SlideShare a Scribd company logo

Azure ADアプリケーションを使用した認証のあれやこれ ASP.NET Core編

Download as PPTX, PDF
DevTakas , profile picture
DevTakas

2021年5月の.NETラボの発表で使用した資料です。 デモで使用したソースコードは👇です https://github.com/Takas0522/dotnetlab-2021-may

Technology
1 of 24
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
Azure ADアプリケーションを使用した認証のあれやこれ ASP.NET Core編 2021.05 .NETラボ
誰? Takas(@DevTakas) Angular / Azure / .NET Core / Azure DevOps / Microsoft Graph Microsoft MVP Office Development
誰? ブログやってます http://takasdev.hatenablog.com/ 「はまったりひらめいたり…とか…」
おしながき 1. Azure ADアプリケーションを使用した認証について 2. 認証の種類と使い分け 3. 認証フローを助けてくれるライブラリ 4. Demo & Tips 5. まとめ
1. Azure ADアプリケーションを使用した認証について - Azure ADアプリケーションとは • Azure ADアプリケーションを介してID認証を行うことが可能 • M365ログイン時のユーザーID/パスワード/2FAで認証可能 • ユーザー管理や認証設計の多くが不要になるのが個人的には嬉しい • 認証にはApplicationID/TenantID/Scopeを使用して認証を行う • Secretも使用することはある • 現在v1/v2エンドポイントが提供されている • v1は非推奨となっている • jsで認証を行う話はM365VMで話したので今回はASP.NETCore
1. Azure ADアプリケーションを使用した認証について - バージョンの違い • v1はAzure Active Directoryベース • 組織アカウントのみのサポート • 認証に使用するライブラリはADALと呼ばれる • v2はMicrosoft IDプラットフォームベース • 組織/個人/B2Cアカウントをサポートしている • 認証に使用するライブラリはMSALと呼ばれる
保護されたアプリケーション 保護されたアプリケーション 1. Azure ADアプリケーションを使用した認証について - API Permission Azure AD アプリケーション Graphリソース 他Azure AD アプリケーション アクセス許可 ①
保護されたアプリケーション 保護されたアプリケーション 1. Azure ADアプリケーションを使用した認証について - API Permission Azure AD アプリケーション Graphリソース 他Azure AD アプリケーション トークン要求 ②
保護されたアプリケーション 保護されたアプリケーション 1. Azure ADアプリケーションを使用した認証について - API Permission Azure AD アプリケーション Graphリソース 他Azure AD アプリケーション 保護アプリにアクセス可能に ③
2.認証の種類と使い分け -OAuth/Open ID Connectのフロー • M365のユーザーID/PASSを使用し保護リソースにアクセスする際に • アプリ使用ユーザーがM365のログインをする必要がある • 逆にいうとシークレットなどは不要。基本Client Idのみで良い。 • ユーザーに紐づく情報の取得を行いたい場合はこれを使う • Graphの強力な権限をこれで取得するのはおすすめできない
2.認証の種類と使い分け -OAuth/Open ID Connectのフロー
2.認証の種類と使い分け -資格情報のフロー • ユーザーID/パスワード入力を介さない認証 • Azure AD で発行したシークレットを使用する • どちらかというとWebAPI(バックエンド)で認証が必要な際に使用 • 「アプリケーションのアクセス許可」扱い • 比較的強力な権限が必要な場合にこれを使うことが多い • AD内のメールやイベント情報の全閲覧権限など…
2.認証の種類と使い分け -資格情報のフロー https://docs.microsoft.com/ja-jp/azure/active-directory/develop/v2-oauth2-client-creds-grant-flow
2.認証の種類と使い分け -On-Behalf-Of • WebAPIから別のWebAPIを呼び出すような時に使用する • WebAPIアクセス時のアクセストークン情報を引き回したい時に使用 • 例えば保護されたWebAPIでアクセスユーザーのGraphにアクセスしたいときなど • アクセス元のAzureADで再認証が行われるためシークレットが必要となる https://docs.microsoft.com/ja-jp/azure/active-directory/develop/v2-oauth2-on-behalf-of-flow
3.認証フローを助けてくれるライブラリ -なぜライブラリが必要なのか • 先の説明の通り認証のフローはややこしい • これに加えてセキュリティ標準を満たすための様々なルールが存在 • stateとかPKCEのchalengeとか… • リダイレクトなど含むので素でやろうとすると処理が複雑になる • ライブラリはそれらの要件を満たす処理をよしなにしてくれる
3. ASP.NETの保護を助けてくれるライブラリ -Microsoft.AspNetCore.Authentication.AzureAD.UI • 一昔まえのWebAPIのAzureAD保護ライブラリ • V1エンドポイントで保護する場合はこれ? • 昨今あまり使わない。 • ただVisualStudioのテンプレートはいまだにこっちみたい…
3. ASP.NETの保護を助けてくれるライブラリ -Microsoft.Identity.Web • Microsoftから提供されるASP.NET Coreライブラリ • MicrosoftIDプラットフォームと統合されるWebアプリ/WebAPIの 認証/承認サポートを簡略化してくれる • 「MicrosoftIDプラットフォーム」からわかる通りv2エンドポイント想定 • WebAPIの保護をこれを使用して行う事が可能 • dotnetコマンドでプロジェクトテンプレートを使用することが可能
3. ASP.NETの保護を助けてくれるライブラリ -Microsoft.Identity.Web • サポートされるアプリケーションの種類 • WebAPI • MVC WebApp • Razor WebApp • Blazor Server • Blazor WebAssembly
3.認証フローを助けてくれるライブラリ -Microsoft.Identity.Client • MSALにあたる。 • ユーザー認証やシークレットを使用した認証を利用してアクセストークンを取得したい場合に使用 • ユーザー認証を伴うもの:PublicClientApplicationBuilder • シークレット認証を伴うもの:ConfidentialClientApplicationBuilder
4.Demo&Tips -アプリケーションからGraph/WebAPIデータにアクセスする Front Console Application MS Graph Original Web API AD App1 AD App2 User.read データ取得 ユーザー認証
4.Demo&Tips -AzureFunctionsからGraph/WebAPIデータにアクセスする Functions MS Graph Original Web API AD App1 AD App2 User.read データ取得 Secret認証
4.Demo&Tips -OBHFでGraph/WebAPIデータにアクセスする Original Web API1 MS Graph Original Web API2 AD App1 AD App2 User.read データ取得 ユーザー認証 Front Console Application
まとめ • ASP.NET CoreのアプリケーションはMicrosoft ID プラット フォームで保護できる • Microsoft IDプラットフォームでASP.NETアプリを 保護したい場合はMicrosoft.Identity.Webが鉄板 • .NETでMicrosoft IDプラットフォームを利用した 認証を行いたい場合はMicrosoft.Identity.Client • .NETでも気軽に認証と承認、保護が行えるので活用しよう
参考ページ • Microsoft Identity Web 認証ライブラリ • https://docs.microsoft.com/ja-jp/azure/active-directory/develop/microsoft-identity-web • AzureAD/microsoft-identity-web • https://github.com/AzureAD/microsoft-identity-web/wiki • Microsoft ID プラットフォームと OAuth 2.0 認証コード フロー • https://docs.microsoft.com/ja-jp/azure/active-directory/develop/v2-oauth2-auth-code-flow • Microsoft ID プラットフォームと OAuth 2.0 クライアント資格情報フロー • https://docs.microsoft.com/ja-jp/azure/active-directory/develop/v2-oauth2-client-creds-grant-flow • Microsoft ID プラットフォームと OAuth2.0 On-Behalf-Of フロー • https://docs.microsoft.com/ja-jp/azure/active-directory/develop/v2-oauth2-on-behalf-of-flow

