チュートリアル: Microsoft ID プラットフォームを使用してユーザーをサインインさせるように Android アプリを設定する

• 従業員テナント。 既定のディレクトリを使用するか、新しいテナントを設定できます。
• この組織のディレクトリ内のアカウント専用に構成された Microsoft Entra 管理センターに新しいアプリを登録します。 詳細については、「 アプリケーションの登録 」を参照してください。 後で使用するために、アプリケーション の [概要 ] ページから次の値を記録します。
  • アプリケーション (クライアント) ID
  • ディレクトリ (テナント) ID
• Android プロジェクト。 Android プロジェクトがない場合は、作成します。

• 外部テナント。 作成するには、次の方法から選択します。
  • Microsoft Entra 外部 ID 拡張機能を使用して、Visual Studio Code で外部テナントを直接設定します。 (おすすめ)
  • Microsoft Entra 管理センターで新しい外部テナント を作成します。
• 組織のディレクトリと個人用の Microsoft アカウントのアカウント用に構成された Microsoft Entra 管理センターに新しいアプリを登録します。 詳細については、「 アプリケーションの登録 」を参照してください。 後で使用するために、アプリケーション の [概要 ] ページから次の値を記録します。
  • アプリケーション (クライアント) ID
  • ディレクトリ (テナント) ID

1. [管理] で、認証>プラットフォームの追加>Android を選択します。

2. 上記でダウンロードしたサンプルタイプに基づいて、プロジェクトのパッケージ名を入力します。

   • Javaサンプル - com.azuresamples.msalandroidapp
   • Kotlin サンプル - com.azuresamples.msalandroidkotlinapp

3. [Android アプリの構成] ウィンドウの [署名ハッシュ] セクションで、[開発署名ハッシュの生成] を選択し、KeyTool コマンドをコマンド ラインにコピーします。

   • KeyTool.exe は、Java Development Kit (JDK) の一部としてインストールされます。 KeyTool コマンドを実行するには、OpenSSL ツールもインストールする必要があります。 詳細については、キーの生成に関する Android のドキュメントを参照してください。

4. KeyTool によって生成された 署名ハッシュ を入力します。

5. [構成] を選択し、後でアプリを構成するときに入力できるように、[Android の構成] ペインに表示される [MSAL 構成] を保存しておきます。

6. 完了を選択します。

アプリの登録にアプリの種類を指定するには、次の手順に従います。

1. [管理] で、 [認証] を選択します。
2. [プラットフォーム構成] ページで、[プラットフォームの追加] を選択し、[iOS/macOS] オプションを選択します。
3. プロジェクトのバンドル ID を入力します。 サンプル コードをダウンロードした場合、この値は com.microsoft.identitysample.ciam.MSALiOS です。
4. [構成] を選択し、iOS/macOS 構成ウィンドウに表示される MSAL 構成を保存して、後でアプリを構成するときに入力できるようにします。
5. 完了を選択します。

パブリック クライアント フローを有効にする

アプリをパブリック クライアントとして識別するには、次の手順に従います。

1. [管理] で、 [認証] を選択します。

2. [詳細設定] で、[パブリック クライアント フローを許可する] に対して [はい] を選択します。

3. [保存] を選択して変更を保存します。

1. Android Studio のプロジェクト ウィンドウで、app\src\main\res に移動します。

2. res を右クリックして、[New](新規)>[Directory](ディレクトリ) を選択します。 新しいディレクトリの名前に「raw」と入力し、[OK] を選択します。

3. app>src>main>res>raw で、auth_config_single_account.json という名前の新しい JSON ファイルを作成し、先ほど保存した MSAL 構成を貼り付けます。

