Azure AD でセキュリティ保護された Web アプリケーションで Microsoft Graph を使用する / Using Microsoft Graph in Azure AD secured web applications

by Takashi Shinohara

Slide 1

Slide 1 text

Azure AD でセキュリティ保護された Web アプリケーションで Microsoft Graph を使用する 2020/7/25 篠原敬志 (@karamem0)

Slide 2

Slide 2 text

自己紹介 Name 篠原敬志 (Takashi Shinohara) Company アバナード株式会社シニアコンサルタント Award Microsoft MVP for Office Development (2018-) Twitter @karamem0 Facebook t.shinohara.56 Blog https://blog.karamem0.jp

Slide 3

Slide 3 text

Japan M365 Dev User Group 勉強会開催します！

Slide 4

Slide 4 text

本セッションについて de:code 2020 の MVP パーソナルスポンサーとして提供したサンプルコードについて前提の話から含めて解説します。サンプルコードと説明は GitHub から入手可能です。 https://github.com/karamem0/decode2020

Slide 5

Slide 5 text

Azure の Web アプリをセキュリティ保護する Azure App Service および Azure Functions ではコーディングなしで認証と承認を有効にする組み込みの機能があります。認証を実装するためにはセキュリティに対する深い理解が必要となりますが、この機能を使うことで、開発者はその労力を割くことなく、ビジネス価値を提供することに集中することはできます。この機能は "Easy Auth" と呼ばれることがあります。

Slide 6

Slide 6 text

認証/承認を提供するサービス

Slide 7

Slide 7 text

認証/承認のアーキテクチャ (Windows) https://docs.microsoft.com/ja-jp/azure/app-service/overview-authentication-authorization

Slide 8

Slide 8 text

認証/承認のエンドポイント種類エンドポイントログイン /.auth/login/ ログアウト /.auth/logout トークンの取得 (*) /.auth/me トークンの更新 (*) /.auth/refresh (*) トークンストアが有効である必要があります

Slide 9

Slide 9 text

DEMO Azure AD の認証/承認を有効にする

Slide 10

Slide 10 text

Azure AD による Web アプリのセキュリティ保護 Azure AD をプロバイダーとして Web アプリをセキュリティ保護する場合、Azure AD に新しいアプリを作成が作成され、OpenID Connect による認証が行われます。認証後の各種トークンは HTTP 要求ヘッダーまたは "/.auth/me" へのリクエストによって取得できます。このトークンを使うことで、Microsoft Graph をはじめとしたさまざまなサービスに追加のアクセス許可の要求を行うことができます。

Slide 11

Slide 11 text

トークンの種類種類説明 ID トークンユーザーの認証情報を含むトークンアクセストークン特定のリソースへのアクセス許可を含むトークンリフレッシュトークンアクセストークンを更新するためのトークン

Slide 12

Slide 12 text

JWT (Json Web Token) eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNT E2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c Base64 エンコードされたヘッダー { "alg": "HS256", "typ": "JWT" } Base64 エンコードされたペイロード { "sub": "1234567890", "name": "John Doe", "iat": 1516239022 } ヘッダーとペイロードからなる署名

Slide 13

Slide 13 text

アクセストークンを取得する OpenID Connect による認証のときに取得されるアクセストークンには Microsoft Graph などのサービスへのアクセス許可は含まれません。Microsoft Graph を使うためにはアクセストークンを取得しなおす必要があります。今回のサンプルコードではリフレッシュトークンを使ってアクセストークンを更新する方法を使います。アクセストークンを取得する方法は他にも存在します。

Slide 14

Slide 14 text

DEMO サンプルコードを動かしてみる

Slide 15

Slide 15 text

まとめ Azure の Web アプリケーションは Azure AD で簡単に認証をかけられます。 Azure AD の認証情報を使って Microsoft Graph をはじめとした API にアクセスすることが可能です。Microsoft Graph を使うことで組織のさまざまなリソースを操作することができ、エンタープライズアプリケーションの構築を容易にします。

Slide 16

Slide 16 text

ありがとうございました