Azure Active Directory サインインを使用するように App Service アプリを構成するConfigure your App Service app to use Azure Active Directory sign-in

注意

現時点では、Azure App Services および Azure Functions で AAD V2 (MSAL を含む) はサポートされていません。At this time, AAD V2 (including MSAL) is not supported for Azure App Services and Azure Functions. 更新プログラムがないかどうか確認してください。Please check back for updates.

この記事では、Azure Active Directory を認証プロバイダーとして使用するよう Azure App Services を構成する方法を示します。This article shows you how to configure Azure App Services to use Azure Active Directory as an authentication provider.

簡単設定を構成する Configure with express settings

  1. Azure Portal で App Service アプリに移動します。In the Azure portal, navigate to your App Service app. 左側のナビゲーションで、 [認証/承認] を選択します。In the left navigation, select Authentication / Authorization.
  2. [認証/承認] が有効になっていない場合は、 [オン] を選択します。If Authentication / Authorization is not enabled, select On.
  3. [Azure Active Directory] を選択し、 [管理モード][高速] を選択します。Select Azure Active Directory, and then select Express under Management Mode.
  4. [OK] を選択して、Azure Active Directory に App Service アプリを登録します。Select OK to register the App Service app in Azure Active Directory. これで、新しいアプリケーションの登録が作成されます。This creates a new app registration. 代わりに既存のアプリの登録を選択する場合は、 [既存のアプリを選ぶ] をクリックし、テナント内で以前に作成したアプリの登録の名前を検索します。If you want to choose an existing app registration instead, click Select an existing app and then search for the name of a previously created app registration within your tenant. アプリの登録をクリックして選択し、 [OK] をクリックします。Click the app registration to select it and click OK. Azure Active Directory 設定ページで [OK] をクリックします。Then click OK on the Azure Active Directory settings page. App Service は既定では認証を行いますが、サイトのコンテンツと API へのアクセス承認については制限を設けていません。By default, App Service provides authentication but does not restrict authorized access to your site content and APIs. アプリケーション コードでユーザーを承認する必要があります。You must authorize users in your app code.
  5. (省略可能) サイトに対するアクセスを、Azure Active Directory で認証されたユーザーに限定するには、 [要求が認証されない場合に実行するアクション][Azure Active Directory でのログイン] に設定します。(Optional) To restrict access to your site to only users authenticated by Azure Active Directory, set Action to take when request is not authenticated to Log in with Azure Active Directory. この場合、要求はすべて認証される必要があり、認証されていない要求はすべて認証のために Azure Active Directory にリダイレクトされます。This requires that all requests be authenticated, and all unauthenticated requests are redirected to Azure Active Directory for authentication.
  6. [Save] をクリックします。Click Save.

詳細設定を構成する Configure with advanced settings

構成設定を手動で指定することもできます。You can also provide configuration settings manually. これは、使用する Azure Active Directory テナントが Azure へのサインインに使用するテナントと異なる場合に推奨されるソリューションです。This is the preferred solution if the Azure Active Directory tenant you wish to use is different from the tenant with which you sign into Azure. 構成を完了するには、まず Azure Active Directory で登録を作成し、登録の一部の詳細を App Service に提供する必要があります。To complete the configuration, you must first create a registration in Azure Active Directory, and then you must provide some of the registration details to App Service.

Azure Active Directory に App Service アプリを登録する Register your App Service app with Azure Active Directory

  1. Azure portal にサインインし、ご自身の App Service アプリに移動します。Sign in to the Azure portal, and navigate to your App Service app. アプリの URL をコピーします。Copy your app URL. これを使用して、Azure Active Directory アプリの登録を構成します。You will use this to configure your Azure Active Directory app registration.

  2. [Active Directory] に移動し、 [アプリの登録] を選び、上部の [新しいアプリケーションの登録] をクリックして新しいアプリの登録を開始します。Navigate to Active Directory, then select the App registrations, then click New application registration at the top to start a new app registration.