More Related Content

PPTX
Azure ADアプリケーションを使用した認証のあれやこれ
DevTakas
 
PDF
OAuth2.0によるWeb APIの保護
Naohiro Fujie
 
PDF
Keycloak拡張入門
Hiroyuki Wada
 
PDF
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
Tatsuo Kudo
 
PPTX
Azure AD による Web API の 保護
junichi anno
 
PDF
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
Tatsuo Kudo
 
PPTX
AKS と ACI を組み合わせて使ってみた
Hideaki Aoyagi
 
PDF
KeycloakのDevice Flow、CIBAについて
Hiroyuki Wada
 
Azure ADアプリケーションを使用した認証のあれやこれ
DevTakas
 
OAuth2.0によるWeb APIの保護
Naohiro Fujie
 
Keycloak拡張入門
Hiroyuki Wada
 
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
Tatsuo Kudo
 
Azure AD による Web API の 保護
junichi anno
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
Tatsuo Kudo
 
AKS と ACI を組み合わせて使ってみた
Hideaki Aoyagi
 
KeycloakのDevice Flow、CIBAについて
Hiroyuki Wada
 

What's hot (20)

PPTX
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
NTT DATA Technology & Innovation
 
PDF
Kongの概要と導入事例
briscola-tokyo
 
PDF
認証の課題とID連携の実装 〜ハンズオン〜
Masaru Kurahayashi
 
PDF
AWS Systems manager 入門
Serverworks Co.,Ltd.
 
