ネイティブ認証を使用してユーザーをサインインさせ、サンプル Android アプリで API を呼び出す

適用対象: 従業員テナント 外部テナント (詳細情報)

このクイックスタートでは、ASP.NET Core Web API を呼び出すようにサンプル Android モバイル アプリケーションを構成する方法について説明します。

[前提条件]

• ネイティブ認証を使用して、サンプル Android (Kotlin) モバイル アプリでユーザーをサインインします。
• Microsoft Entra 管理センターで、次の構成で Web API 用の新しいアプリケーションを登録します。 詳細な手順については、「 アプリケーションの登録」を参照してください。 後で使用するために、 アプリケーション (クライアント) ID と ディレクトリ (テナント) ID を 記録します。
  • 名前: ciam-ToDoList-api。
  • サポートされているアカウントの種類: この組織のディレクトリ内のアカウントのみ (シングル テナント)

API スコープを構成する

クライアント アプリがユーザーのアクセス トークンを正常に取得するために、API は少なくとも 1 つのスコープ (委任されたアクセス許可とも呼ばれます) を発行する必要があります。 スコープを発行するには、次の手順に従います。

1. [アプリの登録] ページで、作成した API アプリケーション (ciam-ToDoList-api) を選択して [概要] ページを開きます。

2. [管理] の [API の公開] を選択します。

3. ページ上部の [アプリケーション ID URI] の横にある [追加] リンクを選択して、このアプリに一意の URI を生成します。

4. 提案されたアプリケーション ID URI (api://{clientId} など) を受け入れ、[保存] を選択します。 Web アプリケーションで Web API のアクセス トークンを要求すると、API に対して定義する各スコープのプレフィックスとしてこの URI が追加されます。

5. [この API で定義されるスコープ] で、 [スコープの追加] を選択します。

6. API への読み取りアクセスを定義する次の値を入力した後に、[スコープの追加] を選択して変更を保存します。

   プロパティ	価値
   スコープ名	ToDoList.Read
   誰が同意できるか	管理者のみ
   管理者の同意の表示名	'TodoListApi' を使用してユーザーの ToDo リストを読み取る
   管理者の同意の説明	'TodoListApi' を使用して、アプリがユーザーの ToDo リストを読み取ることを許可します。
   状態	有効

7. もう一度 [スコープの追加] を選択し、API への読み取りおよび書き込みアクセスを定義する次の値を入力します。 [スコープの追加] を選択して変更を保存します。

   プロパティ	価値
   スコープ名	ToDoList.ReadWrite
   誰が同意できるか	管理者のみ
   管理者の同意の表示名	'ToDoListApi' を使用した、ユーザーの ToDo リストの読み取りと書き込み
   管理者の同意の説明	'ToDoListApi' を使用して、アプリからユーザーの ToDo リストを読み書きできるようにする
   状態	有効

Web API のアクセス許可を発行するときの最小限の特権の原則について説明します。

アプリ ロールを構成する

API は、クライアント アプリがアクセス トークンをそれ自体として取得するために、アプリケーションに対して少なくとも 1 つのアプリ ロール ( アプリケーションアクセス許可とも呼ばれます) を発行する必要があります。 アプリケーションのアクセス許可は、クライアント アプリケーションが自身として正常に認証できるようにして、ユーザーをサインインさせる必要がないようにする場合に、API が発行するアクセス許可の種類です。 アプリケーションのアクセス許可を発行するには、次の手順に従います。

1. [アプリの登録] ページから、作成したアプリケーション (ciam-ToDoList-api など) を選択して、その [概要] ページを開きます。

2. [管理] で、[アプリ ロール] を選択します。

3. [アプリ ロールの作成] を選択し、次の値を入力し、[適用] を選択して変更を保存します:

   プロパティ	価値
   表示名	ToDoList.Read.All
   Allowed member types (許可されるメンバーの種類)	アプリケーション
   価値	ToDoList.Read.All
   説明	'ToDoListApi' を使用して、アプリがすべてのユーザーの ToDo リストを読むことができるようにする
   このアプリ ロールを有効にしますか?	オンのままにする

4. もう一度 [アプリ ロールの作成] を選択し、2 番目のアプリ ロールに次の値を入力し、[適用] を選択して変更を保存します:

   プロパティ	価値
   表示名	ToDoList.ReadWrite.All
   Allowed member types (許可されるメンバーの種類)	アプリケーション
   価値	ToDoList.ReadWrite.All
   説明	'ToDoListApi' を使用して、アプリがすべてのユーザーの ToDo リストを読み書きできるようにする
   このアプリ ロールを有効にしますか?	オンのままにする

オプションクレームの設定

idtyp の省略可能な要求を追加すると、Web API がトークンが アプリ トークンなのか アプリ + ユーザー トークンなのかを判断するのに役立ちます。 scp とロール要求の組み合わせを同じ目的で使用できますが、idtyp 要求を使用すると、アプリ トークンとアプリ + ユーザー トークンを区別する最も簡単な方法です。 たとえば、トークンがアプリ専用トークンの場合、この要求の値は app です。

