アプリの OneDrive へのアクセスを承認します。
アプリから OneDrive に対して要求する前に、アプリがデータにアクセスすることをユーザーが認証および承認する必要があります。 承認を取得する方法は、アプリが OneDrive と SharePoint を対象としているか、SharePoint Server 2016 を対象としているかによって異なります。
Microsoft Graph、OneDrive、および SharePoint では、標準の OAuth2 または Open ID Connect 承認フローをサポートしています。 Microsoft Graph に対する要求は、これらのフローのいずれかから取得するベアラー トークンを使用して認証されます。
Microsoft Graph (OneDrive および SharePoint Online)
Microsoft Graph は、アカウントの認証とアプリケーションの認証に Azure Active Directory を使用します。 v2.0 エンドポイントを使用すると、アプリケーションは、単一の認証フローでコンシューマー ユーザーを Microsoft アカウントに、職場/学校ユーザーを Azure Active Directory アカウントにサインインできるようになります。 作業を開始するために、Microsoft Graph で OAuth を使用する方法について簡単に説明します。
| メソッド | 説明 |
|---|---|
| サインイン | Microsoft アカウントおよび OneDrive 個人用にサインインします。 |
| 更新 | アクセス トークンを更新します。 |
| サイン アウト | Microsoft アカウントおよび OneDrive 個人用からサインアウトします。 |
Microsoft Graph のすべての認証シナリオについての詳細な一覧は、「Microsoft Graph でのアプリ認証」を参照してください。
SharePoint Server 2016
OneDrive API は、ユーザーとアプリケーションの認証のために、SharePoint Server 2016 (Microsoft Azure Access Control Service (ACS)、Windows NT LAN Manager (NTLM) および Active Directory フェデレーション サービス (AD FS) を含む) で提供される認証メカニズムをサポートしています。 ハイブリッドのお客様にも、AAD 認証を使用するオプションが用意されています。
AAD 認証
ハイブリッドのお客様、またはオンプレミスのお客様 (AAD によるオンプレミスの識別を統合している場合) は、標準の OAuth 2.0 認証スキーマでユーザーを認証してアクセス トークンを生成する OneDrive API を使用できます。 OneDrive for Business は、ユーザーとアプリケーションの認証に Azure Active Directory を使用します。
| メソッド | 説明 |
|---|---|
| サインイン | AAD アカウントおよび OneDrive for Business にサインインします。 |
| Refresh | アクセス トークンを更新します。 |
ACS 認証
SharePoint Server 2016 は、クレームベース認証をサポートしています。 クレームベース認証の結果は、SharePoint Security Token Service (STS) が生成するクレームベースのセキュリティ トークンとなります。 SharePoint Server 2016 は、Windows 認証、フォームベース認証、および SAML (Security Assertion Markup Language) ベース認証をサポートしています。
ACS アプリ認証を実行するために、アプリケーションは、Microsoft Azure Access Control Service (ACS) からアクセス トークンを入手するか、SharePoint Server 2016 が信頼する証明書でアクセス トークンに自己署名することでアクセス トークンを入手する必要があります。 そのアクセス トークンは、特定の SharePoint リソースへのアクセスをアサートし、ユーザーの資格情報のみを確認する代わりに、アプリおよび関連付けられたユーザーの識別情報を格納します。
これら 3 つのユーザー認証方法と ACS アプリ認証の詳細については、「SharePoint Server 2016 の認証の概要」を参照してください。
AD FS 認証
OneDrive API では、SharePoint Server 2016 の AD FS 認証を使用して、ユーザーとアプリケーションを認証することもできます。 Windows Server 2016の AD FS (AD FS 2016) を使用すると、業界標準の OpenID Connect と OAuth 2.0 ベースの認証と承認をアプリケーションに追加し、それらのアプリケーションで AD FS に対してユーザーを直接認証できます。
Azure AD に対するユーザーの認証に既に使用しているツールとライブラリのセットを使用して、AD FS モダン認証をアプリケーションに追加できます。 AD FS のシナリオでは、ID プロバイダーと承認サーバーとして機能するのは AD FS であり、Azure AD ではありません。 それ以外の場合、概念はまったく同じです。ユーザーは資格情報を提供し、リソースへのアクセスのために直接または中間を介してトークンを取得します。
AD FS 認証の詳細については、「開発者のための AD FS のシナリオ」を参照してください。