クイック スタート: Microsoft ID プラットフォームによって保護されている Web API を呼び出す

• Visual Studio 2022。 Visual Studio を無料でダウンロードします。

• Visual Studio Code

1. [管理] で、[API の公開] を選択>スコープを追加します。 api://{clientId} を選択して、提案されたアプリケーション ID URI () を受け入れ、次の情報を入力します。

   1. [スコープ名] に「access_as_user」と入力します。
   2. [ 同意できるユーザー] で、[ 管理者とユーザー ] オプションが選択されていることを確認します。
   3. [ 管理者の同意の表示名 ] ボックスに「 Access TodoListService as a user」と入力します。
   4. [ 管理者の同意の説明 ] ボックスに「 Accesses the TodoListService web API as a user」と入力します。
   5. [ ユーザーの同意の表示名 ] ボックスに「 Access TodoListService as a user」と入力します。
   6. [ ユーザーの同意の説明 ] ボックスに「 Accesses the TodoListService web API as a user」と入力します。
   7. [状態] の場合は、[有効]のままにします。

2. [ スコープの追加] を選択します。

委任されたアクセス許可 (スコープ) を追加する

API は、クライアント アプリがユーザーのアクセス トークンを正常に取得するために、少なくとも 1 つのスコープ ( 委任されたアクセス許可とも呼ばれます) を発行する必要があります。 スコープを発行するには、次の手順に従います。

1. [ アプリの登録 ] ページで、作成した API アプリケーション (ciam-ToDoList-api) を選択して [概要 ] ページを開きます。

2. [ 管理] で、[ API の公開] を選択します。

3. ページの上部にある [ アプリケーション ID URI] の横にある [追加 ] リンクを選択して、このアプリに対して一意の URI を生成します。

4. 提案されたアプリケーション ID URI ( api://{clientId}など) を受け入れ、[ 保存] を選択します。 Web アプリケーションで Web API のアクセス トークンを要求すると、API に対して定義する各スコープのプレフィックスとしてこの URI が追加されます。

5. この API で定義されているスコープで、[スコープの追加] を選択します。

6. API への読み取りアクセスを定義する次の値を入力し、[ スコープの追加] を選択して変更を保存します。

   プロパティ	価値
   スコープ名	ToDoList.Read
   誰が同意できるか	管理者のみ
   管理者の同意の表示名	'TodoListApi' を使用してユーザーの ToDo リストを読み取る
   管理者の同意の説明	アプリが 'TodoListApi' を使用してユーザーの ToDo リストを読み取れるようにします。
   状態	有効

7. もう一度 [ スコープの追加] を選択し、API への読み取りと書き込みのアクセス スコープを定義する次の値を入力します。 [ スコープの追加] を選択して変更を保存します。

   プロパティ	価値
   スコープ名	ToDoList.ReadWrite
   誰が同意できるか	管理者のみ
   管理者の同意の表示名	'ToDoListApi' を使用したユーザーの ToDo リストの読み取りと書き込み
   管理者の同意の説明	アプリが 'ToDoListApi' を使用してユーザーの ToDo リストの読み取りと書き込みを行えるようにする
   状態	有効

Web API のアクセス許可を発行するときの最小特権の原則 の詳細について説明します。

アプリケーションのアクセス許可 (アプリ ロール) を追加する

API は、クライアント アプリがアクセス トークンをそれ自体として取得するために、アプリケーションに対して少なくとも 1 つのアプリ ロール ( アプリケーションアクセス許可とも呼ばれます) を発行する必要があります。 アプリケーションのアクセス許可は、クライアント アプリケーションが自身として正常に認証できるようにして、ユーザーをサインインさせる必要がないようにする場合に、API が発行するアクセス許可の種類です。 アプリケーションのアクセス許可を発行するには、次の手順に従います。

1. [ アプリの登録 ] ページで、作成したアプリケーション ( ciam-ToDoList-api など) を選択して [概要 ] ページを開きます。

2. [ 管理] で、[ アプリ ロール] を選択します。

3. [ アプリ ロールの作成] を選択し、次の値を入力し、[ 適用 ] を選択して変更を保存します。

   プロパティ	価値
   表示名	ToDoList.Read.All
   Allowed member types (許可されるメンバーの種類)	アプリケーション
   価値	ToDoList.Read.All
   説明	アプリが 'TodoListApi' を使用してすべてのユーザーの ToDo リストを読み取れるようにする
   このアプリ ロールを有効にしますか?	オンのままにする

4. [ アプリ ロールの作成 ] をもう一度選択し、2 つ目のアプリ ロールに次の値を入力し、[ 適用 ] を選択して変更を保存します。

   プロパティ	価値
   表示名	ToDoList.ReadWrite.All
   Allowed member types (許可されるメンバーの種類)	アプリケーション
   価値	ToDoList.ReadWrite.All
   説明	アプリで 'ToDoListApi' を使用して、すべてのユーザーの ToDo リストの読み取りと書き込みを許可する
   このアプリ ロールを有効にしますか?	オンのままにする

git clone https://github.com/AzureADQuickStarts/AppModelv2-NativeClient-DotNet.git

