標準ベースの開発手法の使用

開発者は、Microsoft Authentication Library (MSAL) によって強化されたソフトウェア開発に業界標準を有効に活用できます。 この記事では、サポートされている標準 (OAuth 2.0、OpenID Connect、SAML、WS-Federation、SCIM) の概要と、MSAL および Microsoft ID プラットフォームでその標準を使用する利点について説明します。 最適なセキュリティのために、クラウド アプリケーションがゼロ トラスト要件を満たしていることを確認してください。

プロトコルについてはどうか?

プロトコルを実装する際には、最新のベスト プラクティスすべてに完全に対応したコードを記述する時間を含むコストを考慮し、安全な実装のために OAuth 2.0 のベスト プラクティスに従ってください。 代わりに、Microsoft Entra ID または Microsoft ID に直接構築する場合は、適切に管理されたライブラリ (MSAL を優先) を使用することをお勧めします。

MSAL は Microsoft Entra ID を使用して構築および動作するように最適化されています。 環境に MSAL が実装されていない場合、または独自のライブラリで機能のロックが解除されている場合は、Microsoft ID プラットフォームを使用してアプリケーションを開発してください。 OAuth 2.0 機能と OpenID Connect をベースにして構築してください。 プロトコルに正しくフォールバックするコストを検討してください。

Microsoft ID プラットフォームが標準をサポートする仕組み

ゼロ トラストを最も効率的かつ効果的に実現するには、Microsoft ID プラットフォームがサポートする業界標準を使用してアプリケーションを開発します。

• OAuth 2.0 と OpenID Connect
• SAML

OAuth 2.0 と OpenID Connect

OAuth 2.0 では、認証のための業界プロトコルとして、ユーザーは保護されたリソースへの制限付きアクセスを許可できます。 OAuth 2.0 は、ハイパーテキスト転送プロトコル (HTTP) と連携して、クライアントの役割をリソース所有者から分離します。 クライアントは、トークンを使用してリソース サーバーの保護されたリソースにアクセスします。

OpenID Connect コンストラクトを使用すると、Microsoft Entra 拡張機能でセキュリティを強化できます。 次の Microsoft Entra 拡張機能が最も一般的です。

• 条件付きアクセス認証コンテキストを使用すると、アプリ レベルだけではなく、機密データとアクションを保護する細分性の高いポリシーを適用できます。
• 継続的アクセス評価 (CAE) を使用すると、評価や実行のために Microsoft Entra アプリケーションで重要なイベントをサブスクライブできます。 CAE には、無効化または削除されたユーザー アカウント、パスワードの変更、トークンの失効、検出されたユーザーなどの危険なイベント評価が含まれます。

アプリケーションで CAE や条件付きアクセス認証コンテキストなどの強化されたセキュリティ機能を使用する場合は、クレーム チャレンジを管理するコードがそのアプリケーションに入っている必要があります。 オープン プロトコルにより、クレーム チャレンジとクレーム要求を使用して、他のクライアント機能を呼び出します。 たとえば、異常が原因で Microsoft Entra ID との対話を繰り返す必要があることをアプリに表示したりします。 もう 1 つのシナリオは、ユーザーが以前に認証された条件を満たさなくなった場合です。 開発者は、主要な認証コード フローを妨げることなく、これらの拡張機能のコーディングができます。

Security Assertion Markup Language (SAML)

Microsoft ID プラットフォームは、SAML 2.0 を使用して、ゼロ トラスト アプリケーションがシングル サインオン (SSO) ユーザー エクスペリエンスを提供できるようにしています。 Microsoft Entra ID の SSO およびシングル サインアウト SAML プロファイルは、ID プロバイダー サービスでの SAML アサーション、プロトコルおよびバインディングの使用方法を明確化します。 SAML プロトコルでは、ID プロバイダー (Microsoft ID プラットフォーム) とサービス プロバイダー (使用しているアプリケーション) は、それぞれに関する情報を交換する必要があります。 ゼロ トラスト アプリケーションを Microsoft Entra ID に登録する際は、アプリケーションのリダイレクト URI とメタデータ URI を含むフェデレーション関連の情報を Microsoft Entra ID に登録します。

プロトコルに対する MSAL の利点

マイクロソフトでは、Microsoft ID プラットフォームの MSAL を最適化し、SSO、トークン キャッシュ、および障害の回復性に最適なエクスペリエンスを提供しています。 MSAL が広く利用可能になるにつれて、言語とフレームワークの対象範囲を拡大し続けています。

MSAL を使用すると、Web アプリケーション、Web API、シングル ページ アプリ、モバイル アプリケーション、ネイティブ アプリケーション、デーモン、サーバー側アプリケーションなどのアプリケーション タイプに対してトークンを取得できます。 MSAL は、Microsoft Graph と API を介してユーザーとデータに安全にアクセスして、迅速かつ簡単に統合できます。 クラス最高の認証ライブラリを使用すると、あらゆるオーディエンスにリーチし、Microsoft セキュリティ開発ライフサイクルに従うことができます。

次のステップ

• 「Microsoft ID プラットフォームの認証ライブラリ」では、アプリケーション タイプのサポートについて説明しています。
• 「ゼロ トラストの原則を使用した開発」は、アプリケーションのセキュリティを向上させるために、ゼロ トラストの基本原則を理解するのに役立ちます。
• 「ゼロ トラスト ID およびアクセス管理の開発のベスト プラクティス」をアプリケーション開発ライフサイクルで使用して、セキュリティで保護されたアプリケーションを作成します。
• 「ID に対するゼロ トラストアプローチを使用したアプリの構築」では、アクセス許可とアクセスのベスト プラクティスの概要について説明しています。
• 「アプリケーションの登録、認証、アクセスに関する開発者と管理者の責任」は、IT 担当者との共同作業を向上させるのに役立ちます。
• 「API の保護」では、登録を通じて API を保護し、アクセス許可と同意を定義し、ゼロ トラストの目標を達成するためのアクセスを実施するためのベスト プラクティスについて説明しています。
• 「トークンのカスタマイズ」では、Microsoft Entra トークンで受け取ることができる情報について説明しています。 ここでは、最小限の権限でアプリケーションのゼロ トラスト セキュリティを強化しながら、トークンのカスタマイズによって柔軟性と制御を向上させる方法について説明しています。
• 「トークンでのグループ要求とアプリ ロールの構成」では、アプリ ロールの定義を使用してアプリを構成し、アプリ ロールにセキュリティ グループを割り当てる方法について説明しています。 このアプローチにより、最小限の権限でアプリケーションのゼロ トラスト セキュリティを強化しながら、柔軟性と制御が向上します。