  3. [作成] ページで、アプリの登録の [名前] を入力し、 [Web アプリ/API] の種類を選んで、 [サインオン URL] ボックスに手順 1. のアプリケーション URL を貼り付けます。In the Create page, enter a Name for your app registration, select the Web App / API type, in the Sign-on URL box paste the application URL (from step 1). [作成] をクリックします。Then click to Create.

  4. 数秒後に、作成した新しいアプリの登録が表示されます。In a few seconds, you should see the new app registration you just created.

  5. アプリの登録が追加された後、アプリの登録名をクリックし、上部の [設定] をクリックして、 [プロパティ] をクリックします。Once the app registration has been added, click on the app registration name, click on Settings at the top, then click on Properties

  6. [アプリケーション ID/URI] ボックスと [ホーム ページ URL] ボックスの両方に手順 1 のアプリケーション URL を貼り付け、 [保存] をクリックします。In the App ID URI box, paste in the Application URL (from step 1), also in the Home Page URL paste in the Application URL (from step 1) as well, then click Save

  7. 次に、 [応答 URL] をクリックし、 [応答 URL] を編集し、(手順 1. の) アプリケーション URL を貼り付けてから、 /.auth/login/aad/callback を URL の最後に追加します (たとえば、https://contoso.azurewebsites.net/.auth/login/aad/callback)。Now click on the Reply URLs, edit the Reply URL, paste in the Application URL (from step 1), then append it to the end of the URL, /.auth/login/aad/callback (For example, https://contoso.azurewebsites.net/.auth/login/aad/callback). [Save] をクリックします。Click Save.

    注意

    [応答 URL] を追加することによって、複数のドメインに同じアプリ登録を使用できます。You can use the same app registration for multiple domains by adding additional Reply URLs. 各 App Service インスタンスを独自の登録でモデル化して、独自のアクセス許可と同意が割り当てられるようにしてください。Make sure to model each App Service instance with its own registration, so it has its own permissions and consent. また、個別のサイト スロットに別のアプリ登録を使用することも考慮してください。Also consider using separate app registrations for separate site slots. これは、アクセス許可が環境間で共有されないようにすることにより、テストしている新しいコードのバグが運用環境に影響を与えないようにするためです。This is to avoid permissions being shared between environments, so that a bug in new code you are testing does not affect production.

  8. この時点で、アプリのアプリケーション ID をコピーします。At this point, copy the Application ID for the app. これは後で使うために保存しておきます。Keep it for later use. App Service アプリの構成に必要になります。You will need it to configure your App Service app.

  9. [登録済みのアプリ] ページを閉じます。Close the Registered app page. [アプリの登録] ページで、上部にある [エンドポイント] ボタンをクリックし、WS-FEDERATION SIGN-ON ENDPOINT URL を、URL の末尾の /wsfed を除いてコピーします。On the App registrations page, click on the Endpoints button at the top, then copy the WS-FEDERATION SIGN-ON ENDPOINT URL but remove the /wsfed ending from the URL. 結果は https://login.microsoftonline.com/00000000-0000-0000-0000-000000000000 のようになります。The end result should look like https://login.microsoftonline.com/00000000-0000-0000-0000-000000000000. ドメイン名は、ソブリン クラウドによって異なる可能性があります。The domain name may be different for a sovereign cloud. これは、後で発行者の URL として使用されます。This will serve as the Issuer URL for later.

Azure Active Directory の情報を App Service アプリに追加する Add Azure Active Directory information to your App Service app

  1. Azure Portal に戻って、App Service アプリに移動します。Back in the Azure portal, navigate to your App Service app. [認証/承認] をクリックします。Click Authentication/Authorization. [認証/承認] 機能が有効になっていない場合は、スイッチを [オン] に切り替えます。If the Authentication/Authorization feature is not enabled, turn the switch to On. [Azure Active Directory] をクリックし、[認証プロバイダー] でアプリを構成します。Click on Azure Active Directory, under Authentication Providers, to configure your app.