   リダイレクト URI の下に、以下を貼り付けます。

     "account_mode" : "SINGLE",
   

   構成ファイルは次の例のようになります。

   {
     "client_id": "00001111-aaaa-bbbb-3333-cccc4444",
     "authorization_user_agent": "WEBVIEW",
     "redirect_uri": "msauth://com.azuresamples.msalandroidapp/00001111%cccc4444%3D",
     "broker_redirect_uri_registered": true,
     "account_mode": "SINGLE",
     "authorities": [
       {
         "type": "AAD",
         "audience": {
           "type": "AzureADandPersonalMicrosoftAccount",
           "tenant_id": "common"
         }
       }
     ]
   }
   

   このチュートリアルでは単一アカウント モードでアプリを構成する方法のみを紹介しているため、詳細については、単一アカウント モードと複数アカウント モードに関する記事およびアプリの構成に関する記事を参照してください

4. 'WEBVIEW' を使用することをお勧めします。 アプリで "authorization_user_agent" を 'BROWSER' として構成する場合は、次の更新を行う必要があります。 a) auth_config_single_account.jsonを "authorization_user_agent": "Browser" で更新します。 b) AndroidManifest.xml を更新します。 アプリで app>src>main>AndroidManifest.xml に移動し、BrowserTabActivity アクティビティを <application> 要素の子として追加します。 このエントリにより、Microsoft Entra ID は認証の完了後にアプリケーションにコールバックできます。

   <!--Intent filter to capture System Browser or Authenticator calling back to our app after sign-in-->
   <activity
       android:name="com.microsoft.identity.client.BrowserTabActivity"
       android:exported="true">
       <intent-filter>
           <action android:name="android.intent.action.VIEW" />
           <category android:name="android.intent.category.DEFAULT" />
           <category android:name="android.intent.category.BROWSABLE" />
           <data android:scheme="msauth"
               android:host="Enter_the_Package_Name"
               android:path="/Enter_the_Signature_Hash" />
       </intent-filter>
   </activity>
   

   • パッケージ名を使用して android:host=. 値を置き換えます。 com.azuresamples.msalandroidapp のようになります。
   • 署名ハッシュを使用して android:path= 値を置き換えます。 署名ハッシュの先頭に / があることを確認します。 /aB1cD2eF3gH4+iJ5kL6-mN7oP8q= のようになります。

   これらの値は、アプリの登録の [認証] ブレードでも確認できます。

1. Android Studio のプロジェクト ウィンドウで、app\src\main\res に移動します。

2. res を右クリックし、新規>Directory を選択します。 新しいディレクトリの名前に「raw」と入力し、[OK] を選択します。

3. app\src\main\r\raw で、auth_config_ciam_auth.jsonという名前の新しい JSON ファイルを作成します。

4. auth_config_ciam_auth.json ファイルに、次の MSAL 構成を追加します。

   {
     "client_id" : "Enter_the_Application_Id_Here",
     "authorization_user_agent" : "DEFAULT",
     "redirect_uri" : "Enter_the_Redirect_Uri_Here",
     "account_mode" : "SINGLE",
     "authorities" : [
       {
         "type": "CIAM",
         "authority_url": "https://Enter_the_Tenant_Subdomain_Here.ciamlogin.com/Enter_the_Tenant_Subdomain_Here.onmicrosoft.com/"
       }
     ]
   }
   

   JSON 設定ファイルは、Android アプリケーションのさまざまな設定を指定します。 これには、クライアント ID、認証ユーザー エージェント、リダイレクト URI、およびアカウント モードが含まれます。 さらに、認証の機関を定義し、タイプと権限の URL を指定します。

   次のプレースホルダーを、Microsoft Entra 管理センターから取得したテナント値に置き換えます。

   • Enter_the_Application_Id_Here を、前に登録したアプリのアプリケーション (クライアント) ID に置き換えます。
   • Enter_the_Redirect_Uri_Here をクリックし、プラットフォームのリダイレクト URL を追加したときに以前にダウンロードした Microsoft Authentication Library (MSAL) 構成ファイルの redirect_uri の値に置き換えます。
   • Enter_the_Tenant_Subdomain_Here をディレクトリ (テナント) サブドメインに置き換えます。 たとえば、テナントのプライマリ ドメインが contoso.onmicrosoft.com の場合は、contoso を使用します。 テナント サブドメインがわからない場合は、 テナントの詳細を読み取る方法について説明します。

