次の方法で共有

アプリケーションを Microsoft Entra ID と Microsoft ID プラットフォームと統合する

開発者は、IT 担当者が企業内でセキュリティで保護できるアプリを構築して統合できます。 この記事は、 ゼロ トラスト原則を使用 して、アプリを Microsoft Entra ID と Microsoft ID プラットフォームと安全に統合する方法を理解するのに役立ちます。

Microsoft クラウドベースの ID およびアクセス管理サービスである Microsoft Entra ID は、開発者に次の アプリケーション統合 の利点を提供します。

  • アプリケーションの認証と認可
  • ユーザーの認証と認可
  • フェデレーションまたはパスワードを使用したシングル サインオン (SSO)
  • ユーザーのプロビジョニングと同期
  • ロールベースのアクセス制御
  • Oauth 認可サービス
  • アプリケーションの発行とプロキシ
  • ディレクトリ スキーマ拡張属性

図は、複数の ID と業界標準をサポートする開発者向けの Microsoft ID プラットフォームの統合ツールキットを示しています。

上の図は、複数の ID と業界標準をサポートする開発者向けの Microsoft ID プラットフォームの統合ツールキットを示しています。 アプリケーションを構築し、エンドポイント、ライブラリ、Web API、発行元検証、ユーザー プロビジョニング、および認証ブローカーと ID を統合できます。

アプリ統合の概要

Microsoft ID プラットフォームドキュメント サイトは、アプリケーションを Microsoft ID プラットフォームと統合する方法を学習するための最良の出発点です。 https://aka.ms/UpcomingIDLOBDev には、開発者ワークショップ、ワークショップ資料、ワークショップレコーディングへのリンク、今後のライブイベントに関する情報があります。

アプリを設計するときは、次の手順を実行する必要があります:

  • アプリがアクセスする必要があるリソースを特定する。
  • アプリに対話型ユーザーとワークロード コンポーネントがあるかどうかを検討すること。
  • アクセス許可とアクセスを通じて ID をセキュリティで保護するアプリを構築することで、Microsoft Entra ID がセキュリティで保護するリソースにアクセスします。

統合できるアプリのタイプ

Microsoft ID プラットフォームは、登録およびサポートされているアプリケーションに対してのみ ID およびアクセス管理 (IAM) を実行します。 Microsoft ID プラットフォームと統合するには、アドレス https://login.microsoftonline.com にあるMicrosoft ID プラットフォームの承認エンドポイントに接続できる Web ブラウザー ベースのコンポーネントをアプリで提供できる必要があります。 アプリは、同じアドレスでトークン エンドポイントを呼び出すこと。

統合アプリは、次の例を含む任意の場所から実行できます。

  • Microsoft Azure
  • その他のクラウド プロバイダー
  • 独自のデータ センターとサーバー
  • デスクトップ コンピューター
  • モバイル デバイス
  • モノのインターネット デバイス

承認エンドポイントにアクセスする Web ブラウザー アプリなどのアプリまたはデバイスは、要件をネイティブに提供できます。 切断されたブラウザーとアプリケーションの間の連携が要件を満たしていること。 たとえば、テレビで実行されているアプリでは、ユーザーがデスクトップまたはモバイル デバイス上のブラウザーで初期認証を実行する場合があります。

クライアント アプリケーション (Web またはネイティブ アプリ) または Web API を登録して、アプリケーションと Microsoft ID プラットフォームの間に信頼関係を確立します。 Microsoft Entra のアプリケーション登録は、アプリケーションの予防策における構成の誤りや時代遅れになったことによってダウンタイムや侵害が発生する可能性があるため、非常に重要です。 Microsoft Entra ID のアプリケーション プロパティのセキュリティのベスト プラクティスに従います。

Microsoft Entra アプリケーション ギャラリーは、Microsoft Entra ID で事前に統合された Microsoft Entra ID のサービスとしてのソフトウェア (SaaS) アプリケーションのコレクションです。 このコレクションには、SSO および自動ユーザー プロビジョニングのデプロイと構成を簡単に行える何千ものアプリケーションが含まれています。

自動ユーザー プロビジョニング とは、ユーザーがアクセスする必要があるクラウド アプリケーションでユーザー ID とロールを作成することです。 自動プロビジョニングには、ステータスまたはロールの変更に応じたユーザー ID の維持および削除が含まれます。 SaaS アプリや他のシステムにユーザーをプロビジョニングするために、Microsoft Entra プロビジョニング サービスは、アプリケーション ベンダーが提供するクロスドメイン ID 管理システム (SCIM) 2.0 ユーザー管理 API エンドポイントに接続します。 Microsoft Entra ID では、この SCIM エンドポイントを使って、プログラムによってユーザーが作成、更新、削除されます。

Microsoft Entra ID 用のアプリを開発する場合は、SCIM 2.0 ユーザー管理 API を使用して、プロビジョニングのために Microsoft Entra ID を統合する SCIM エンドポイントを構築できます。 詳細については、 Microsoft Entra ID での SCIM エンドポイントのプロビジョニングの開発と計画に関する チュートリアルを参照してください。

アプリケーションを Microsoft Entra アプリケーション ギャラリーに発行し、次のタスクを実行して、ユーザーがテナントに追加できるように公開します。

  • 前提条件を満たします。
  • ドキュメントを作成して公開します。
  • アプリケーションを送信します。
  • Microsoft Partner Network に参加します。

確認済みの発行者になる

発行元の検証 は、Microsoft ID プラットフォームと統合されたアプリを発行する開発者の信頼性に関する情報をアプリ ユーザーと組織管理者に提供します。 検証済みの発行元であるユーザーは、アプリケーションがサインインしてプロファイル情報にアクセスすることを許可するかどうかを、より簡単に判断できます。 ユーザーは、アプリがトークンで要求する情報とアクセスに基づいて決定できます。

アプリの発行元は、アプリの登録を検証済みの Microsoft Partner Network (MPN) アカウントに関連付けることで、Microsoft との間で ID を確認します。 検証中にマイクロソフトから検証ドキュメントが要求されます。 検証済みの発行元になると、アプリの Microsoft Entra 同意プロンプトと Web ページに青色の検証済みバッジが表示されます。

次のステップ