次の方法で共有

ネイティブ認証を使用してサンプル iOS モバイル アプリでユーザーをサインインさせ、API を呼び出す

適用対象: 灰色の X 記号がある白い円。 従業員テナント 白いチェック マーク記号がある緑の円。 外部テナント (詳細情報)

このクイック スタートでは、ASP.NET Core Web API を呼び出すように iOS サンプル アプリケーションを構成する方法について説明します。

[前提条件]

Web API アプリケーションを登録する

  1. アプリケーション開発者以上として Microsoft Entra 管理センターにサインインします。

  2. 複数のテナントにアクセスできる場合、上部のメニューの [設定] アイコン を使用し、[ディレクトリとサブスクリプション] メニューから外部テナントに切り替えます。

  3. Entra ID>アプリ登録に移動します。

  4. [+ 新規登録] を選択します。

  5. 表示される [アプリケーションの登録] ページで、アプリケーションの登録情報を入力します。

    1. [名前] セクションで、アプリのユーザーに表示されるわかりやすいアプリケーション名 (ciam-ToDoList-api など) を入力します。

    2. [サポートされているアカウントの種類] で、[この組織のディレクトリ内のアカウントのみ] を選択します。

  6. [登録] を選択して、アプリケーションを作成します。

  7. 登録が完了すると、アプリケーションの [概要] ペインが表示されます。 ディレクトリ (テナント) ID と、アプリケーションのソース コードで使用する アプリケーション (クライアント) ID を記録します。

API スコープを構成する

クライアント アプリがユーザーのアクセス トークンを正常に取得するために、API は少なくとも 1 つのスコープ (委任されたアクセス許可とも呼ばれます) を発行する必要があります。 スコープを発行するには、次の手順に従います。

  1. [アプリの登録] ページで、作成した API アプリケーション (ciam-ToDoList-api) を選択して [概要] ページを開きます。

  2. [管理][API の公開] を選択します。

  3. ページ上部の [アプリケーション ID URI] の横にある [追加] リンクを選択して、このアプリに一意の URI を生成します。

  4. 提案されたアプリケーション ID URI (api://{clientId} など) を受け入れ、[保存] を選択します。 Web アプリケーションで Web API のアクセス トークンを要求すると、API に対して定義する各スコープのプレフィックスとしてこの URI が追加されます。

  5. [この API で定義されるスコープ] で、 [スコープの追加] を選択します。

  6. API への読み取りアクセスを定義する次の値を入力した後に、[スコープの追加] を選択して変更を保存します。

    プロパティ 価値
    スコープ名 ToDoList.Read
    誰が同意できるか 管理者のみ
    管理者の同意の表示名 'TodoListApi' を使用してユーザーの ToDo リストを読み取る
    管理者の同意の説明 'TodoListApi' を使用して、アプリがユーザーの ToDo リストを読み取ることを許可します
    状態 有効

  7. もう一度 [スコープの追加] を選択し、API への読み取りおよび書き込みアクセスを定義する次の値を入力します。 [スコープの追加] を選択して変更を保存します。

    プロパティ 価値
    スコープ名 ToDoList.ReadWrite
    誰が同意できるか 管理者のみ
    管理者の同意の表示名 'ToDoListApi' を使用した、ユーザーの ToDo リストの読み取りと書き込み
    管理者の同意の説明 'ToDoListApi' を使用して、アプリからユーザーの ToDo リストを読み書きできるようにする
    状態 有効

Web API のアクセス許可を発行するときの最小限の特権の原則について説明します。

アプリ ロールを構成する

API は、クライアント アプリがアクセス トークンをそれ自体として取得するために、アプリケーションに対して少なくとも 1 つのアプリ ロール ( アプリケーションアクセス許可とも呼ばれます) を発行する必要があります。 アプリケーションのアクセス許可は、クライアント アプリケーションが自身として正常に認証できるようにして、ユーザーをサインインさせる必要がないようにする場合に、API が発行するアクセス許可の種類です。 アプリケーションのアクセス許可を発行するには、次の手順に従います。

  1. [アプリの登録] ページから、作成したアプリケーション (ciam-ToDoList-api など) を選択して、その [概要] ページを開きます。

  2. [管理] で、[アプリ ロール] を選択します。

  3. [アプリ ロールの作成] を選択し、次の値を入力し、[適用] を選択して変更を保存します:

    プロパティ 価値
    表示名 ToDoList.Read.All
    Allowed member types (許可されるメンバーの種類) アプリケーション
    価値 ToDoList.Read.All
    説明 'ToDoListApi' を使用して、アプリがすべてのユーザーの ToDo リストを読むことができるようにする
    このアプリ ロールを有効にしますか? オンのままにする

  4. もう一度 [アプリ ロールの作成] を選択し、2 番目のアプリ ロールに次の値を入力し、[適用] を選択して変更を保存します:

    プロパティ 価値
    表示名 ToDoList.ReadWrite.All
    Allowed member types (許可されるメンバーの種類) アプリケーション
    価値 ToDoList.ReadWrite.All
    説明 'ToDoListApi' を使用して、アプリがすべてのユーザーの ToDo リストを読み書きできるようにする
    このアプリ ロールを有効にしますか? オンのままにする

