次の方法で共有


標準ベースの開発手法

開発者は、Microsoft Authentication Library (MSAL) によって強化されたソフトウェア開発に業界標準を有効に活用できます。 この記事では、Microsoft ID プラットフォームでサポートされている標準とその利点の概要について説明します。 最適なセキュリティのために、クラウド アプリケーションがゼロ トラスト要件を満たしていることを確認してください。

プロトコルについてはどうか?

プロトコルを実装する際には、最新のベスト プラクティスすべてに完全に対応したコードを記述する時間を含むコストを考慮し、安全な実装のために OAuth 2.0 のベスト プラクティスに従ってください。 代わりに、Microsoft Entra ID または Microsoft ID に直接構築する場合は、適切に管理されたライブラリ (MSAL を優先) を使用することをお勧めします。

MSAL は Microsoft Entra ID を使用して構築および動作するように最適化されています。 お使いの環境に MSAL がない場合、または独自のライブラリで有効にされた機能がある場合は、Microsoft ID プラットフォームを使用してアプリケーションを開発します。 OAuth 2.0 機能と OpenID Connect をベースにして構築してください。 プロトコルに正しくフォールバックするコストを検討してください。

Microsoft ID プラットフォームが標準をサポートする仕組み

ゼロ トラストを最も効率的かつ効果的に実現するには、Microsoft ID プラットフォームがサポートする業界標準を使用してアプリケーションを開発します。

OAuth 2.0 と OpenID Connect

OAuth 2.0 では、認証のための業界プロトコルとして、ユーザーは保護されたリソースへの制限付きアクセスを許可できます。 OAuth 2.0 は、ハイパーテキスト転送プロトコル (HTTP) と連携して、クライアントの役割をリソース所有者から分離します。 クライアントは、トークンを使用してリソース サーバーの保護されたリソースにアクセスします。

OpenID Connect コンストラクトを使用すると、Microsoft Entra 拡張機能でセキュリティを強化できます。 次の Microsoft Entra 拡張機能が最も一般的です。

  • 条件付きアクセス認証コンテキストを使用すると、アプリ レベルだけではなく、機密データとアクションを保護する細分性の高いポリシーを適用できます。
  • 継続的アクセス評価 (CAE) を使用すると、評価や実行のために Microsoft Entra アプリケーションで重要なイベントをサブスクライブできます。 CAE には、無効化または削除されたユーザー アカウント、パスワードの変更、トークンの失効、検出されたユーザーなどの危険なイベント評価が含まれます。

アプリケーションで CAE や条件付きアクセス認証コンテキストなどの強化されたセキュリティ機能を使用する場合は、クレーム チャレンジを管理するコードがそのアプリケーションに入っている必要があります。 オープン プロトコルにより、クレーム チャレンジとクレーム要求を使用して、他のクライアント機能を呼び出します。 たとえば、異常が原因で Microsoft Entra ID との対話を繰り返す必要があることをアプリに表示したりします。 もう 1 つのシナリオは、ユーザーが以前に認証された条件を満たさなくなった場合です。 開発者は、主要な認証コード フローを妨げることなく、これらの拡張機能のコーディングができます。

Security Assertion Markup Language (SAML)

Microsoft ID プラットフォームは、SAML 2.0 を使用して、ゼロ トラスト アプリケーションがシングル サインオン (SSO) ユーザー エクスペリエンスを提供できるようにしています。 Microsoft Entra ID の SSO およびシングル サインアウト SAML プロファイルは、ID プロバイダー サービスでの SAML アサーション、プロトコルおよびバインディングの使用方法を明確化します。 SAML プロトコルでは、ID プロバイダー (Microsoft ID プラットフォーム) とサービス プロバイダー (使用しているアプリケーション) は、それぞれに関する情報を交換する必要があります。 ゼロ トラスト アプリケーションを Microsoft Entra ID に登録する際は、アプリケーションのリダイレクト URI とメタデータ URI を含むフェデレーション関連の情報を Microsoft Entra ID に登録します。

プロトコルに対する MSAL の利点

マイクロソフトでは、Microsoft ID プラットフォームの MSAL を最適化し、SSO、トークン キャッシュ、および障害の回復性に最適なエクスペリエンスを提供しています。 MSAL が広く利用可能になるにつれて、言語とフレームワークの対象範囲を拡大し続けています。

MSAL を使用すると、Web アプリケーション、Web API、シングル ページ アプリ、モバイル アプリケーション、ネイティブ アプリケーション、デーモン、サーバー側アプリケーションなどのアプリケーション タイプに対してトークンを取得できます。 MSAL は、Microsoft Graph と API を介してユーザーとデータに安全にアクセスして、迅速かつ簡単に統合できます。 クラス最高の認証ライブラリを使用すると、あらゆるオーディエンスにリーチし、Microsoft セキュリティ開発ライフサイクルに従うことができます。

次のステップ