• ZIP ファイルとしてダウンロードします。

git clone https://github.com/Azure-Samples/ms-identity-ciam-dotnet-tutorial.git

• .zip ファイルをダウンロードします。 名前の長さが 260 文字未満のファイル パスに抽出します。

1. Visual Studio でソリューションを開き、TodoListService プロジェクトのルートにある appsettings.json ファイルを開きます。

2. Enter_the_Application_Id_here および の両方のプロパティで、ClientID の値をAudienceポータルで登録したアプリケーションのクライアント ID (アプリケーション ID) に置き換えます。

新しいスコープを app.config ファイルに追加する

TodoListClient app.config ファイルに新しいスコープを追加するには、次の手順に従います。

1. TodoListClient プロジェクトのルート フォルダーで、 app.config ファイルを開きます。

2. TodoListServiceScope パラメーターで TodoListService プロジェクトに登録したアプリケーションのアプリケーション ID を貼り付け、{Enter the Application ID of your TodoListService from the app registration portal} 文字列を置き換えます。

Web アプリを登録する (TodoListClient)

Microsoft Entra 管理センターの アプリ登録 で TodoListClient アプリを登録し、TodoListClient プロジェクトでコードを構成します。 クライアントとサーバーが同じアプリケーションと見なされる場合は、手順 2 で登録したアプリケーションを再利用できます。 ユーザーが個人用 Microsoft アカウントでサインインできるようにするには、同じアプリケーションを使用します。

アプリを登録する

TodoListClient アプリを登録するには、これらの手順に従います。

1. Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。

2. Entra ID>App registrations に移動し、[新規登録] を選択します。

3. [ 新しい登録] を選択します。

4. [ アプリケーションの登録] ページ が開いたら、アプリケーションの登録情報を入力します。

   1. [ 名前 ] セクションに、アプリのユーザーに表示されるわかりやすいアプリケーション名 ( NativeClient-DotNet-TodoListClient など) を入力します。
   2. [サポートされているアカウントの種類] で、任意の組織ディレクトリの [アカウント] を選択します。
   3. [ 登録 ] を選択してアプリケーションを作成します。

   注

   TodoListClient プロジェクト app.config ファイルでは、 ida:Tenant の既定値は common に設定されます。 指定できる値は次のとおりです。

   • common: 職場または学校のアカウントまたは個人の Microsoft アカウントを使用してサインインできます (前の手順 で任意の組織のディレクトリで [アカウント] を選択したため)。
   • organizations:職場または学校アカウントを使用してサインインできます。
   • consumers:Microsoft の個人用アカウントを使用してのみサインインできます。

5. アプリの [概要 ] ページで [ 認証] を選択し、次の手順を実行してプラットフォームを追加します。

   1. [ プラットフォームの構成] で、[ プラットフォームの追加] ボタンを 選択します。
   2. モバイル アプリケーションとデスクトップ アプリケーションの場合は、[モバイル アプリケーションとデスクトップ アプリケーション] を選択します。
   3. [リダイレクト URI] で、[https://login.microsoftonline.com/common/oauth2/nativeclient] チェック ボックスをオンにします。
   4. 構成を選択します。

6. API のアクセス許可を選択し、次の手順を実行してアクセス許可を追加します。

   1. [ アクセス許可の追加] ボタンを 選択します。
   2. [ マイ API ] タブを選択します。
   3. API の一覧で、 AppModelv2-NativeClient-DotNet-TodoListService API または Web API に入力した名前を選択します。
   4. まだ選択されていない場合は、[ access_as_user アクセス許可] チェック ボックスをオンにします。 必要に応じて検索ボックスを使用します。
   5. [ アクセス許可の追加] ボタンを選択します。

プロジェクトを構成する

app.config ファイルにアプリケーション ID を追加して、TodoListClient プロジェクトを構成します。

1. アプリ登録ポータルの [概要] ページで、アプリケーション (クライアント) ID の値をコピーします。

2. TodoListClient プロジェクトのルート フォルダーから 、app.config ファイルを開き、 ida:ClientId パラメーターにアプリケーション ID の値を貼り付けます。

1. IDE で、サンプルを含むプロジェクト フォルダー ms-identity-ciam-dotnet-tutorial/2-Authorization/3-call-own-api-dotnet-core-daemon/ToDoListAPI を開きます。

2. 次のコード スニペットを含む appsettings.json ファイルを開きます。

   {
     "AzureAd": {
       "Instance": "Enter_the_Authority_URL_Here", //For external tenants, use instance in the form of "https://Enter_the_Tenant_Subdomain_Here.ciamlogin.com/"
       "TenantId": "Enter_the_Tenant_Id_Here",
       "ClientId": "Enter_the_Application_Id_Here",
       "Scopes": {
         "Read": ["ToDoList.Read", "ToDoList.ReadWrite"],
         "Write": ["ToDoList.ReadWrite"]
       },
       "AppPermissions": {
         "Read": ["ToDoList.Read.All", "ToDoList.ReadWrite.All"],
         "Write": ["ToDoList.ReadWrite.All"]
       }
     },
     "Logging": {...},
     "AllowedHosts": "*"
   }
   

