Microsoft Graph とアプリ専用認証を使用して Go アプリを構築する

[アーティクル]
Developer (初級)
完了まで 19 分

このチュートリアルでは、Microsoft Graph API を使用してアプリ専用認証を使用してデータにアクセスする Go コンソールアプリを構築する方法について説明します。アプリのみの認証は、組織内のすべてのユーザーのデータにアクセスする必要があるバックグラウンドサービスまたはアプリケーションに適しています。

注:

Microsoft Graph を使用してユーザーの代わりにデータにアクセスする方法については、このユーザー (委任された) 認証チュートリアルを参照してください。

このチュートリアルの内容:

List users

ヒント

このチュートリアルに従う代わりに、 GitHub リポジトリをダウンロードまたは複製し、README の指示に従ってアプリケーションを登録し、プロジェクトを構成できます。

前提条件

このチュートリアルを開始する前に、開発用コンピューターに Go がインストールされている必要があります。

また、グローバル管理者ロールを持つ Microsoft の職場または学校アカウントも必要です。 Microsoft 365 テナントをお持ちでない場合は、 Microsoft 365 開発者プログラムを通じてテナントの資格を得る可能性があります。詳細については、 FAQ を参照してください。または、 1 か月間の無料試用版にサインアップするか、Microsoft 365 プランを購入することもできます。

注:

このチュートリアルは、Go バージョン 1.19.3 で記述されました。このガイドの手順は、他のバージョンで動作する可能性がありますが、テストされていません。

ポータルでアプリを登録する

残り 18 分

この演習では、アプリのみの認証を有効にするために、Azure Active Directory に新しいアプリケーションを登録します。アプリケーションは、Microsoft Entra 管理センターを使用するか、 Microsoft Graph PowerShell SDK を使用して登録できます。

アプリケーションをアプリ専用認証に登録する

このセクションでは、クライアント資格情報フローを使用してアプリのみの認証をサポートするアプリケーションを登録します。

Microsoft Entra 管理センター
PowerShell

ブラウザーを開き、 Microsoft Entra 管理センターに移動し、グローバル管理者アカウントを使用してログインします。
左側のナビゲーションで [Microsoft Entra ID] を 選択し、[ ID] を展開し、[ アプリケーション] を展開して、[ アプリの登録] を選択します。
[新規登録] を選択します。アプリケーションの名前 (例: Graph App-Only Auth Tutorial) を入力します。
[ サポートされているアカウントの種類 ] を [この組織のディレクトリ内のアカウントのみ] に設定します。
[リダイレクト URI]を空のままにします。
[登録] を選択します。アプリケーションの [概要 ] ページで、 アプリケーション (クライアント) ID と ディレクトリ (テナント) ID の値をコピーして保存します。次の手順でこれらの値が必要になります。
[管理] で、[API のアクセス許可] を選択します。
行で省略記号 (...) を選択し、[アクセス許可の削除] を選択して、[構成されたアクセス許可] の下にある既定の User.Readアクセス許可を削除します。
[ アクセス許可の追加] を選択し、[ Microsoft Graph] を選択します。
[アプリケーションのアクセス許可] を選択します。
[ User.Read.All] を選択し、[ アクセス許可の追加] を選択します。
[ 管理者の同意を付与する] を選択し、[ はい ] を選択して、選択したアクセス許可に対して管理者の同意を提供します。
[管理] で [証明書とシークレット] を選択し、[新しいクライアントシークレット] を選択します。
説明を入力し、期間を選択し、[ 追加] を選択します。
[値] 列からシークレットをコピーします。次の手順で必要になります。

重要

このクライアントシークレットは今後表示されないため、この段階で必ずコピーするようにしてください。

PowerShell を使用するには、Microsoft Graph PowerShell SDK が必要です。インストール手順については、「 Microsoft Graph PowerShell SDK のインストール」を参照してください。

RegisterAppForAppOnlyAuth.ps1という名前の新しいファイルを作成し、次のコードを追加します。

param(
  [Parameter(Mandatory=$true,
  HelpMessage="The friendly name of the app registration")]
  [String]
  $AppName,

