Exchange の ID トークンの内部
重要
従来の Exchange トークンは非推奨です。 2025 年 2 月から、Exchange Online テナントの従来の Exchange ユーザー ID とコールバック トークンの無効化を開始します。 タイムラインと詳細については、FAQ ページを参照してください。 これは、現在の脅威の状況に対応するために必要なツールを組織に提供する 、Microsoft の Secure Future Initiative の一部です。 Exchange ユーザー ID トークンは、引き続き Exchange オンプレミスで機能します。 入れ子になったアプリ認証は、今後のトークンに推奨される方法です。
getUserIdentityTokenAsync メソッドによって返された Exchange のユーザー ID トークンは、アドイン コードがバックエンド サービスへの呼び出しでユーザー ID を含めるための方法を提供します。 この記事では、トークンの形式と内容について説明します。
Exchange ユーザー ID トークンとは、そのトークンを送信する Exchange サーバーによって自己署名された、Base 64 URL 形式でエンコードされた文字列です。 トークンは暗号化されていません。署名の検証に使用する公開キーは、トークンを発行した Exchange サーバーに保存されています。 トークンには 3 つのパーツ (ヘッダー、ペイロード、署名) があります。 トークン文字列では、トークンを容易に分割できるように、パーツがピリオド文字 (.
) で区切られています。
Exchange では ID トークンに、JSON Web トークン (JWT) 形式を使用します。 JWT トークンの詳細については、「RFC 7519 JSON Web Token (JWT)」を参照してください。
ID トークンのヘッダー
ヘッダーは、トークンの形式に関する情報と、署名情報に関する情報を提供します。 次の例は、トークンのヘッダーの外観を示しています。
{
"typ": "JWT",
"alg": "RS256",
"x5t": "Un6V7lYN-rMgaCoFSTO5z707X-4"
}
トークンのヘッダーのパーツについての説明を、次の表に示します。
クレーム | 値 | 説明 |
---|---|---|
typ |
JWT |
トークンを JSON Web トークンとして識別します。 Exchange サーバーから提供される ID トークンは、すべて JWT トークンです。 |
alg |
RS256 |
署名の作成に使用されるハッシュ アルゴリズム。 Exchange サーバーから提供されるトークンは、すべて SHA-256 ハッシュ アルゴリズムの RSASSA-PKCS1-v1_5 を使用します。 |
x5t |
証明書の拇印 | トークンの X.509 拇印です。 |
ID トークンのペイロード
ペイロードには、電子メール アカウントの識別と、トークンを送信した Exchange サーバーの識別を行う認証クレームが含まれます。 以下に、ペイロード セクションの例を示します。
{
"aud": "https://mailhost.contoso.com/IdentityTest.html",
"iss": "00000002-0000-0ff1-ce00-000000000000@mailhost.contoso.com",
"nbf": "1331579055",
"exp": "1331607855",
"appctxsender": "00000002-0000-0ff1-ce00-000000000000@mailhost.context.com",
"isbrowserhostedapp": "true",
"appctx": {
"msexchuid": "53e925fa-76ba-45e1-be0f-4ef08b59d389@mailhost.contoso.com",
"version": "ExIdTok.V1",
"amurl": "https://mailhost.contoso.com:443/autodiscover/metadata/json/1"
}
}
ID トークンのペイロードのパーツを、次の表に示します。
クレーム | 説明 |
---|---|
aud |
トークンを要求したアドインの URL。 トークンは、クライアントの Webview コントロールで実行されているアドインから送信された場合にのみ有効です。 アドインの URL はマニフェストで指定します。 マークアップは manifest. の種類によって異なります。アドインのみのマニフェスト:アドインで Office アドイン マニフェスト スキーマ v1.1 を使用する場合、この URL は、フォームの種類の ItemRead またはItemEdit の下にある最初の <SourceLocation> 要素で指定された URL です。どちらが最初にアドイン マニフェストの FormSettings 要素の一部として発生しますMicrosoft 365 の統合マニフェスト:URL は、"extensions.audienceClaimUrl" プロパティで指定します。 |
iss |
トークンを発行した Exchange サーバーの一意の識別子です。 この Exchange サーバーから発行されるトークンはすべて同じ識別子になります。 |
nbf |
トークンの有効期間の開始日時です。 この値は 1970 年 1 月 1 日を起点とする秒数です。 |
exp |
トークンの有効期間の終了日時です。 この値も 1970 年 1 月 1 日を起点とする秒数です。 |
appctxsender |
アプリケーション コンテキストを送信した Exchange サーバーの一意の識別子。 |
isbrowserhostedapp |
アドインがブラウザーでホストされるかどうかを指定します。 |
appctx |
トークンのアプリケーション コンテキスト。 |
appctx クレーム内の情報は、アカウントの一意の識別子と、トークンの署名に使用された公開キーの場所を提供します。
appctx
クレームのパーツを、次の表に示します。
アプリケーション コンテキスト プロパティ | 説明 |
---|---|
msexchuid |
電子メール アカウントと Exchange サーバーに割り当てられた一意の識別子。 |
version |
トークンのバージョン番号。 Exchange によって提供されるトークンの値は、すべて ExIdTok.V1 になります。 |
amurl |
トークンに署名するために使用された X.509 証明書の公開キーが含まれる認証メタデータ ドキュメントの URL。 認証メタデータ ドキュメントの使用方法については、「Exchange の ID トークンを検証する」を参照してください。 |
ID トークンの署名
この署名は、ヘッダーおよびペイロード セクションに対して、ヘッダーで指定されたアルゴリズムを使用したハッシュ処理を行うと共に、ペイロード内で指定された場所にあるサーバー上の自己署名された X509 証明書を使用することで作成されます。 Web サービスは、この署名を検証して、ID トークンがその送信元として想定されるサーバーから発行されたものであることを確認できます。
関連項目
Exchange のユーザー ID トークンの解析例については、「Outlook アドイン トークン ビューアー」を参照してください。
Office Add-ins