   次の値を見つけます。

   • ClientId - アプリケーションの識別子 。クライアントとも呼ばれます。 引用符で囲まれたvalueテキストを、登録済みアプリケーションの [概要] ページから先ほど記録したアプリケーション (クライアント) ID に置き換えます。
   • TenantId - アプリケーションが登録されているテナントの識別子。 引用符で囲まれたvalueテキストを、登録済みアプリケーションの [概要] ページから前に記録したディレクトリ (テナント) ID 値に置き換えます。
   • Instance - Microsoft 認証ライブラリ (MSAL) がトークンを要求できるディレクトリを指定します。 シナリオに応じて、 Enter_the_Authority_URL_Here を次のいずれかの値に置き換えます。
     • 従業員テナントの場合は、インスタンスとして https://login.microsoftonline.com/ を使用します。
     • 外部テナントの場合は、次の形式で機関 URL を追加します。 https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/

両方のプロジェクトを開始します。 Visual Studio ユーザーの場合は次のとおりです。

1. Visual Studio ソリューションを右クリックし、[プロパティ] を選択します

2. [共通プロパティ] で、[スタートアップ プロジェクト] を選択し、[複数のスタートアップ プロジェクト] を選択します。

3. 両方のプロジェクトで、アクションとして [開始 ] を選択します

4. 上向きの矢印を使用して TodoListService サービスを一覧の最初の位置に移動し、最初に開始されるようにします。

TodoListClient プロジェクトにサインインして実行します。

1. F5 キーを押して、プロジェクトを開始します。 サービスのページと、デスクトップ アプリケーションが開きます。

2. TodoListClient の右上にある [ サインイン] を選択し、アプリケーションの登録に使用したのと同じ資格情報でサインインするか、同じディレクトリ内のユーザーとしてサインインします。

   初めてサインインする場合は、TodoListService Web API に同意するように求められることがあります。

   TodoListService Web API にアクセスして To-Do リストを 操作するために、サインインは access_as_user スコープへのアクセス トークンも要求します。

クライアント アプリケーションを事前承認する

Web API にアクセスするクライアント アプリケーションを事前承認することで、他のディレクトリのユーザーに Web API へのアクセスを許可することができます。 これを行うには、クライアント アプリから Web API の事前認証されたアプリケーションの一覧にアプリケーション ID を追加します。 事前認証されたクライアントを追加することで、ユーザーは同意を得ることなく Web API にアクセスできるようになります。

1. アプリ登録ポータルで、TodoListService アプリのプロパティを開きます。
2. [ API の公開 ] セクションの [ 承認されたクライアント アプリケーション] で、[ クライアント アプリケーションの追加] を選択します。
3. [ クライアント ID ] ボックスに、TodoListClient アプリのアプリケーション ID を貼り付けます。
4. [ 承認されたスコープ ] セクションで、 api://<Application ID>/access_as_user Web API のスコープを選択します。
5. [ アプリケーションの追加] を選択します。

プロジェクトの実行

1. F5 キーを押してプロジェクトを実行します。 TodoListClient アプリが開きます。
2. 右上にある [ サインイン] を選択し、個人の Microsoft アカウント ( live.com 、 hotmail.com アカウント、職場または学校アカウントなど) を使用してサインインします。

省略可能:サインイン アクセスを特定のユーザーに制限する

既定では、 outlook.com アカウントや live.com アカウント、Microsoft Entra ID と統合されている組織の職場または学校アカウントなどの個人アカウントは、トークンを要求して Web API にアクセスできます。

アプリケーションにサインインできるユーザーを指定するには、TenantId ファイルの プロパティを変更します。

1. Web API プロジェクト ディレクトリのルートから次のコマンドを実行して、アプリを起動します。

   dotnet run
   

2. すべてが正常に機能した場合、ターミナルには次のような出力が表示されます。

    Building...
        info: Microsoft.Hosting.Lifetime[14]
              Now listening on: https://localhost:{port}
        info: Microsoft.Hosting.Lifetime[0]
              Application started. Press Ctrl+C to shut down.
        info: Microsoft.Hosting.Lifetime[0]
              Hosting environment: Development
   ...
   

   ポート番号を https://localhost:{port} URL に記録します。

3. エンドポイントが保護されていることを確認するには、次の cURL コマンドのベース URL を、前の手順で受信した URL と一致するように更新し、コマンドを実行します。

   curl -k -X GET https://localhost:<your-api-port>/api/todolist -w "%{http_code}\n"
   

   想定される応答は 401 Unauthorized です。