  [Parameter(Mandatory=$true,
  HelpMessage="The application permission scopes to configure on the app registration")]
  [String[]]
  $GraphScopes,

  [Parameter(Mandatory=$false)]
  [Switch]
  $StayConnected = $false
)

$graphAppId = "00000003-0000-0000-c000-000000000000"

# Requires an admin
Connect-MgGraph -Scopes "Application.ReadWrite.All AppRoleAssignment.ReadWrite.All User.Read" -UseDeviceAuthentication -ErrorAction Stop

# Get context for access to tenant ID
$context = Get-MgContext -ErrorAction Stop
$authTenant = $context.TenantId

# Create app registration
$appRegistration = New-MgApplication -DisplayName $AppName -SignInAudience "AzureADMyOrg" -ErrorAction Stop
Write-Host -ForegroundColor Cyan "App registration created with app ID" $appRegistration.AppId

# Create corresponding service principal
$appServicePrincipal = New-MgServicePrincipal -AppId $appRegistration.AppId -ErrorAction SilentlyContinue `
  -ErrorVariable SPError
if ($SPError)
{
  Write-Host -ForegroundColor Red "A service principal for the app could not be created."
  Write-Host -ForegroundColor Red $SPError
  Exit
}

Write-Host -ForegroundColor Cyan "Service principal created"

# Lookup available Graph application permissions
$graphServicePrincipal = Get-MgServicePrincipal -Filter ("appId eq '" + $graphAppId + "'") -ErrorAction Stop
$graphAppPermissions = $graphServicePrincipal.AppRoles

$resourceAccess = @()

foreach($scope in $GraphScopes)
{
  $permission = $graphAppPermissions | Where-Object { $_.Value -eq $scope }
  if ($permission)
  {
    $resourceAccess += @{ Id =  $permission.Id; Type = "Role"}
  }
  else
  {
    Write-Host -ForegroundColor Red "Invalid scope:" $scope
    Exit
  }
}

# Add the permissions to required resource access
Update-MgApplication -ApplicationId $appRegistration.Id -RequiredResourceAccess `
 @{ ResourceAppId = $graphAppId; ResourceAccess = $resourceAccess } -ErrorAction Stop
Write-Host -ForegroundColor Cyan "Added application permissions to app registration"

# Add admin consent
foreach ($appRole in $resourceAccess)
{
  New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $appServicePrincipal.Id `
   -PrincipalId $appServicePrincipal.Id -ResourceId $graphServicePrincipal.Id `
   -AppRoleId $appRole.Id -ErrorAction SilentlyContinue -ErrorVariable SPError | Out-Null
  if ($SPError)
  {
    Write-Host -ForegroundColor Red "Admin consent for one of the requested scopes could not be added."
    Write-Host -ForegroundColor Red $SPError
    Exit
  }
}
Write-Host -ForegroundColor Cyan "Added admin consent"

# Add a client secret
$clientSecret = Add-MgApplicationPassword -ApplicationId $appRegistration.Id -PasswordCredential `
 @{ DisplayName = "Added by PowerShell" } -ErrorAction Stop

Write-Host
Write-Host -ForegroundColor Green "SUCCESS"
Write-Host -ForegroundColor Cyan -NoNewline "Client ID: "
Write-Host -ForegroundColor Yellow $appRegistration.AppId
Write-Host -ForegroundColor Cyan -NoNewline "Tenant ID: "
Write-Host -ForegroundColor Yellow $authTenant
Write-Host -ForegroundColor Cyan -NoNewline "Client secret: "
Write-Host -ForegroundColor Yellow $clientSecret.SecretText
Write-Host -ForegroundColor Cyan -NoNewline "Secret expires: "
Write-Host -ForegroundColor Yellow $clientSecret.EndDateTime

if ($StayConnected -eq $false)
{
  Disconnect-MgGraph | Out-Null
  Write-Host "Disconnected from Microsoft Graph"
}
else
{
  Write-Host
  Write-Host -ForegroundColor Yellow `
   "The connection to Microsoft Graph is still active. To disconnect, use Disconnect-MgGraph"
}