PDF
Azure Monitor Logで実現するモダンな管理手法
Takeshi Fukuhara
 
PDF
これからのネイティブアプリにおけるOpenID Connectの活用
Masaru Kurahayashi
 
PPTX
Azure Api Management 俺的マニュアル 2020年3月版
貴志 上坂
 
PPTX
Keycloak入門
Hiroyuki Wada
 
PPTX
AAD B2Cでゆるっと真面目に認証しよう【Interact2019】
Tsubasa Yoshino
 
PDF
分散トレーシング技術について(Open tracingやjaeger)
NTT Communications Technology Development
 
PDF
Oracle Cloud Infrastructure:2023年5月度サービス・アップデート
オラクルエンジニア通信
 
PDF
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
NTT DATA Technology & Innovation
 
PPTX
Azure API Management 俺的マニュアル
貴志 上坂
 
PDF
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
Tatsuo Kudo
 
PPTX
Azureの学習にオススメな動画コンテンツまとめ.pptx
mizuhiro
 
PPTX
Spring boot 勉強会
太志郎 遠藤
 
PDF
小さなサービスも契約する時代
Ryo Mitoma
 
PDF
OpenIDConnectを活用したgBizID(法人共通認証基盤)の現状と今後の展望 - OpenID Summit 2020
OpenID Foundation Japan
 
PDF
Azure ADとIdentity管理
Naohiro Fujie
 
PDF
Windows スクリプトセミナー WMI編 VBScript&WMI
junichi anno
 
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
NTT DATA Technology & Innovation
 
Kongの概要と導入事例
briscola-tokyo
 
認証の課題とID連携の実装 〜ハンズオン〜
Masaru Kurahayashi
 
AWS Systems manager 入門
Serverworks Co.,Ltd.
 
Azure Monitor Logで実現するモダンな管理手法
Takeshi Fukuhara
 
これからのネイティブアプリにおけるOpenID Connectの活用
Masaru Kurahayashi
 
Azure Api Management 俺的マニュアル 2020年3月版
貴志 上坂
 
Keycloak入門
Hiroyuki Wada
 
AAD B2Cでゆるっと真面目に認証しよう【Interact2019】
Tsubasa Yoshino
 
分散トレーシング技術について(Open tracingやjaeger)
NTT Communications Technology Development
 
Oracle Cloud Infrastructure:2023年5月度サービス・アップデート
オラクルエンジニア通信
 
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
NTT DATA Technology & Innovation
 
Azure API Management 俺的マニュアル
貴志 上坂
 
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
Tatsuo Kudo
 
Azureの学習にオススメな動画コンテンツまとめ.pptx
mizuhiro
 
Spring boot 勉強会
太志郎 遠藤
 
小さなサービスも契約する時代
Ryo Mitoma
 
OpenIDConnectを活用したgBizID(法人共通認証基盤)の現状と今後の展望 - OpenID Summit 2020
OpenID Foundation Japan
 
Azure ADとIdentity管理
Naohiro Fujie
 
Windows スクリプトセミナー WMI編 VBScript&WMI
junichi anno
 
Ad

Similar to Azure ADアプリケーションを使用した認証のあれやこれ ASP.NET Core編 (20)

