ネイティブ認証の Web フォールバック

適用対象: 従業員テナント 外部テナント (詳細情報)

Web フォールバックを使用すると、ネイティブ認証を使用するクライアント アプリで、回復性を向上させるためのフォールバック メカニズムとしてブラウザー委任認証を使用できます。 このシナリオは、認証フローを完了するのにネイティブ認証だけでは十分ではない場合に発生します。 たとえば、クライアントで提供できない機能が承認サーバーに必要な場合です。

ネイティブ認証を使用するすべてのクライアント アプリで、Web フォールバックをサポートする必要があります。

Web フォールバック フロー

このフローは、Web フォールバックが発生する方法を示しています。

• クライアント アプリでは、ユーザーから初期情報を収集し、Microsoft Entra に要求を行って認証フローを開始します。
• Microsoft Entra では成功またはエラーの応答を返します。 成功応答は、クライアント アプリで引き続き Microsoft Entra への要求を実行できることを示します。 エラー応答は、クライアントでユーザーに詳細情報を求めるダイアログを表示し続けて、引き続き Microsoft Entra への要求を実行できることを示します。 エラー応答は、クライアントでブラウザー委任認証を使用する必要があることを示すこともできます。
• エラー応答が、クライアントでブラウザー委任認証を使用する必要があることを示している場合、クライアントではブラウザーで認証フローを続行します。

シナリオ例

Microsoft Entra が、クライアントでブラウザー委任認証を使用する必要があることを示す可能性がある場合の例を見てみましょう。

• Microsoft Entra 管理センターでは、管理者がパスワード付きメールの認証方法を使用するようにアプリを構成します。
• この構成は、Microsoft Entra では、クライアント アプリがユーザーからメール アドレス (ユーザー名) とパスワードを収集できる必要があることを意味します。 クライアント アプリでは、password チャレンジ型を送信して、これが可能であることを Microsoft Entra に伝えます。 チャレンジ型の詳細については、ネイティブ認証のチャレンジ型に関する記事を参照してください。
• クライアント アプリでは、サーバーからユーザーのメール アドレスに送信するワンタイム パスコードを送信して、メール アドレスを検証する必要もあります。 クライアント アプリでは、oob チャレンジ型を送信して、これが可能であることを Microsoft Entra に伝えます。 チャレンジ型の詳細については、ネイティブ認証のチャレンジ型に関する記事を参照してください
• クライアント アプリで oob と password のどちらのチャレンジ型も送信しない場合、Microsoft Entra では、設定された要件をクライアント アプリが満たすことができないと解釈します。 この場合、Microsoft Entra によって、クライアントでブラウザー委任認証を使用する必要があることを示すエラーが返されます。

Web フォールバックのサポート

Microsoft Entra の応答が、クライアント アプリがブラウザー委任認証にフォールバックする必要があることを示している場合は、Microsoft が構築し、サポートされている認証ライブラリを使用することをお勧めします。

ネイティブ Android アプリとネイティブ iOS/macOS アプリで Web フォールバックをサポートする方法について説明します。

関連するコンテンツ

• ネイティブ認証のチャレンジ型
• チュートリアル: Android アプリでの Web フォールバックのサポート
• チュートリアル: iOS/macOS アプリで Web フォールバックをサポートする