ファイルを保存します。
PowerShell を開き、現在のディレクトリを RegisterAppForAppOnlyAuth.ps1の場所に変更します。

次のコマンドを実行します。

.\RegisterAppForAppOnlyAuth.ps1 -AppName "Graph App-Only Auth Tutorial" -GraphScopes "User.Read.All"

プロンプトに従ってブラウザーで https://microsoft.com/devicelogin を開き、指定されたコードを入力し、認証プロセスを完了します。
スクリプト出力から クライアント ID、 テナント ID、 クライアントシークレット の値をコピーします。これらの値は、次の手順で必要になります。
```
SUCCESS
Client ID: ae2386e6-799e-4f75-b191-855d7e691c75
Tenant ID: 5927c10a-91bd-4408-9c70-c50bce922b71
Client secret: ...
Secret expires: 10/28/2024 5:01:45 PM
```

注:

ユーザー認証に登録する手順とは異なり、このセクションではアプリの登録に対する Microsoft Graph のアクセス許可を構成したことに注意してください。これは、アプリのみの認証でクライアント資格情報フローが使用されるため、アプリの登録でアクセス許可を構成する必要があるためです。詳細については、「.default スコープ」を参照してください。

Go コンソールアプリを作成する

残り 15 分

まず、 Go CLI を使用して新しい Go モジュールを初期化します。プロジェクトを作成するディレクトリでコマンドラインインターフェイス (CLI) を開きます。次のコマンドを実行します。

go mod init graphapponlytutorial

依存関係のインストール

次に進む前に、後で使用するいくつかの依存関係を追加します。

ユーザーを認証し、アクセストークンを取得するための Go 用 Azure Identity Client Module。
Microsoft Graph SDK for Go を使用して Microsoft Graph を呼び出します。
.env ファイルから環境変数を読み取るための GoDotEnv。

CLI で次のコマンドを実行して、依存関係をインストールします。

go get github.com/Azure/azure-sdk-for-go/sdk/azidentity
go get github.com/microsoftgraph/msgraph-sdk-go
go get github.com/joho/godotenv

アプリケーション設定を読み込む

このセクションでは、アプリ登録の詳細をプロジェクトに追加します。

.env という名前の go.mod と同じディレクトリにファイルを作成し、次のコードを追加します。
```
CLIENT_ID=YOUR_CLIENT_ID_HERE
CLIENT_SECRET=YOUR_CLIENT_SECRET_HERE
TENANT_ID=YOUR_TENANT_ID_HERE
```
次の表に従って値を更新します。

設定値

CLIENT_ID アプリ登録のクライアント ID

CLIENT_SECRET アプリ登録のクライアントシークレット

TENANT_ID 組織のテナント ID

ヒント

必要に応じて、 .env.local という名前の別のファイルでこれらの値を設定できます。

設定	値
`CLIENT_ID`	アプリ登録のクライアント ID
`CLIENT_SECRET`	アプリ登録のクライアントシークレット
`TENANT_ID`	組織のテナント ID

アプリを設計する

このセクションでは、簡単なコンソールベースのメニューを作成します。

graphhelper という名前の go.mod と同じディレクトリに新しいディレクトリを作成します。

graphhelper.go という名前の graphhelper ディレクトリに新しいファイルを追加し、次のコードを追加します。

package graphhelper

import (
    "context"
    "os"

    "github.com/Azure/azure-sdk-for-go/sdk/azcore/policy"
    "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
    auth "github.com/microsoft/kiota-authentication-azure-go"
    msgraphsdk "github.com/microsoftgraph/msgraph-sdk-go"
    "github.com/microsoftgraph/msgraph-sdk-go/models"
    "github.com/microsoftgraph/msgraph-sdk-go/users"
)

type GraphHelper struct {
    clientSecretCredential *azidentity.ClientSecretCredential
    appClient              *msgraphsdk.GraphServiceClient
}

func NewGraphHelper() *GraphHelper {
    g := &GraphHelper{}
    return g
}

これにより、Microsoft Graph を使用するために後のセクションで拡張する基本的な GraphHelper 型が作成されます。

graphapponlytutorial.go という名前の go.mod と同じディレクトリにファイルを作成します。次のコードを追加します。

package main

import (
    "fmt"
    "graphapponlytutorial/graphhelper"
    "log"

