Web API を呼び出す Web API: アプリのトークンを取得する

[アーティクル]
07/19/2022

クライアントアプリケーションオブジェクトを構築した後、それを使用して、Web API を呼び出すために使用できるトークンを取得します。

コントローラーのコード

Microsoft.Identity.Web には、Microsoft Graph またはダウンストリーム Web API を呼び出す便利なサービスを提供する拡張メソッドが追加されています。これらのメソッドの詳細については、「Web API を呼び出す Web API:API を呼び出す」を参照してください。これらのヘルパーメソッドを使用すれば、トークンを手動で取得する必要はありません。

ただし、トークンを手動で取得する場合は、API コントローラーで取得することを目的とした Microsoft.Identity.Web の使用の例が、次のコードによって示されています。 todolist という名前のダウンストリーム API を呼び出します。ダウンストリーム API を呼び出すためのトークンを取得するには、コントローラーのコンストラクター (Blazor を使用する場合はページコンストラクター) に依存関係を挿入して ITokenAcquisition サービスを挿入し、コントローラーアクションで使用します。これで、ユーザーのトークン (GetAccessTokenForUserAsync)、またはデーモンシナリオの場合はアプリケーション自体 (GetAccessTokenForAppAsync) のトークンが取得さされます。

[Authorize]
public class MyApiController : Controller
{
    /// <summary>
    /// The web API will accept only tokens 1) for users, 2) that have the `access_as_user` scope for
    /// this API.
    /// </summary>
    static readonly string[] scopeRequiredByApi = new string[] { "access_as_user" };

     static readonly string[] scopesToAccessDownstreamApi = new string[] { "api://MyTodolistService/access_as_user" };

    private readonly ITokenAcquisition _tokenAcquisition;

    public MyApiController(ITokenAcquisition tokenAcquisition)
    {
        _tokenAcquisition = tokenAcquisition;
    }

    public IActionResult Index()
    {
        HttpContext.VerifyUserHasAnyAcceptedScope(scopeRequiredByApi);

        string accessToken = _tokenAcquisition.GetAccessTokenForUserAsync(scopesToAccessDownstreamApi);
        return await callTodoListService(accessToken);
    }
}

callTodoListService メソッドの詳細については、「Web API を呼び出す Web API: API の呼び出し」を参照してください。

API コントローラーのアクションで呼び出されるコードの例を次に示します。ダウンストリーム API - Microsoft Graph が呼び出されます。

@RestController
public class ApiController {

    @Autowired
    MsalAuthHelper msalAuthHelper;

    @RequestMapping("/graphMeApi")
    public String graphMeApi() throws MalformedURLException {

        String oboAccessToken = msalAuthHelper.getOboToken("https://graph.microsoft.com/.default");

        return callMicrosoftGraphMeEndpoint(oboAccessToken);
    }

}

Python Web API では、クライアントから受信したベアラートークンを検証するためにミドルウェアを使用する必要があります。 Web API は、acquire_token_on_behalf_of メソッドを呼び出すことにより、MSAL Python ライブラリを使用してダウンストリーム API のアクセストークンを取得できます。

acquire_token_on_behalf_of メソッドと Flask フレームワークを使用してアクセストークンを取得するコードの例を次に示します。これはダウンストリーム API (Azure 管理サブスクリプションエンドポイント) を呼び出します。

def get(self):
 
        _scopes = ["https://management.azure.com/user_impersonation"]
        _azure_management_subscriptions_uri = "https://management.azure.com/subscriptions?api-version=2020-01-01"
 
        current_access_token = request.headers.get("Authorization", None)
        
        #This example only uses the default memory token cache and should not be used for production
        msal_client = msal.ConfidentialClientApplication(
                client_id=os.environ.get("CLIENT_ID"),
                authority=os.environ.get("AUTHORITY"),
                client_credential=os.environ.get("CLIENT_SECRET"))
 
        #acquire token on behalf of the user that called this API
        arm_resource_access_token = msal_client.acquire_token_on_behalf_of(
            user_assertion=current_access_token.split(' ')[1],
            scopes=_scopes
        )
 
        headers = {'Authorization': arm_resource_access_token['token_type'] + ' ' + arm_resource_access_token['access_token']}
 
        subscriptions_list = req.get(_azure_management_subscriptions_uri), headers=headers).json()
 
        return jsonify(subscriptions_list)

(上級) バックグラウンドのアプリ、API、サービスからサインインユーザーのトークンキャッシュにアクセスする

不在のユーザーに代わって操作を続けられるよう、アクセストークンキャッシュの使用をバックグラウンドのアプリ、API、サービスに許可するため、MSAL のトークンキャッシュ実装を利用できます。これは特に、ユーザーがフロントエンド Web アプリを終了した後、バックグラウンドのアプリやサービスがユーザーの代わりに作業を続けなければならない場合に便利です。

現在、ほとんどのバックグラウンドプロセスにおいて、ユーザーの不在時にユーザーのデータを使用して認証または再認証しなければならないとき、アプリケーションのアクセス許可が使用されます。アプリケーションのアクセス許可は多くの場合、特権の昇格を必要とする管理者の同意を必要とするため、不要な衝突が発生します。その理由は、開発者のアプリに対してユーザーが最初に同意した以上のアクセス権を取得することを開発者が意図しなかったことにあります。

GitHub にあるこのコードサンプルからは、バックグラウンドアプリから MSAL のトークンキャッシュにアクセスすることでこの不要な衝突を回避する方法を確認できます。

バックグラウンドのアプリ、API、サービスからログインユーザーのトークンキャッシュにアクセスする

次のステップ

このシナリオの次の記事である API の呼び出しに関する記事に進みます。