Microsoft Entra ID での認証と認可
Microsoft Entra ID での認証と認可サービスは、標準に準拠した方法で、OAuth 2.0 や OpenID Connect などの最新の認証プロトコルをサポートすることによって提供されます。 Microsoft 認証ライブラリ (MSAL) などのオープンソース ライブラリや、標準に準拠している他のライブラリを、Microsoft Entra ID で使用できます。
従業員ポータルのシナリオでは、認証と認可のための ID プロバイダーとして Microsoft Entra ID を組織で使用する方法を学習します。
このユニットでは、認証、認可、および Microsoft Entra ID でのそのサポート方法について学習します。
認証
認証とは、アプリケーションにアクセスしているエンド ユーザーの ID を確立して検証するプロセスのことです。
Microsoft Entra ID での認証の処理には、OpenID Connect プロトコルが使用されます。 OpenID Connect により、認証されたユーザーとセッションに関する基本情報をアプリケーションで取得できます。
承認
承認とは、認証されたユーザーが何らかの操作を実行したり、データにアクセスしたりするためのアクセス許可を持っていることを確認するプロセスです。
Microsoft Entra ID でさまざまなアプリケーションに認可フローを提供するには、OAuth 2.0 プロトコルが使用されます。
アプリケーション登録
Microsoft Entra ID の ID およびアクセス管理サービスを利用するには、先にアプリケーションを登録する必要があります。 アプリケーションを登録すると、アプリケーションと ID プロバイダーの間に信頼関係が確立されます。 アプリケーションの登録の作成は、Azure portal、Azure CLI、またはプログラムで Microsoft Graph API を使用して行うことができます。
アプリケーションの登録を行う際には、アプリケーションの名前、アプリケーションの種類 (Web、デスクトップなど)、およびアクセスを許可するユーザー アカウントであるサインイン対象ユーザーを指定することができます。 サインイン対象ユーザーには次のものが含まれます。
- 組織のテナントのユーザーのみが使用するアプリケーションをビルドしている場合は (シングルテナント)、この組織のディレクトリ内のアカウントのみ。
- 任意の Microsoft Entra テナントのユーザーがアプリケーションを使用できるようにする場合は (マルチテナント)、任意の組織のディレクトリ内のアカウント。
- 最も広範な顧客のセットの場合は (Microsoft の個人用アカウントもサポートしているマルチテナント)、任意の組織のディレクトリ内のアカウントと、個人用の Microsoft アカウント。
- 個人用の Microsoft アカウント (Hotmail、Live、Skype、Xbox アカウントなど) のユーザーのみが使用する場合は、個人用の Microsoft アカウント。
アプリケーションを登録するときに、資格情報、リダイレクト URI、その他の認証設定を構成することもできます。
アプリケーションの登録が完了すると、Microsoft Entra ID 内でアプリケーションを一意に識別するアプリケーション (クライアント) ID を受け取ります。 この ID は、アプリケーション コードまたは認証ライブラリで、Microsoft Entra ID に対して行う要求の一部として使用されます。