    "github.com/joho/godotenv"
)

func main() {
    fmt.Println("Go Graph App-Only Tutorial")
    fmt.Println()

    // Load .env files
    // .env.local takes precedence (if present)
    godotenv.Load(".env.local")
    err := godotenv.Load()
    if err != nil {
        log.Fatal("Error loading .env")
    }

    graphHelper := graphhelper.NewGraphHelper()

    initializeGraph(graphHelper)

    var choice int64 = -1

    for {
        fmt.Println("Please choose one of the following options:")
        fmt.Println("0. Exit")
        fmt.Println("1. Display access token")
        fmt.Println("2. List users")
        fmt.Println("3. Make a Graph call")

        _, err = fmt.Scanf("%d", &choice)
        if err != nil {
            choice = -1
        }

        switch choice {
        case 0:
            // Exit the program
            fmt.Println("Goodbye...")
        case 1:
            // Display access token
            displayAccessToken(graphHelper)
        case 2:
            // List users
            listUsers(graphHelper)
        case 3:
            // Run any Graph code
            makeGraphCall(graphHelper)
        default:
            fmt.Println("Invalid choice! Please try again.")
        }

        if choice == 0 {
            break
        }
    }
}

ファイルの末尾に次のプレースホルダーメソッドを追加します。後の手順で実装します。

func initializeGraph(graphHelper *graphhelper.GraphHelper) {
    // TODO
}

func displayAccessToken(graphHelper *graphhelper.GraphHelper) {
    // TODO
}

func listUsers(graphHelper *graphhelper.GraphHelper) {
    // TODO
}

func makeGraphCall(graphHelper *graphhelper.GraphHelper) {
    // TODO
}

これにより、基本的なメニューが実装され、コマンドラインからユーザーの選択が読み取ります。

アプリ専用認証を追加する

残り 10 分

このセクションでは、アプリケーションにアプリのみの認証を追加します。は、Microsoft Graph を呼び出すために必要な OAuth アクセストークンを取得する必要があります。この手順では、 Azure Identity Client Module for Go をアプリケーションに統合し、 Microsoft Graph SDK for Go の認証を構成します。

Azure Identity ライブラリには、OAuth2 トークンフローを実装する多数の TokenCredential クラスが用意されています。 Microsoft Graph SDK では、これらのクラスを使用して Microsoft Graph への呼び出しを認証します。

アプリ専用認証用に Graph クライアントを構成する

このセクションでは、 ClientSecretCredential クラスを使用して、クライアント資格情報フローを使用してアクセストークンを要求します。

次の関数を ./graphhelper/graphhelper.go に追加します。

func (g *GraphHelper) InitializeGraphForAppAuth() error {
    clientId := os.Getenv("CLIENT_ID")
    tenantId := os.Getenv("TENANT_ID")
    clientSecret := os.Getenv("CLIENT_SECRET")
    credential, err := azidentity.NewClientSecretCredential(tenantId, clientId, clientSecret, nil)
    if err != nil {
        return err
    }

    g.clientSecretCredential = credential

    // Create an auth provider using the credential
    authProvider, err := auth.NewAzureIdentityAuthenticationProviderWithScopes(g.clientSecretCredential, []string{
        "https://graph.microsoft.com/.default",
    })
    if err != nil {
        return err
    }

    // Create a request adapter using the auth provider
    adapter, err := msgraphsdk.NewGraphRequestAdapter(authProvider)
    if err != nil {
        return err
    }

    // Create a Graph client using request adapter
    client := msgraphsdk.NewGraphServiceClient(adapter)
    g.appClient = client

    return nil
}

ヒント

goimports を使用している場合、graphhelper.go on save のimport ステートメントから一部のモジュールが自動削除されている可能性があります。ビルドするモジュールを再追加する必要がある場合があります。

graphapponlytutorial.go の空のinitializeGraph関数を次のように置き換えます。

func initializeGraph(graphHelper *graphhelper.GraphHelper) {
    err := graphHelper.InitializeGraphForAppAuth()
    if err != nil {
        log.Panicf("Error initializing Graph for app auth: %v\n", err)
    }
}

