サーバー間 (S2S) 認証を使用して Web アプリケーションを作成する

  • [アーティクル]

サーバー間 (S2S) の認証を使用して、 Microsoft Dataverse と Web アプリケーションおよびサービスと安全かつシームレスに通信します。 S2S 認証は、Microsoft AppSource に登録されたアプリがサブスクライバーの Dataverse データにアクセスするために使用する一般的な方法です。

S2S 認証を使用することで、Dataverse 環境に接続する際に、有料の Power Apps ユーザーライセンスを使用する必要がなくなります。 S2S 認証と共に使用する特殊 アプリケーション ユーザー アカウントのライセンス料金はありません。 ただし、アプリケーション ユーザーの要求数の制限 のアカウントを呼び出すことができます。 S2S 認証でライセンスを付与されていない特殊アプリケーション ユーザー アカウントが作成され、そこには Microsoft Entra ID に登録されているアプリケーションの情報が含まれます。 ユーザーの資格情報ではなく、アプリケーション ユーザー レコードに保存されている Microsoft Entra ID オブジェクト ID 値によって識別されるサービス プリンシパルに基づいてアプリケーションは認証されます。 アプリケーション ユーザーは、アプリケーションが実行できるデータおよび操作の種類を制御するカスタム セキュリティ ロールに関連付けられます。

S2S を使用してアプリケーションまたはサービスによって実行するすべての操作は、ユーザーのアプリケーションにアクセスしているユーザーとしてではなく、ユーザーが提供するアプリケーションのユーザーとして実行されます。 ユーザーのアプリケーションと対話しているユーザーなど、特定のユーザーに代わってデータ操作をアプリケーションが実行することを希望する場合、アプリケーション サービス プリンシパルに適用するユーザー定義のセキュリティ ロールが必要な特権を持っている場合に、偽装を適用できます。 詳細情報: もう一方のユーザーの偽装

S2S 認証を使用する Web アプリケーションまたはサービスはアクセス権を持っているデータへのアクセスを制御します。 これは通常、OpenID 接続プロバイダーを使用して行われます。 詳細情報 : Open ID Connect

サーバー間の認証シナリオ

S2S 認証が適用できる 2 つのシナリオがあります。

シナリオ 説明
マルチテナント これは最も一般的なシナリオで、 Microsoft AppSource を使用して配布されたアプリケーションに対して使用されるものです。

各 Dataverse テナントは、Microsoft Entra ID テナントに関連付けられます。 Web アプリケーションまたはサービスは、独自の Microsoft Entra ID テナントで登録されます。

このシナリオでは、どの Dataverse テナントも、テナント内のデータにアクセスするアプリケーションへの同意の承認後に、マルチテナント アプリケーションを使用できる可能性があります。
単一テナント このシナリオは通常、自分のテナント用にアプリを開発し、それらを他の Dataverse 環境に配布する必要がない Dataverse 環境に適用されます。

エンタープライズは、Web アプリケーションやサービスを作成して、テナントのすべての Dataverse 環境に接続することができます。

このシナリオでは、Web アプリケーションやサービスが、同じ Microsoft Entra ID テナント情報を使用して Dataverse 環境のみに接続することができます。

両方のシナリオに共通要素がありますが、異なる要素もあります。 マルチテナント型は最も一般的なシナリオであるため、 マルチテナント型サーバー間認証を使用 コンテンツでは、このシナリオで S2S を使用する方法が説明され、単一テナントの構成のオプションが異なる場合はその旨が記載されます。

マルチテナント型サーバー間認証を使用する では、このシナリオの概要を説明され、マルチテナント型 S2S 認証のコンテンツに記載されている手順が参照されます。

関連項目

マルチ テナント型でのサーバー間認証の使用
単一テナント型のサーバー間認証を使用する

注意

ドキュメントの言語設定についてお聞かせください。 簡単な調査を行います。 (この調査は英語です)

この調査には約 7 分かかります。 個人データは収集されません (プライバシー ステートメント)。