PPTX
AzureADの認証で失敗した話
DevTakas
 
PPTX
Azure AD Application を使用した認証のアレコレ
DevTakas
 
PPTX
Azure Active Directory 利用開始への第一歩
Yusuke Kodama
 
PPTX
Java EE 7 multi factor authentiaction with Microsoft Azure AD
Yoshio Terada
 
PPTX
適切な Azure AD 認証方式の選択の決め手
Yusuke Kodama
 
PDF
【de:code 2020】 Apps on Azure AD - アプリケーション連携 WHY と HOW
日本マイクロソフト株式会社
 
PDF
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
Shinichiro Kosugi
 
PPTX
Azure AD の新しいデバイス管理パターンを理解しよう
Yusuke Kodama
 
PPTX
Microsoft Azure のセキュリティ
junichi anno
 
PDF
CLT-009_Windows 10 アプリとシングルサインオン ~Microsoft Passport の意義とその実装方法~
decode2016
 
PPTX
Azure AD の SaaS アプリケーション認証への活用
Yusuke Kodama
 
PDF
[Japan Tech summit 2017] SEC 006
Microsoft Tech Summit 2017
 
PPTX
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
Yusuke Kodama
 
PDF
Azure DevOpsとセキュリティ
Kazushi Kamegawa
 
PDF
msal.jsを使う
DevTakas
 
PDF
Continuous access evaluation
neko baba
 
PPTX
Continuous access evaluation
neko baba
 
PDF
Azure AD B2CにIdPを色々と繋いでみる
Naohiro Fujie
 
PPTX
Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD
junichi anno
 
PDF
AAD authentication for azure app v0.1.20.0317
Ayumu Inaba
 
AzureADの認証で失敗した話
DevTakas
 
Azure AD Application を使用した認証のアレコレ
DevTakas
 
Azure Active Directory 利用開始への第一歩
Yusuke Kodama
 
Java EE 7 multi factor authentiaction with Microsoft Azure AD
Yoshio Terada
 
適切な Azure AD 認証方式の選択の決め手
Yusuke Kodama
 
【de:code 2020】 Apps on Azure AD - アプリケーション連携 WHY と HOW
日本マイクロソフト株式会社
 
VPN・証明書はもう不要? Azure ADによるデバイス認証 at Tech Summit 2018
Shinichiro Kosugi
 
Azure AD の新しいデバイス管理パターンを理解しよう
Yusuke Kodama
 
Microsoft Azure のセキュリティ
junichi anno
 
CLT-009_Windows 10 アプリとシングルサインオン ~Microsoft Passport の意義とその実装方法~
decode2016
 
Azure AD の SaaS アプリケーション認証への活用
Yusuke Kodama
 
[Japan Tech summit 2017] SEC 006
Microsoft Tech Summit 2017
 
詳説!Azure AD 条件付きアクセス - 動作の仕組みを理解する編
Yusuke Kodama
 
Azure DevOpsとセキュリティ
Kazushi Kamegawa
 
msal.jsを使う
DevTakas
 
Continuous access evaluation
neko baba
 
Continuous access evaluation
neko baba
 
Azure AD B2CにIdPを色々と繋いでみる
Naohiro Fujie
 
Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD
junichi anno
 
AAD authentication for azure app v0.1.20.0317
Ayumu Inaba
 
Ad

More from DevTakas (14)

PPTX
Microsoft Graph Toolkitで手軽にM365フロント開発
DevTakas
 
PPTX
Azure Artifactsを触ってみよう
DevTakas
 
PPTX
Azure Web PubSub Serviceを触ってみた
DevTakas
 
PPTX
Microsoft Graph Toolkitを使ってGraph開発を体験しよう
DevTakas
 
PPTX
ASP.NET Core WebAPIでODataを使おう
DevTakas
 
PPTX
Microsoft Graphのことはじめ
DevTakas
 
PPTX
Azure Event HubsでGraph変更通知を受け取る
DevTakas
 
PPTX
msal.js v2を触る
DevTakas
 
PPTX
僕はあなたを監視する(MS Graph Subscriptionのβで公開されたpresencesを使おう!)
DevTakas
 
PPTX
TeamsのチャネルとやりとりするWeb Applicationを作ったお話
DevTakas
 
PPTX
Microsoft Graphの変更通知で遊ぶ
DevTakas
 
PPTX
Microsoft Graphを使ってアプリケーションを作った時の話
DevTakas
 
PPTX
Microsoft Graphことはじめ クエリパラメータ編
DevTakas
 
PPTX
Microsoft Graph完全に理解した気がしてた
DevTakas
 
Microsoft Graph Toolkitで手軽にM365フロント開発
DevTakas
 
Azure Artifactsを触ってみよう
DevTakas
 
Azure Web PubSub Serviceを触ってみた
DevTakas
 
Microsoft Graph Toolkitを使ってGraph開発を体験しよう
DevTakas
 
ASP.NET Core WebAPIでODataを使おう
DevTakas
 
Microsoft Graphのことはじめ
DevTakas
 
Azure Event HubsでGraph変更通知を受け取る
DevTakas
 
msal.js v2を触る
DevTakas
 
僕はあなたを監視する(MS Graph Subscriptionのβで公開されたpresencesを使おう!)
DevTakas
 
TeamsのチャネルとやりとりするWeb Applicationを作ったお話
DevTakas
 
Microsoft Graphの変更通知で遊ぶ
DevTakas
 
Microsoft Graphを使ってアプリケーションを作った時の話
DevTakas
 
Microsoft Graphことはじめ クエリパラメータ編
DevTakas
 
Microsoft Graph完全に理解した気がしてた
DevTakas
 

Azure ADアプリケーションを使用した認証のあれやこれ ASP.NET Core編