SaaS アプリケーションを登録する
この記事では、Microsoft Azure portal を使用して SaaS アプリケーションを登録する方法と、発行元のアクセス トークン (Microsoft Entra アクセス トークン) を取得する方法について説明します。 発行元はこのトークンを使用して、SaaS Fulfillment API を呼び出して SaaS アプリケーションを認証します。 Fulfillment API は、OAuth 2.0 クライアント資格情報を使用して、サービス間アクセス トークン要求を行うために Microsoft Entra ID (v2.0) エンドポイントにフローを付与します。
Azure Marketplace では、SaaS サービスがエンド ユーザーに使用する認証方法に制約はありません。 以下のフロー 、Azure Marketplace で SaaS サービス を認証する場合にのみ必要です。
Microsoft Entra ID (Active Directory) の詳細については、「認証とは」を参照してください。
Microsoft Entra ID で保護されたアプリを登録する
Microsoft Entra ID の機能を使用するアプリケーションは、まず Microsoft Entra テナントに登録する必要があります。 この登録プロセスでは、アプリケーションに関する詳細を Microsoft Entra に提供する必要があります。 Azure portal を使用して新しいアプリケーションを登録するには、次の手順に従います。
Azure portalにサインインします。
アカウントから複数のアカウントにアクセスできる場合は、右上隅で自分のアカウントを選択します。 次に、ポータル セッションを目的の Microsoft Entra テナントに設定します。
左側のナビゲーション ウィンドウで、Microsoft Entra ID サービス を選択し、[アプリの登録 ] を選択し、[新しいアプリケーションの登録 選択します。
[作成] ページで、アプリケーションの登録情報を入力します。
名前: わかりやすいアプリケーション名を入力します
サポートされているアカウントの種類:
[この組織ディレクトリのみに含まれるアカウントのみ (シングル テナント)] を選択します。
完了したら、[登録] を選択します。 Microsoft Entra ID は、新しいアプリケーションに一意の アプリケーション ID を割り当てます。 その API にのみアクセスする 1 つのアプリを、シングル テナントとして登録する必要があります。
クライアント シークレットを作成するには、[証明書 & シークレット] ページに移動し、[+新しいクライアント シークレット を選択します。 シークレット値をコピーしてコードで使用してください。
Microsoft Entra アプリ ID は発行元 ID に関連付けられているため、すべてのオファーで同じ アプリ ID が使用されていることを確認します。
手記
発行元がパートナー センターに 2 つ以上の異なるアカウントを持っている場合、Microsoft Entra アプリの登録の詳細は 1 つのアカウントでのみ使用できます。 異なる発行元アカウントの下でのオファーに同じテナント ID とアプリ ID の組み合わせを使用することはサポートされていません。
手記
トークンを生成するのに使用するテナントで、登録済みのアプリに対するサービス プリンシパルを作成する必要があります。 このドキュメント アプリ登録のサービス プリンシパルを作成する方法を参照してください。
発行元の承認トークンを取得する方法
アプリケーションを登録したら、発行元の承認トークン (Microsoft Entra アクセス トークン、Azure AD v2 エンドポイントを使用) をプログラムで要求できます。 発行元は、さまざまな SaaS Fulfillment API を呼び出すときにこのトークンを使用する必要があります。 このトークンは 1 時間のみ有効です。
これらのトークンの詳細については、Microsoft Entra アクセス トークンの を参照してください。 以下のフローでは、V2 エンドポイント トークンが使用されます。
HTTP POST を使用してトークンを取得する
HTTP メソッド
Post
要求 URL
https://login.microsoftonline.com/*{tenantId}*/oauth2/v2.0/token
URI パラメーター
| パラメーター名 | 必須 | 説明 |
|---|---|---|
tenantId |
本当 | 登録済みの Microsoft Entra アプリケーションのテナント ID。 |
要求ヘッダー
| ヘッダー名 | 必須 | 説明 |
|---|---|---|
content-type |
本当 | 要求に関連付けられているコンテンツ タイプ。 既定値は application/x-www-form-urlencodedです。 |
要求本文
| プロパティ名 | 必須 | 説明 |
|---|---|---|
grant_type |
本当 | 許可の種類。 "client_credentials"を使用します。 |
client_id |
本当 | Microsoft Entra アプリに関連付けられているクライアント/アプリ識別子。 |
client_secret |
本当 | Microsoft Entra アプリに関連付けられているシークレット。 |
scope |
真実 | トークンが既定のスコープで要求されるターゲット リソース。 この場合、Marketplace SaaS API は常にターゲット リソースであるため、20e940b3-4c77-4b0b-9a53-9e16a1b010a7/.default を使用します。 |
応答
| 名前 | タイプ | 説明 |
|---|---|---|
| 200 OK | TokenResponse | 要求は成功しました。 |
TokenResponse
応答の例:
{
"token_type": "Bearer",
"expires_in": "3600",
"ext_expires_in": "0",
"access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6ImlCakwxUmNxemhpeTRmcHhJeGRacW9oTTJZayIsImtpZCI6ImlCakwxUmNxemhpeTRmcHhJeGRacW9oTTJZayJ9…"
}
| 要素 | 説明 |
|---|---|
access_token |
この要素は、すべての SaaS フルフィルメント API と Marketplace 測定 API を呼び出すときに承認パラメーターとして渡す <access_token> です。 セキュリティで保護された REST API を呼び出すと、トークンは Authorization 要求ヘッダー フィールドに "ベアラー" トークンとして埋め込まれます。これにより、API は呼び出し元を認証できます。 |
expires_in |
発行時から有効期限が切れる前に、アクセス トークンが引き続き有効な秒数。 発行の時刻は、トークンの iat 要求で確認できます。 |
expires_on |
アクセス トークンの有効期限が切れる期間。 日付は、"1970-01-01T0:0:0Z UTC" からの秒数として表されます (トークンの exp 要求に対応します)。 |
token_type |
トークンの種類。"ベアラー" アクセス トークンです。これは、リソースがこのトークンのベアラーへのアクセス権を付与できることを意味します。 |
関連コンテンツ
Microsoft Entra ID で保護されたアプリで、SaaS Fulfillment サブスクリプション API バージョン 2 と SaaS Fulfillment Operations API バージョン 2を使用できるようになりました。
ビデオチュートリアル