OpenID Connect プロバイダーを使用してサインインするように App Service または Azure Functions アプリを構成する

この記事では、 OpenID Connect (OIDC) 仕様に準拠するカスタム認証プロバイダーを使用するように Azure App Service または Azure Functions を構成する方法について説明します。 OIDC は、多くの ID プロバイダー (IDP) が使用する業界標準です。 OIDC ID プロバイダーを使用するアプリの仕様の詳細を理解する必要はありません。

1 つ以上の OIDC プロバイダーを使用するようにアプリを構成できます。 各プロバイダーには、構成に一意の英数字名が必要です。 既定のリダイレクト ターゲットとして使用できるプロバイダーは 1 つのみです。

アプリケーションを ID プロバイダーに登録する

プロバイダーはユーザーに、アプリケーションの詳細を登録することを求めます。 これらの手順の 1 つは、フォームが <app-url>/.auth/login/<provider-name>/callbackされたリダイレクト URI の指定です。 各 ID プロバイダーは、手順を完了する方法の詳細な手順を提供する必要があります。 <provider-name>値は、Azure の OpenID プロバイダー名に付けるフレンドリ名を参照します。

アプリケーションの クライアント ID と クライアント シークレット を収集する必要があります。 クライアント シークレットは、重要なセキュリティ資格情報です。 このシークレットを他のユーザーと共有したり、クライアント アプリケーションで配布したりしないでください。

プロバイダーの OIDC メタデータも必要です。 このメタデータは、多くの場合、のサフィックスが付いたプロバイダーの発行者 URL である/.well-known/openid-configurationで公開されます。 この構成 URL を取得します。

構成メタデータ ドキュメントを使用できない場合は、次の値を個別に取得します。

• 発行者の URL (issuer として表示されることがあります)
• OAuth 2.0 承認エンドポイント (authorization_endpointと表示される場合があります)
• OAuth 2.0 トークン エンドポイント (token_endpointと表示される場合があります)
• OAuth 2.0 JSON Web キー セット ドキュメントの URL (jwks_uriと表示される場合があります)

アプリケーションにプロバイダー情報を追加する

OpenID Connect プロバイダーのプロバイダー情報を追加するには、次の手順に従います。

1. Azure portal にサインインし、アプリに移動します。

2. 左側のメニューで、[設定]>[認証] を選択します。 次 に、[ID プロバイダーの追加] を選択します。

3. ID プロバイダーの場合は、[OpenID Connect] を選択します。

4. OpenID プロバイダー名には、先ほど選択した一意の英数字名を指定します。

5. ID プロバイダーのメタデータ ドキュメントの URL がある場合は、その値を メタデータ URL に指定します。

   それ以外の場合は、[ エンドポイントを個別に指定する] を選択します。 ID プロバイダーの各 URL を適切なフィールドに配置します。

6. クライアント ID に対して前に収集した値を指定 します。 クライアント シークレットも収集された場合は、構成プロセスの一部として指定します。

7. クライアント シークレットのアプリケーション設定名を指定します。 クライアント シークレットは、シークレットが安全な方法で格納されるように、アプリ設定として格納されます。 Azure Key Vault でシークレットを管理する場合は、後でその設定を更新して Azure Key Vault 参照を使用します。

8. [ 追加] を選択して、ID プロバイダーの設定を完了します。

関連コンテンツ

• Azure App Service と Azure Functions での認証と承認
• チュートリアル: Azure App Service でエンド ツー エンドでユーザーを認証および承認する