    (省略可能) App Service は既定では認証を行いますが、サイトのコンテンツと API へのアクセス承認については制限を設けていません。(Optional) By default, App Service provides authentication but does not restrict authorized access to your site content and APIs. アプリケーション コードでユーザーを承認する必要があります。You must authorize users in your app code. [要求が認証されない場合に実行するアクション] を、 [Azure Active Directory でのログイン] に設定します。Set Action to take when request is not authenticated to Log in with Azure Active Directory. このオプションでは、要求はすべて認証される必要があり、認証されていないすべての要求は、認証のために Azure Active Directory にリダイレクトされます。This option requires that all requests be authenticated, and all unauthenticated requests are redirected to Azure Active Directory for authentication.

  2. Active Directory の認証の構成で、 [管理モード][詳細] をクリックします。In the Active Directory Authentication configuration, click Advanced under Management Mode. 手順 8 のアプリケーション ID を [クライアント ID] ボックスに貼り付け、手順 9 の URL を [発行者の URL] の値に貼り付けます。Paste the Application ID into the Client ID box (from step 8) and paste in the URL (from step 9) into the Issuer URL value. 次に、 [OK] をクリックしますThen click OK.

  3. Active Directory 認証構成ページで、 [保存] をクリックします。On the Active Directory Authentication configuration page, click Save.

これで、App Service アプリで認証に Azure Active Directory を使用する準備ができました。You are now ready to use Azure Active Directory for authentication in your App Service app.

ネイティブ クライアント アプリケーションを構成するConfigure a native client application

ネイティブ クライアントを登録して、アクセス許可のマッピングを詳細に制御できます。You can register native clients, which provides greater control over permissions mapping. Active Directory 認証ライブラリなどのクライアント ライブラリを使用してサインインを実行する場合は、これが必要です。You need this if you wish to perform sign-ins using a client library such as the Active Directory Authentication Library.

  1. Azure Portal[Azure Active Directory] に移動します。Navigate to Azure Active Directory in the Azure portal.
  2. 左側のナビゲーションで、 [アプリの登録] を選択します。In the left navigation, select App registrations. 上部にある [新しいアプリケーションの登録] をクリックします。Click New app registration at the top.
  3. [作成] ページで、アプリの登録の [名前] を入力します。In the Create page, enter a Name for your app registration. [アプリケーションの種類][ネイティブ] を選択します。Select Native in Application type.
  4. [リダイレクト URI] に、HTTPS スキームを使用してサイトの /.auth/login/done エンドポイントを入力します。In the Redirect URI box, enter your site's /.auth/login/done endpoint, using the HTTPS scheme. これは、 https://contoso.azurewebsites.net/.auth/login/done のような値である必要があります。This value should be similar to https://contoso.azurewebsites.net/.auth/login/done. Windows アプリケーションを作成する場合は、 パッケージ SID を URI として使用します。If creating a Windows application, instead use the package SID as the URI.
  5. Create をクリックしてください。Click Create.
  6. アプリの登録が追加されたら、それを選択して開きます。Once the app registration has been added, select it to open it. [アプリケーション ID] を検索し、その値をメモします。Find the Application ID and make a note of this value.
  7. [すべての設定] > [必要なアクセス許可] > [追加] > [API を選択します] の順にクリックします。Click All settings > Required permissions > Add > Select an API.
  8. 前に登録した App Service アプリの名前を入力して検索し、それを選択して [選択] をクリックします。Type the name of the App Service app that you registered earlier to search for it, then select it and click Select.
  9. [<アプリ名> へアクセス] を選択します。Select Access <app_name>. [選択] をクリックします。Then click Select. 次に、 [Done] をクリックします。Then click Done.

これで、App Service アプリにアクセスできるネイティブ クライアント アプリケーションが構成されました。You have now configured a native client application that can access your App Service app.