オプションクレームの設定

idtyp の省略可能な要求を追加すると、Web API がトークンが アプリ トークンなのか アプリ + ユーザー トークンなのかを判断するのに役立ちます。 scpロール要求の組み合わせを同じ目的で使用できますが、idtyp 要求を使用すると、アプリ トークンとアプリ + ユーザー トークンを区別する最も簡単な方法です。 たとえば、トークンがアプリ専用トークンの場合、この要求の値は app です。

iOS サンプル アプリに API アクセス許可を付与する

クライアント アプリと Web API の両方を登録し、スコープを作成して API を公開したら、次の手順に従って、API に対するクライアントのアクセス許可を構成できます。

  1. [アプリの登録] ページで、作成したアプリケーション (ciam-client-app など) を選択して、の [概要] ページを開きます。

  2. [管理] で API 許可を選択します。

  3. [構成されたアクセス許可] の下で [アクセス許可の追加] を選択します。

  4. [所属する組織で使用している API] タブを選択します。

  5. API の一覧で、API (ciam-ToDoList-api など) を選択します。

  6. [委任されたアクセス許可] オプションを選択します。

  7. アクセス許可の一覧で [ToDoList.Read, ToDoList.ReadWrite] を選択します (必要に応じて検索ボックスを使用します)。

  8. [アクセス許可の追加] ボタンを選択します。

  9. この時点で、アクセス許可が正しく割り当てられました。 ただし、このテナントは顧客のテナントであるため、コンシューマー ユーザー自身がこれらのアクセス許可に同意することはできません。 これに対処するには、管理者がテナント内のすべてのユーザーに代わってこれらのアクセス許可に同意する必要があります。

    1. [<テナント名> に管理者の同意を与えます] を選択してから、[はい] を選択します。

    2. [最新の情報に更新] を選択し、両方のアクセス許可の < に ">テナント名 に付与されました" と表示されていることを確認します。

  10. [Configured permissions] (構成されたアクセス許可) の一覧でToDoList.ReadToDoList.ReadWrite のアクセス許可を一度に 1 つずつ選択し、後で使用するためにアクセス許可の完全な URI をコピーします。 完全なアクセス許可 URI は、api://{clientId}/{ToDoList.Read} または api://{clientId}/{ToDoList.ReadWrite} のようになります。

サンプル Web API を複製またはダウンロードする

サンプル アプリケーションを取得するには、GitHub から複製するか、.zip ファイルとしてダウンロードします。

  • サンプルを複製するには、コマンド プロンプトを開き、プロジェクトを作成する場所に移動し、次のコマンドを入力します。

    git clone https://github.com/Azure-Samples/ms-identity-ciam-dotnet-tutorial.git

  • .zip ファイルをダウンロードします。 名前の長さが 260 文字未満のファイル パスに抽出します。

サンプル Web API の構成と実行

  1. コード エディターで、2-Authorization/1-call-own-api-aspnet-core-mvc/ToDoListAPI/appsettings.json ファイルを開きます。

  2. プレースホルダーを見つけてください。

    • Enter_the_Application_Id_Here を選択し、先ほどコピーした Web API の アプリケーション (クライアント) ID に置き換えます。
    • Enter_the_Tenant_Id_Here を選択し、先ほどコピーした ディレクトリ (テナント) ID に置き換えます。
    • Enter_the_Tenant_Subdomain_Here をディレクトリ (テナント) サブドメインに置き換えます。 たとえば、テナントのプライマリ ドメインが contoso.onmicrosoft.com の場合は、contoso を使用します。 テナント名がない場合は、テナントの詳細を読み取る方法を確認してください

それを呼び出すには、iOS サンプル アプリ用の Web API をホストする必要があります。 クイック スタート: ASP.NET Web アプリをデプロイして Web API をデプロイする方法に従います。

Web API を呼び出すサンプル iOS モバイル アプリを構成する

このサンプルでは、複数の Web API URL エンドポイントとスコープ のセットを構成できます。 この場合は、1 つの Web API URL エンドポイントとそれに関連付けられているスコープのみを構成します。

  1. Xcode で、 /NativeAuthSampleApp/ProtectedAPIViewController.swift ファイルを開きます。 macOS を使用している場合は、 ProtectedAPIViewController.swift コード ファイルのサンプルを次に示します。

  2. protectedAPIUrl1を見つけて、その値として Web API URL を入力します。

    let protectedAPIUrl1: String? = nil // Developers should set the respective URL of their web API here. For example let protectedAPIUrl1: String? = "https://api.example.com/v1/resource"

  3. protectedAPIScopes1を検索し、「API のアクセス許可を iOS サンプル アプリに付与する」に記録されているスコープを設定します。

    let protectedAPIScopes1: [String] = [] // Developers should set the respective scopes of their web API here.For example, let protectedAPIScopes = ["api://{clientId}/{ToDoList.Read}","api://{clientId}/{ToDoList.ReadWrite}"]

iOS サンプル アプリを実行して Web API を呼び出す

アプリをビルドして実行するには、次の手順に従います。

  1. コードをビルドして実行するには、Xcode の [製品] メニューから [実行] を選択します。 ビルドが成功すると、Xcode はシミュレーターでサンプル アプリを起動します。
  2. [API] タブを選択して API 呼び出しをテストします。 Web API の呼び出しが成功すると HTTP 200が返され、HTTP 403 は未承認のアクセスを示します。

次のステップ

チュートリアル: ネイティブ認証用に iOS アプリを準備する