このコードでは、 DeviceCodeCredential オブジェクトと GraphServiceClient オブジェクトの 2 つのプロパティを初期化します。 InitializeGraphForUserAuth関数は、DeviceCodeCredentialの新しいインスタンスを作成し、そのインスタンスを使用してGraphServiceClientの新しいインスタンスを作成します。 userClientを介して Microsoft Graph に API 呼び出しが行われるたびに、提供された資格情報を使用してアクセストークンを取得します。

ClientSecretCredential をテストする

次に、 ClientSecretCredentialからアクセストークンを取得するコードを追加します。

次の関数を ./graphhelper/graphhelper.go に追加します。

func (g *GraphHelper) GetAppToken() (*string, error) {
    token, err := g.clientSecretCredential.GetToken(context.Background(), policy.TokenRequestOptions{
        Scopes: []string{
            "https://graph.microsoft.com/.default",
        },
    })
    if err != nil {
        return nil, err
    }

    return &token.Token, nil
}

graphapponlytutorial.go の空のdisplayAccessToken関数を次のように置き換えます。

func displayAccessToken(graphHelper *graphhelper.GraphHelper) {
    token, err := graphHelper.GetAppToken()
    if err != nil {
        log.Panicf("Error getting user token: %v\n", err)
    }

    fmt.Printf("App-only token: %s", *token)
    fmt.Println()
}

go run graphapponlytutorialを実行してアプリをビルドして実行します。オプションの入力を求められたら、「 1 」と入力します。アプリケーションにアクセストークンが表示されます。
```
Go Graph App-Only Tutorial

Please choose one of the following options:
0. Exit
1. Display access token
2. List users
3. Make a Graph call
1
App-only token: eyJ0eXAiOiJKV1QiLCJub25jZSI6IlVDTzRYOWtKYlNLVjVkRzJGenJqd2xvVUcwWS...
```
ヒント

検証とデバッグ のみを目的として、 https://jwt.msで Microsoft のオンライントークンパーサーを使用してアプリ専用アクセストークンをデコードできます。これは、Microsoft Graph を呼び出すときにトークンエラーが発生した場合に役立ちます。たとえば、トークン内の role 要求に、想定される Microsoft Graph アクセス許可スコープが含まれていることを確認します。

ユーザーを一覧表示する

残り 7 分

このセクションでは、アプリのみの認証を使用して、Azure Active Directory 内のすべてのユーザーを一覧表示する機能を追加します。

次の関数を ./graphhelper/graphhelper.go に追加します。

func (g *GraphHelper) GetUsers() (models.UserCollectionResponseable, error) {
    var topValue int32 = 25
    query := users.UsersRequestBuilderGetQueryParameters{
        // Only request specific properties
        Select: []string{"displayName", "id", "mail"},
        // Get at most 25 results
        Top: &topValue,
        // Sort by display name
        Orderby: []string{"displayName"},
    }

    return g.appClient.Users().
        Get(context.Background(),
            &users.UsersRequestBuilderGetRequestConfiguration{
                QueryParameters: &query,
            })
}

graphapponlytutorial.go の空のlistUsers関数を次のように置き換えます。

func listUsers(graphHelper *graphhelper.GraphHelper) {
    users, err := graphHelper.GetUsers()
    if err != nil {
        log.Panicf("Error getting users: %v", err)
    }

    // Output each user's details
    for _, user := range users.GetValue() {
        fmt.Printf("User: %s\n", *user.GetDisplayName())
        fmt.Printf("  ID: %s\n", *user.GetId())

        noEmail := "NO EMAIL"
        email := user.GetMail()
        if email == nil {
            email = &noEmail
        }
        fmt.Printf("  Email: %s\n", *email)
    }

    // If GetOdataNextLink does not return nil,
    // there are more users available on the server
    nextLink := users.GetOdataNextLink()

    fmt.Println()
    fmt.Printf("More users available? %t\n", nextLink != nil)
    fmt.Println()
}

