認証は ID の検証に役立ち、アクセス制御はユーザーとグループにリソースへのアクセスを許可するプロセスです。
認証プロトコルとエンドポイント: 顧客アプリと認証
顧客向けアプリケーションは、Open Authorization 2.0 (OAuth 2) または Security Assertion Markup Language 2.0 (SAML 2) を使用して、Microsoft Entra 外部 ID で認証できます。
次の表は、OAuth 2 と OpendID Connect (OIDC) のアプリケーション統合オプションをまとめたものです。
| アプリケーションの種類 | 認証イニシエーター | 認証オプション |
|---|---|---|
| ネイティブ クライアント: モバイル アプリとプラットフォーム アプリ | アプリを操作するユーザー |
-
MSAL(Microsoft Authentication Libraries)によるネイティブ認証、 - 、 |
| サーバー上で実行されている Web アプリケーション | アプリケーションと対話するユーザー | Authorization code (承認コード) |
| ブラウザーで実行されている Web アプリケーション、シングルページ アプリケーション (SPA) | アプリケーションと対話するユーザー |
- MSAL を使用した - コード交換用の証明キー (PKCE) を使用した認証コード - Hybrid または暗黙的 |
| サーバー上で実行されている Web アプリケーション: ミドルウェア | ユーザーに代わってアプリケーションを作成する | 〜の代理として |
| サーバー上で実行されている Web アプリケーション | ヘッドレス サービスまたはアプリケーション | クライアントの資格情報 |
| 制限付き入力デバイス | デバイスと対話するユーザー | デバイス コード フロー |
注
代わりに、ミドルウェアとバックエンドに提示されるサブ (サブジェクト) 要求が異なります。 アクセス トークン要求リファレンスのペイロードを参照してください。 サブジェクトは、アプリケーション ID に対して一意のペアワイズ識別子です。 ユーザーが異なるクライアント ID を使用して 2 つのアプリケーションにサインインすると、アプリケーションは 2 つのサブジェクト要求値を受け取ります。 2 つの値がアーキテクチャとプライバシーの要件に依存する場合に使用します。 オブジェクト識別子 (OID) 要求を書き留めます。これは、テナント内のアプリケーション間で同じままです。
OAuth 2 と OIDC フローの次の図は、OAuth アプリケーション統合オプションを示しています。
SAML のアプリケーション統合オプションは、サービス プロバイダー (SP) によって開始されるフローに基づいています。 SAML フローの詳細については、Microsoft Entra ID を使用した認証に関する記事を参照してください。
カスタム認証拡張機能の設計
カスタム認証拡張機能を使用して、外部システムと統合して Microsoft Entra 認証エクスペリエンスをカスタマイズします。 次の図では、サインアップから返されたトークンまでの進行状況に注意してください。
カスタム認証拡張機能の概要を参照してください。
次の図は、カスタム認証フローを示しています。
API とイベント ハンドラーに関する考慮事項
API を専用 API として実装するか、API マネージャーなどのミドルウェア ソリューションを使用して API ファサード を使用して実装します。 各カスタム拡張機能には、厳密に型指定された API コントラクトがあります。 定義に注意してください。
authenticationEventListener リソースの種類の詳細について説明します。
注
前の記事の一覧は、リソースの種類を追加するにつれて大きくなります。
Microsoft は、Azure Functions アプリを構築する .NET 開発者向けの NuGet パッケージを提供しています。 このソリューションは、Microsoft Entra 認証イベントの受信 HTTP 要求のバックエンド処理を処理します。 IDE IntelliSense を使用して API 呼び出し、オブジェクト モデル、型をセキュリティで保護するためのトークン検証を見つけます。 また、API 要求スキーマと応答スキーマの受信検証と送信検証も検索します。
認証拡張機能は、サインインフローとサインアップ フローと共にインラインで実行されます。 シナリオが高パフォーマンスで堅牢で、セキュリティで保護されていることを確認します。 Azure Functions には、ライブラリ、シークレット ストレージ用 の Azure Key Vault 、キャッシュ、自動スケール、監視などのセキュリティで保護されたインフラストラクチャが用意されています。 セキュリティ操作には、その他の推奨事項があります。
次のステップ
Microsoft Entra External ID の展開を開始するには、次の記事を参照してください。
- Microsoft Entra 外部 ID 展開ガイドの概要
- テナントの設計
- 顧客認証エクスペリエンス
- セキュリティ操作
- 認証とアクセス制御のアーキテクチャ