Web アプリ

Web アプリは、Web ブラウザーで Web アプリケーションに対してユーザーを認証するアプリケーションです。 このシナリオでは、Web アプリケーションはユーザーのブラウザーに Azure AD へのサインインを指示します。 Azure AD は、ユーザーのブラウザーを介してサインイン応答を返します。この応答には、セキュリティ トークン内のユーザーに関する要求が含まれています。 このシナリオでは、OpenID Connect、SAML 2.0、および WS-Federation プロトコルを使用したサインオンがサポートされています。

ダイアグラム

プロトコル フロー

1. ユーザーがアプリケーションにアクセスしてサインインする必要がある場合、ユーザーはサインイン要求を介して Azure AD の認証エンドポイントにリダイレクトされます。
2. ユーザーはサインイン ページにサインインします。
3. 認証が成功した場合、Azure AD は認証トークンを作成し、Azure portal で構成されたアプリケーションの応答 URL に対するサインイン応答を返します。 運用アプリケーションの場合、この応答 URL は HTTPS である必要があります。 返されるトークンには、アプリケーションがトークンを検証するために必要なユーザーと Azure AD に関する要求が含まれます。
4. アプリケーションは、Azure AD のフェデレーション メタデータ ドキュメントで利用可能な公開署名キーと発行者情報を使用してトークンを検証します。 アプリケーションはトークンを検証した後、ユーザーとの新しいセッションを開始します。 このセッションでは、有効期限が切れるまでアプリケーションにアクセスできます。

コード サンプル

Web ブラウザーから Web アプリケーションへのシナリオのコード サンプルを参照してください。 また、新しいサンプルが頻繁に追加されるため、頻繁に確認してください。

アプリの登録

Web アプリを登録するには、アプリ の登録に関するページを参照してください。

• シングル テナント - 組織専用のアプリケーションを構築する場合は、Azure portal を使用して会社のディレクトリに登録する必要があります。
• マルチテナント - 組織外のユーザーが使用できるアプリケーションを構築する場合は、そのアプリケーションを会社のディレクトリに登録する必要がありますが、アプリケーションを使用する各組織のディレクトリにも登録する必要があります。 アプリケーションをディレクトリで使用できるようにするには、顧客がアプリケーションに同意できるようにするサインアップ プロセスを含めることができます。 アプリケーションにサインアップすると、アプリケーションに必要なアクセス許可と、同意するオプションを示すダイアログが表示されます。 必要なアクセス許可によっては、他の組織の管理者が同意を求められる場合があります。 ユーザーまたは管理者が同意すると、アプリケーションはディレクトリに登録されます。

トークンの有効期限

ユーザーのセッションは、Azure AD によって発行されたトークンの有効期間が切れると期限切れになります。 アプリケーションでは、必要に応じて、非アクティブな期間に基づいてユーザーをサインアウトするなど、この期間を短縮できます。 セッションの有効期限が切れると、ユーザーはもう一度サインインするように求められます。

次のステップ

• その他のアプリケーションの種類とシナリオの詳細
• Azure AD 認証の基本について説明します