、クライアント アプリが自身としてアクセス トークンを取得できるように、アプリケーションに対して少なくとも 1 つのアプリ ロール (アプリケーションのアクセス許可とも呼ばれます) を発行する必要があります。 アプリケーションのアクセス許可は、クライアント アプリケーションが自身として正常に認証できるようにして、ユーザーをサインインさせる必要がないようにする場合に、API が発行するアクセス許可の種類です。 アプリケーションのアクセス許可を発行するには、次の手順に従います。

1. [アプリの登録] ページから、作成したアプリケーション (ciam-ToDoList-api など) を選択して、その [概要] ページを開きます。

2. [管理] で、[アプリ ロール] を選択します。

3. [アプリ ロールの作成] を選択し、次の値を入力し、[適用] を選択して変更を保存します:

   プロパティ	先頭値
   表示名	ToDoList.Read.All
   Allowed member types (許可されるメンバーの種類)	アプリケーション
   値	ToDoList.Read.All
   説明	'ToDoListApi' を使用して、アプリがすべてのユーザーの ToDo リストを読むことができるようにする

4. もう一度 [アプリ ロールの作成] を選択し、2 番目のアプリ ロールに次の値を入力し、[適用] を選択して変更を保存します:

   プロパティ	先頭値
   表示名	ToDoList.ReadWrite.All
   Allowed member types (許可されるメンバーの種類)	アプリケーション
   値	ToDoList.ReadWrite.All
   説明	'ToDoListApi' を使用して、アプリがすべてのユーザーの ToDo リストを読み書きできるようにする

idtyp トークン クレームを構成する

オプションの idtyp 要求を使用すると、Web API がトークンがアプリ トークンなのかアプリ + ユーザー トークンなのかを判別しやすくなります。 scp および roles 要求の組み合わせは同じ目的に使用できますが、idtyp 要求の使用は、アプリ トークンとアプリ + ユーザー トークンを区別する最も簡単な方法です。 たとえば、トークンがアプリ専用トークンの場合、この要求の値は app です。

デーモン アプリを登録する

Microsoft Entra を使用してアプリケーションでユーザーをサインインできるようにするには、作成するアプリケーションを Microsoft Entra 外部 ID に認識させる必要があります。 アプリの登録によって、アプリと Microsoft Entra の間に信頼関係が確立されます。 アプリケーションを登録すると、外部 ID によって、アプリケーション (クライアント) ID と呼ばれる一意識別子が生成されます。これは、認証要求を作成するときにアプリを識別するために使用される値です。

Microsoft Entra 管理センターにアプリを登録する方法を次の手順に示します。

1. アプリケーション開発者以上として Microsoft Entra 管理センターにサインインします。

2. 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコン を使用し、[ディレクトリとサブスクリプション] メニューから外部テナントに切り替えます。

3. [ID]>[アプリケーション]>[アプリの登録] を参照します。

4. [+ 新規登録] を選択します。

5. 表示される [アプリケーションの登録] ページで、次のようにします。

   1. アプリのユーザーに表示されるわかりやすいアプリケーションの [名前] を入力します (例: ciam-client-app)。
   2. [サポートされているアカウントの種類] で、 [この組織のディレクトリ内のアカウントのみ] を選択します。

6. [登録] を選択します。

7. 登録が成功すると、アプリケーションの [概要] ペインが表示されます。 アプリケーションのソース コードで使用するアプリケーション (クライアント) ID を記録します。

クライアント シークレットの作成

登録したアプリケーションに対してクライアント シークレットを作成します。 Web アプリケーションでは、トークンを要求するときに、このクライアント シークレットを使って自身の ID を証明します。

1. [アプリの登録] ページで、作成したアプリケーション ("ciam-client-app" など) を選択して、その [概要] ページを開きます。
2. [管理] で、[証明書とシークレット] を選択します。
3. [新しいクライアント シークレット] を選択します。
4. [説明] ボックスにクライアント シークレットの説明を入力します (例、ciam app client secret)。
5. [有効期限] で、シークレットが (組織のセキュリティ規則に基づいて) 有効な期間を選択してから、[追加] を選択します。
6. シークレットの値を記録します。 この値は、後の手順での構成に使用します。 シークレットの値は再表示されず、[証明書とシークレット] から移動した後はどのような手段でも取得できません。 必ず記録しておくようにしてください。

デーモン アプリに API のアクセス許可を付与する

1. [アプリの登録] ページから、作成したアプリケーション (ciam-client-app など) を選択します。

2. [管理] の下にある [API のアクセス許可] を選択します。

3. [構成されたアクセス許可] の下で [アクセス許可の追加] を選択します。

4. [所属する組織で使用している API] タブを選択します。

5. API の一覧で、API (ciam-ToDoList-api など) を選択します。

6. [アプリケーションのアクセス許可] オプションを選択します。 このアプリは、ユーザーの代理としてではなくそれ自体がサインインするものであるため、このオプションを選びます。

7. アクセス許可の一覧から、TodoList.Read.All と ToDoList.ReadWrite.All を選択します (必要に応じて検索ボックスを使用してください)。

8. [アクセス許可の追加] ボタンを選択します

9. この時点で、アクセス許可が正しく割り当てられます。 ただし、デーモン アプリはユーザーが対話することを許可しないため、ユーザー自身がこれらのアクセス許可に同意することはできません。 この問題に対処するには、管理者が次のように、テナント内のすべてのユーザーに代わってこれらのアクセス許可に同意する必要があります。

   1. [<ご使用のテナント名> に管理者の同意を与えます] を選択してから、[はい] を選択します。
   2. [最新の情報に更新] を選択し、両方のアクセス許可の [状態] に "<テナント名> に付与されました" と表示されていることを確認します。

アプリ登録の詳細を収集する

次の手順では、デーモン アプリ アプリケーションを準備します。 以下の詳細を確認してください。

• 登録したクライアント デーモン アプリのアプリケーション (クライアント) ID。
• デーモン アプリを登録したディレクトリ (テナント) サブドメイン。 テナント名がない場合は、テナントの詳細を読み取る方法を確認してください。
• 作成したデーモン アプリのアプリケーション シークレット値。
• 登録した Web API アプリのアプリケーション (クライアント) ID。

次のステップ

パート 2: デーモン アプリケーションを準備する