アプリを実行し、サインインし、オプション 2 を選択してユーザーを一覧表示します。

Please choose one of the following options:
0. Exit
1. Display access token
2. List users
3. Make a Graph call
2
User: Adele Vance
  ID: 05fb57bf-2653-4396-846d-2f210a91d9cf
  Email: AdeleV@contoso.com
User: Alex Wilber
  ID: a36fe267-a437-4d24-b39e-7344774d606c
  Email: AlexW@contoso.com
User: Allan Deyoung
  ID: 54cebbaa-2c56-47ec-b878-c8ff309746b0
  Email: AllanD@contoso.com
User: Bianca Pisani
  ID: 9a7dcbd0-72f0-48a9-a9fa-03cd46641d49
  Email: NO EMAIL
User: Brian Johnson (TAILSPIN)
  ID: a8989e40-be57-4c2e-bf0b-7cdc471e9cc4
  Email: BrianJ@contoso.com

...

More users available? true

コードの説明

GetUsers関数のコードについて考えてみましょう。

ユーザーのコレクションを取得します
Selectを使用して特定のプロパティを要求します
Topを使用して、返されるユーザーの数を制限します
OrderByを使用して応答を並べ替える

省略可能: 独自のコードを追加する

残り 5 分

このセクションでは、独自の Microsoft Graph 機能をアプリケーションに追加します。これは、Microsoft Graph ドキュメントまたは Graph エクスプローラーのコードスニペット、または作成したコードです。このセクションは省略可能です。

アプリを更新する

次の関数を ./graphhelper/graphhelper.go に追加します。

func (g *GraphHelper) MakeGraphCall() error {
    // INSERT YOUR CODE HERE
    return nil
}

graphapponlytutorial.go の空のmakeGraphCall関数を次のように置き換えます。

func makeGraphCall(graphHelper *graphhelper.GraphHelper) {
    err := graphHelper.MakeGraphCall()
    if err != nil {
        log.Panicf("Error making Graph call: %v", err)
    }
}

API を選択する

試したい API を Microsoft Graph で見つけます。たとえば、 Create イベント API です。 API ドキュメントの例のいずれかを使用するか、Graph Explorer で API 要求をカスタマイズし、生成されたスニペットを使用できます。

アクセス許可を構成する

選択した API のリファレンスドキュメントの [アクセス許可] セクションを確認して、サポートされている認証方法を確認します。たとえば、一部の API では、アプリ専用アカウントや個人用 Microsoft アカウントがサポートされていません。

ユーザー認証を使用して API を呼び出すには (API でユーザー (委任された) 認証がサポートされている場合)、ユーザー (委任された) 認証のチュートリアルを参照してください。
アプリ専用認証を使用して API を呼び出すには (API でサポートされている場合)、Azure AD 管理センターに必要なアクセス許可スコープを追加します。

コードを追加する

graphhelper.go のMakeGraphCall関数にコードをコピーします。ドキュメントまたは Graph Explorer からスニペットをコピーする場合は、必ず GraphServiceClient の名前を appClient に変更してください。

次の方法で共有

Microsoft Graph とアプリ専用認証を使用して Go アプリを構築する

前提条件

ポータルでアプリを登録する

アプリケーションをアプリ専用認証に登録する

Go コンソールアプリを作成する

依存関係のインストール

アプリケーション設定を読み込む

アプリを設計する

アプリ専用認証を追加する

アプリ専用認証用に Graph クライアントを構成する

ClientSecretCredential をテストする

ユーザーを一覧表示する

コードの説明

省略可能: 独自のコードを追加する

アプリを更新する

API を選択する

アクセス許可を構成する

コードを追加する

おめでとうございます。

次の方法で共有

Microsoft Graph とアプリ専用認証を使用して Go アプリを構築する

前提条件

ポータルでアプリを登録する

アプリケーションをアプリ専用認証に登録する

Go コンソール アプリを作成する

依存関係のインストール

アプリケーション設定を読み込む

アプリを設計する

アプリ専用認証を追加する

アプリ専用認証用に Graph クライアントを構成する

ClientSecretCredential をテストする

ユーザーを一覧表示する

コードの説明

省略可能: 独自のコードを追加する

アプリを更新する

API を選択する

アクセス許可を構成する

コードを追加する

おめでとうございます。

Go コンソールアプリを作成する