5. /app/src/main/AndroidManifest.xml ファイルを開きます。

6. AndroidManifest.xmlで、次のデータ仕様をインテントフィルタに追加します。

   <data
       android:host="ENTER_YOUR_PROJECT_PACKAGE_NAME_HERE"
       android:path="/ENTER_YOUR_SIGNATURE_HASH_HERE"
       android:scheme="msauth" />
   

   プレースホルダーを見つけてください。

   • ENTER_YOUR_PROJECT_PACKAGE_NAME_HERE をクリックし、Android のプロジェクト パッケージ名に置き換えます。
   • ENTER_YOUR_SIGNATURE_HASH_HERE をクリックし、プラットフォームのリダイレクトURLを追加したときに生成した署名ハッシュに置き換えます。

カスタム URL ドメインを使用する (省略可能)

カスタム ドメインを使用して、認証 URL を完全にブランド化します。 ユーザーの視点から見ると、認証プロセスの間、ユーザーは ciamlogin.com ドメイン名にリダイレクトされず、あなたのドメインにとどまります。

カスタム ドメインを使用するには、以下の手順を実行します。

1. 「外部テナント内のアプリに対するカスタム URL ドメインの有効化」の手順を使用し、外部テナントに対してカスタム URL ドメインを有効にします。

2. auth_config_ciam_auth.json ファイルを開きます。

   1. authority_url プロパティの値を https://Enter_the_Custom_Domain_Here/Enter_the_Tenant_ID_Here に更新します。 Enter_the_Custom_Domain_Here を実際のカスタム URL ドメインに、Enter_the_Tenant_ID_Here を実際のテナント ID に置き換えます。 テナント ID がわからない場合は、テナントの詳細を読み取る方法を確認してください。
   2. knownAuthorities という値を持つ プロパティを追加します。

auth_config_ciam_auth.json ファイルに変更を加えた後、カスタム URL ドメインが login.contoso.com で、テナント ID が aaaabbbb-0000-cccc-1111-dddd2222eeee の場合、ファイルは次のスニペットのようになります。

{
    "client_id" : "Enter_the_Application_Id_Here",
    "authorization_user_agent" : "DEFAULT",
    "redirect_uri" : "Enter_the_Redirect_Uri_Here",
    "account_mode" : "SINGLE",
    "authorities" : [
    {
        "type": "CIAM",
        "authority_url": "https://login.contoso.com/aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "knownAuthorities": ["login.contoso.com"]
    }
    ]
}

PublicClientApplication.createSingleAccountPublicClientApplication(
    getContext(),
    R.raw.auth_config_single_account,
    new IPublicClientApplication.ISingleAccountApplicationCreatedListener() {
        @Override
        public void onCreated(ISingleAccountPublicClientApplication application) {
            // Initialize the single account application instance
            mSingleAccountApp = application;
            loadAccount();
        }

        @Override
        public void onError(MsalException exception) {
            // Handle any errors that occur during initialization
            displayError(exception);
        }
    }
);

このコードは、設定ファイル auth_config_single_account.jsonを使用して、単一アカウントの公開クライアント アプリケーションを作成します。 アプリケーションが正常に作成されると、インスタンスが mSingleAccountApp に割り当てられ、 loadAccount() メソッドが呼び出されます。 作成中にエラーが発生した場合は、displayError(exception) メソッドを呼び出してエラーを処理します。

private suspend fun initClient(): ISingleAccountPublicClientApplication = withContext(Dispatchers.IO) {
    return@withContext PublicClientApplication.createSingleAccountPublicClientApplication(
        this@MainActivity,
        R.raw.auth_config_ciam_auth
    )
}

このコードは、単一アカウントの公開クライアント アプリケーションを非同期的に初期化します。 これは、提供された認証設定ファイルを使用し、I/O ディスパッチャで実行されます。