SaaS アプリケーションを登録する
この記事では、Microsoft Azure ポータルを使用して SaaS アプリケーションを登録する方法と 発行元のアクセス トークン (Microsoft Entra アクセス トークン) を取得する方法について説明します。 公開元はこのトークンを使用して、SaaS Fulfillment API を呼び出すことによって、SaaS アプリケーションを認証します。 Fulfillment API は、OAuth 2.0 クライアント資格情報を使用して、サービス間アクセス トークン要求を行うために Microsoft Entra ID (v2.0) エンドポイントにフローを付与します。
Azure Marketplace では、SaaS サービスがエンド ユーザーに対して使用する認証方法に対して、制約がありません。 以下のフロー 、Azure Marketplace で SaaS サービス を認証するためにのみ取得されます。
Microsoft Entra ID (Active Directory) の詳細については、「認証を参照してください。
Microsoft Entra ID で保護されたアプリを登録する
Microsoft Entra ID の機能を使用するアプリケーションは、まず Microsoft Entra テナントに登録する必要があります。 この登録プロセスでは、アプリケーションに関する詳細を Microsoft Entra に提供する必要があります。 Azure portal を使用して新しいアプリケーションを登録するには、次の手順を実行します。
Azure portal にサインインします。
お使いのアカウントで複数のアプリケーションにアクセスできる場合は、右上隅で自分のアカウントを選択します。 次に、ポータル セッションを目的の Microsoft Entra テナントに設定します。
左側のナビゲーション ウィンドウで、Microsoft Entra ID サービスを選択し、アプリの登録を選択し、新しいアプリケーションの登録を選択します。
[作成] ページで、アプリケーションの登録情報を入力します。
名前: わかりやすいアプリケーション名を入力します
サポートされているアカウントの種類:
この組織ディレクトリ内の Accounts のみ (シングル テナント)を選択します。
終了したら、 [登録] を選択します。 Microsoft Entra ID は、新しいアプリケーションに一意の Application ID を割り当てます。
アクセスする 1 つのアプリを登録する必要があります(API のみ 、ingle テナントとして。クライアント シークレットを作成するには、[証明書とシークレット] ページに移動し、[+ 新しいクライアント シークレット] を選択します。 シークレット値は、コードで使用するため、必ずコピーしてください。
Microsoft Entra アプリ IDは発行元 ID に関連付けられているため、すべてのオファーで同じapp IDが使用されていることを確認します。
Note
発行元がパートナー センターに 2 つ以上の異なるアカウントを持っている場合、Microsoft Entra アプリの登録の詳細は 1 つのアカウントでのみ使用できます。 同じテナント ID を使用すると、別の発行元アカウントのオファーのアプリ ID ペアはサポートされません。
Note
トークンの作成に使用するテナントで、登録されているアプリのサービス プリンシパルを作成する必要があります。 このドキュメント アプリ登録のサービス プリンシパルを作成する方法を参照してください。
公開元の承認トークンを取得する方法
アプリケーションを登録したら、発行元の承認トークン (Microsoft Entra アクセス トークン、Azure AD v2 エンドポイントを使用) をプログラムで要求できます。 公開元は、さまざまな SaaS Fulfillment API を呼び出すときに、このトークンを使用する必要があります。 このトークンは 1 時間だけ有効です。
これらのトークンの詳細については、「 Microsoft Entra アクセス トークンを参照してください。 以下のフローでは、V2 エンドポイント トークンが使用されます。
HTTP POST を使用してトークンを取得する
HTTP メソッド
投稿
要求 URL
https://login.microsoftonline.com/*{tenantId}*/oauth2/v2.0/token
URI パラメーター
パラメーター名 | Required | 説明 |
---|---|---|
tenantId |
True | 登録済みの Microsoft Entra アプリケーションのテナント ID。 |
要求ヘッダー
ヘッダー名 | 必須 | 説明 |
---|---|---|
content-type |
True | 要求に関連付けられたコンテンツの種類。 既定値は application/x-www-form-urlencoded です。 |
要求本文
プロパティ名 | 必須 | 説明 |
---|---|---|
grant_type |
True | 付与タイプです。 "client_credentials" を使用してください。 |
client_id |
True | Microsoft Entra アプリに関連付けられているクライアント/アプリ識別子。 |
client_secret |
True | Microsoft Entra アプリに関連付けられているシークレット。 |
scope |
True | トークンが既定のスコープで要求されるターゲット リソース。 この場合、Marketplace SaaS API は常にターゲット リソースであるため、20e940b3-4c77-4b0b-9a53-9e16a1b010a7/.default を使用します。 |
回答
名前 | 種類 | 説明 |
---|---|---|
200 OK | TokenResponse | 要求成功。 |
TokenResponse
応答のサンプル:
{
"token_type": "Bearer",
"expires_in": "3600",
"ext_expires_in": "0",
"access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6ImlCakwxUmNxemhpeTRmcHhJeGRacW9oTTJZayIsImtpZCI6ImlCakwxUmNxemhpeTRmcHhJeGRacW9oTTJZayJ9…"
}
要素 | 説明 |
---|---|
access_token |
この要素は、すべての SaaS Fulfillment API と Marketplace 計測 API を呼び出すときに承認パラメーターとして渡す <access_token> です。 セキュリティで保護された REST API を呼び出すとき、トークンは Authorization 要求ヘッダー フィールドに "ベアラー" トークンとして埋め込まれ、API が呼び出し元を認証できるようにします。 |
expires_in |
アクセス トークンが発行されてから期限切れになるまでの有効継続時間 (秒単位)。 発行時刻はトークンの iat 要求で確認できます。 |
expires_on |
アクセス トークンが期限切れになるまでの期間。 日付は "1970-01-01T0:0:0Z UTC" からの秒数として表されます (トークンの exp 要求に対応)。 |
token_type |
トークンの種類。つまり "ベアラー" アクセス トークン。リソースが、このトークンのベアラーへのアクセスを提供できることを意味します。 |
関連するコンテンツ
Microsoft Entra ID で保護されたアプリで、 SaaS Fulfillment サブスクリプション API バージョン 2 および SaaS Fulfillment Operations API バージョン 2 を使用できるようになりました。
ビデオ チュートリアル