Android サンプル アプリに API アクセス許可を付与する

クライアント アプリと Web API の両方を登録し、スコープを作成して API を公開したら、次の手順に従って、API に対するクライアントのアクセス許可を構成できます。

1. [アプリの登録] ページで、作成したアプリケーション (ciam-client-app など) を選択して、の [概要] ページを開きます。

2. [管理] で API 許可を選択します。

3. [構成されたアクセス許可] の下で [アクセス許可の追加] を選択します。

4. [所属する組織で使用している API] タブを選択します。

5. API の一覧で、API (ciam-ToDoList-api など) を選択します。

6. [委任されたアクセス許可] オプションを選択します。

7. アクセス許可の一覧で [ToDoList.Read, ToDoList.ReadWrite] を選択します (必要に応じて検索ボックスを使用します)。

8. [アクセス許可の追加] ボタンを選択します。

9. この時点で、アクセス許可が正しく割り当てられました。 ただし、このテナントは顧客のテナントであるため、コンシューマー ユーザー自身がこれらのアクセス許可に同意することはできません。 これに対処するには、管理者がテナント内のすべてのユーザーに代わってこれらのアクセス許可に同意する必要があります。

   1. [<テナント名> に管理者の同意を与えます] を選択してから、[はい] を選択します。

   2. [最新の情報に更新] を選択し、両方のアクセス許可の < に ">テナント名 に付与されました" と表示されていることを確認します。

10. [Configured permissions] (構成されたアクセス許可) の一覧でToDoList.Read と ToDoList.ReadWrite のアクセス許可を一度に 1 つずつ選択し、後で使用するためにアクセス許可の完全な URI をコピーします。 完全なアクセス許可 URI は、api://{clientId}/{ToDoList.Read} または api://{clientId}/{ToDoList.ReadWrite} のようになります。

サンプル Web API を複製またはダウンロードする

サンプル アプリケーションを取得するには、GitHub から複製するか、.zip ファイルとしてダウンロードします。

• サンプルを複製するには、コマンド プロンプトを開き、プロジェクトを作成する場所に移動し、次のコマンドを入力します。

  git clone https://github.com/Azure-Samples/ms-identity-ciam-dotnet-tutorial.git
  

• .zip ファイルをダウンロードします。 名前の長さが 260 文字未満のファイル パスに抽出します。

サンプル Web API の構成と実行

1. コード エディターで、2-Authorization/1-call-own-api-aspnet-core-mvc/ToDoListAPI/appsettings.json ファイルを開きます。

2. プレースホルダーを見つけてください。

   • Enter_the_Application_Id_Here を選択し、先ほどコピーした Web API の アプリケーション (クライアント) ID に置き換えます。
   • Enter_the_Tenant_Id_Here を選択し、先ほどコピーした ディレクトリ (テナント) ID に置き換えます。
   • Enter_the_Tenant_Subdomain_Here をディレクトリ (テナント) サブドメインに置き換えます。 たとえば、テナントのプライマリ ドメインが contoso.onmicrosoft.com の場合は、contoso を使用します。 テナント名がない場合は、テナントの詳細を読み取る方法を確認してください。

それを呼び出すには、Android サンプル アプリ用の Web API をホストする必要があります。 クイック スタート: ASP.NET Web アプリをデプロイして Web API をデプロイする方法に従います。

Web API を呼び出すサンプル Android モバイル アプリを構成する

このサンプルでは、複数の Web API URL エンドポイントとスコープ のセットを構成できます。 この場合は、1 つの Web API URL エンドポイントとそれに関連付けられているスコープのみを構成します。

1. Android Studio で、 /app/src/main/java/com/azuresamples/msalnativeauthandroidkotlinsampleapp/AccessApiFragment.kt ファイルを開きます。

2. WEB_API_URL_1という名前のプロパティを検索し、URL を Web API に設定します。

   private const val WEB_API_URL_1 = "" // Developers should set the respective URL of their web API here
   

3. scopesForAPI1という名前のプロパティを検索し、「API のアクセス許可を Android サンプル アプリに付与する」に記録されているスコープを設定します。

   private val scopesForAPI1 = listOf<String>() // Developers should set the respective scopes of their web API here. For example, private val scopes = listOf<String>("api://{clientId}/{ToDoList.Read}", "api://{clientId}/{ToDoList.ReadWrite}")
   

Android サンプル アプリを実行して Web API を呼び出す

アプリをビルドして実行するには、次の手順に従います。

1. ツール バーの [実行構成] メニューからアプリを選択します。

2. ターゲット デバイス メニューで、アプリを実行するデバイスを選択します。

   デバイスが構成されていない場合は、Android Emulator を使用する Android 仮想デバイスを作成するか、物理デバイスを接続する必要があります。

3. [ 実行 ] ボタンを選択します。 電子メールとワンタイム パスコード画面でアプリが開きます。

4. [API] タブを選択して API 呼び出しをテストします。 Web API の呼び出しが成功すると HTTP 200が返され、HTTP 403 は未承認のアクセスを示します。

次のステップ