適用対象: 
外部テナント (詳細)
Web フォールバックを使用すると、ネイティブ認証を使用するクライアント アプリで、回復性を向上させるためのフォールバック メカニズムとしてブラウザー委任認証を使用できます。 このシナリオは、認証フローを完了するのにネイティブ認証だけでは十分ではない場合に発生します。 たとえば、承認サーバーにクライアントが提供できない機能が必要な場合です。
ネイティブ認証を使用するすべてのクライアント アプリは、Web フォールバックをサポートする必要があります。
Web フォールバック フロー
このフローは、Web フォールバックが発生する方法を示しています。
- クライアント アプリは、ユーザーから初期情報を収集し、Microsoft Entra に要求を行って認証フローを開始します。
- Microsoft Entra は成功またはエラー応答を返します。 成功応答は、クライアント アプリが引き続き Microsoft Entra への要求を実行できることを示します。 エラー応答は、クライアントが引き続きユーザーに詳細情報を求め、引き続き Microsoft Entra に要求できることを示します。 エラー応答は、クライアントがブラウザー委任認証を使用する必要があることを示すこともできます。
- エラー応答が、クライアントがブラウザー委任認証を使用する必要があることを示している場合、クライアントはブラウザーで認証フローを続行します。
サンプル シナリオ
Microsoft Entra が、クライアントがブラウザー委任認証を使用する必要があることを示す可能性がある場合の例を見てみましょう。
- Microsoft Entra 管理センターでは、管理者がパスワード認証方法で電子メールを使用するようにアプリを構成します。
- この構成は、Microsoft Entra では、クライアント アプリがユーザーからメール (ユーザー名) とパスワードを収集する機能を持っている必要があることを意味します。 クライアント アプリは、 パスワード チャレンジの種類を送信することで、この機能を Microsoft Entra に伝えます。 チャレンジの種類の詳細については、 ネイティブ認証チャレンジの種類 に関する記事を参照してください。
- クライアント アプリでは、サーバーがユーザーの電子メールに送信するワンタイム パスコードを送信して、電子メールを検証する必要もあります。 クライアント アプリは 、oob チャレンジの種類を送信することで、この機能を Microsoft Entra に伝えます。 チャレンジの種類の詳細については、 ネイティブ認証チャレンジの種類に関する記事を参照 してください
- クライアント アプリが oob チャレンジと パスワード チャレンジの種類の両方を送信しない場合、Microsoft Entra はそれをクライアント アプリが設定された要件を満たさないと解釈します。 この場合、Microsoft Entra は、クライアントがブラウザー委任認証を使用する必要があることを示すエラーを返します。
Web フォールバックのサポート
Microsoft Entra の応答で、クライアント アプリがブラウザーによって委任された認証にフォールバックする必要があることを示している場合は、 Microsoft が構築し、サポートされている認証ライブラリを使用することをお勧めします。
ネイティブ認証を使用する場合に、次のアプリで Web フォールバックをサポートする方法について説明します。