シナリオ:保護された Web API

このシナリオでは、Web API を公開する方法と、認証されたユーザーのみが Web API にアクセスできるように Web API を保護する方法について説明します。

Web API を使用するには、職場または学校アカウントの両方で認証されたユーザーを有効にするか、Microsoft の個人アカウントを有効にします。

詳細

Web API を保護するために必要な特定の情報を次に示します。

• お使いのアプリの登録では、少なくとも 1 つのスコープ、または 1 つのアプリケーション ロールを公開する必要があります。
  • スコープは、ユーザーの代わりに呼び出される Web API によって公開されます。
  • アプリケーション ロールは、デーモン アプリケーション (それ自体のために Web API を呼び出すアプリ) が呼び出す Web API によって公開されます。
• 新しい Web API アプリの登録を作成する場合、Web API が受け入れるアクセス トークンのバージョンとして 2 という値を選択します。 レガシ Web API の場合、受け入れられるトークンのバージョンを null にできますが、この値により、サインイン対象ユーザーは組織のみに制限されます。個人の Microsoft アカウント (MSA) はサポートされなくなります。
• Web API のコード構成では、Web API が呼び出されたときに使用されるトークンを検証する必要があります。
• コントローラー アクション内のコードでは、トークン内のロールまたはスコープを検証する必要があります。

推奨資料

OAuth 2.0 と OpenID Connect を使用した ID およびアクセス管理 (IAM) を初めて使用する場合、または Microsoft ID プラットフォームの IAM を初めて使用する場合は、次の一連の記事をお読みください。

これらは、最初のクイックスタートまたはチュートリアルを完了する前に読む必要はありませんが、プラットフォームに不可欠なトピックについて説明しており、これらをよく知ると、より複雑なシナリオを構築する際に役立ちます。

認証と権限承認

• 認証の基本
• ID トークン
• アクセス トークン

Microsoft ID プラットフォーム

• 対象ユーザー
• アプリケーションとサービス プリンシパル
• アクセス許可と同意

次のステップ

このシナリオの次の記事「アプリの登録」に進みます。