保護された Web API: コード構成

2025-09-11

適用対象: 次の内容が従業員テナントに適用されることを示す白いチェックマーク記号が付いた緑の円。ワークフォーステナント (詳細)

保護された Web API のコードを構成するには、次の点を理解しておいてください。

API を保護対象として定義するもの
ベアラートークンの構成方法
トークンの検証方法

承認済みトークンのバージョン

Microsoft ID プラットフォームでは、v1.0 トークンと v2.0 トークンを発行できます。これらのトークンの詳細については、「アクセストークン」を参照してください。

API が受け入れるトークンのバージョンは、Azure portal で Web API アプリケーションの登録を作成するときに サポートされているアカウントの種類 の選択によって異なります。

サポートされているアカウントの種類の値が任意の組織のディレクトリ内のアカウントと個人用 Microsoft アカウント (Skype、Xbox、Outlook.com など) の場合、受け入れ可能なトークンのバージョンは v2.0 である必要があります。
それ以外の場合は、承認済みトークンのバージョンを v1.0 にできます。

アプリケーションを作成した後、これらの手順に従って、承認済みトークンのバージョンを決定または変更できます。

Microsoft Entra 管理センターで、アプリを選択し、[マニフェスト] を選択 します。
マニフェストで プロパティ accessTokenAcceptedVersion を見つけます。
その値により、Web API で受け入れられるトークンのバージョンが Microsoft Entra に対して指定されます。
- 値が 2 の場合、Web API では v2.0 トークンが受け入れられます。
- 値が null の場合、Web API は v1.0 トークンを受け入れます。
トークンのバージョンを変更した場合は、[ 保存] を選択します。

Web API で受け入れられるトークンのバージョンを指定します。クライアントで、Microsoft ID プラットフォームに Web API 用のトークンを要求すると、クライアントは Web API が受け入れるトークンのバージョンを示すトークンを受け取ります。

ASP.NET と ASP.NET Core の API を保護対象として定義するものとは

Web アプリと同じように、ASP.NET と ASP.NET Core の Web API は、そのコントローラーアクションに [Authorize] 属性のプレフィックスがあるため、保護されています。コントローラーアクションは、承認されている ID で API が呼び出された場合にのみ呼び出すことができます。

次の質問について考えてみましょう。

Web API を呼び出せるのはアプリのみです。 API では、呼び出し元のアプリの ID をどのように認識しますか?
ユーザーの代わりにアプリで API が呼び出される場合、ユーザーの ID は何ですか?

ベアラートークン

アプリが呼び出されたときにヘッダーに設定されるベアラートークンには、アプリ ID に関する情報が保持されます。また、Web アプリがデーモンアプリからのサービス間の呼び出しを受け入れる場合を除き、ユーザーに関する情報も保持されます。

これは、Microsoft Authentication Library for .NET (MSAL.NET) を使用してトークンを取得した後、API を呼び出すクライアントを示す C# コードの例です。

var scopes = new[] {$"api://.../access_as_user"};
var result = await app.AcquireToken(scopes)
                      .ExecuteAsync();

httpClient = new HttpClient();
httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", result.AccessToken);

// Call the web API.
HttpResponseMessage response = await _httpClient.GetAsync(apiUri);

重要

クライアントアプリケーションにより、"Web API の" Microsoft ID プラットフォームにベアラートークンが要求されます。 API は、トークンを検証し、含まれている要求を表示する必要がある唯一のアプリケーションです。クライアントアプリで、トークンの要求を検査してみることはできません

将来、Web API で、トークンの暗号化が要求される可能性があります。この要件により、アクセストークンを表示できるクライアントアプリのアクセスが禁止されます。

JwtBearer の構成

このセクションでは、ベアラートークンの構成方法について説明します。

config ファイル

1 つのテナント (基幹業務アプリ) からのアクセストークンを受け入れる場合にのみ TenantId を指定する必要があります。それ以外の場合、common のままにできます。異なる値には、次の値を指定できます。

GUID (テナント ID = ディレクトリ ID)
common は、任意の組織アカウントと個人アカウントにすることができます
organizations は、任意の組織にできます
consumers は、Microsoft 個人アカウントです

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "ClientId": "Enter_the_Application_(client)_ID_here",
    "TenantId": "common"
  },
  "Logging": {
    "LogLevel": {
      "Default": "Warning"
    }
  },
  "AllowedHosts": "*"
}

Web API にカスタムアプリ ID URI を使用する

Azure portal によって提案された既定のアプリ ID URI を受け入れた場合は、対象ユーザーを指定する必要はありません。それ以外の場合は、Web API のアプリ ID URI を値とする Audience プロパティを追加します。これは通常、api:// で始まります。

{
  "AzureAd": {
    "Instance": "https://login.microsoftonline.com/",
    "ClientId": "Enter_the_Application_(client)_ID_here",
    "TenantId": "common",
    "Audience": "Enter_the_Application_ID_URI_here"
  },
}

コードの初期化

[Authorize] 属性を保持するコントローラーアクションでアプリが呼び出されると、ASP.NET と ASP.NET Core により、Authorization ヘッダーのベアラートークンからアクセストークンが抽出されます。その後、アクセストークンは JwtBearer ミドルウェアに転送され、Microsoft IdentityModel Extensions for .NET が呼び出されます。

ASP.NET Core で Web API を開発する場合は、Microsoft.Identity.Web NuGet パッケージを使用することをお勧めします。

Microsoft.Identity.Web を使用すると、ASP.NET Core、認証ミドルウェア、および .NET 用の Microsoft Authentication Library (MSAL) 間を結び付けることができます。これにより、より明確で堅牢な開発者エクスペリエンスが可能になり、Microsoft ID プラットフォームと Azure AD B2C の機能を活用できます。

.NET 6.0 用 ASP.NET

Microsoft.Identity.Web を使う新しい Web API プロジェクトを作成するには、.NET 6.0 CLI または Visual Studio でプロジェクトテンプレートを使います。

.NET Core CLI

# Create new web API that uses Microsoft.Identity.Web
dotnet new webapi --auth SingleOrg

Visual Studio - Visual Studio で Web API プロジェクトを作成するには、[ファイル]>[新規作成]>[プロジェクト]>[ASP.NET Core Web API] を選択します。

.NET CLI と Visual Studio の両方のプロジェクトテンプレートで、このコードスニペットのような Program.cs ファイルが作成されます。 Microsoft.Identity.Web using ディレクティブと、認証と承認を含む行に注目してください。

using Microsoft.AspNetCore.Authentication;
using Microsoft.AspNetCore.Authentication.JwtBearer;
using Microsoft.Identity.Web;

var builder = WebApplication.CreateBuilder(args);

// Add services to the container.
builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
    .AddMicrosoftIdentityWebApi(builder.Configuration.GetSection("AzureAd"));

builder.Services.AddControllers();
// Learn more about configuring Swagger/OpenAPI at https://aka.ms/aspnetcore/swashbuckle
builder.Services.AddEndpointsApiExplorer();
builder.Services.AddSwaggerGen();

var app = builder.Build();

// Configure the HTTP request pipeline.
if (app.Environment.IsDevelopment())
{
    app.UseSwagger();
    app.UseSwaggerUI();
}

app.UseHttpsRedirection();

app.UseAuthentication();
app.UseAuthorization();

app.MapControllers();

app.Run();

ASP.NET で Web API を開発するときは、Microsoft.Identity.Web.OWIN NuGet パッケージを使用することをお勧めします。

"Microsoft.Identity.Web.OWIN" を使用すると、ASP.NET、ASP.NET 認証ミドルウェア、および .NET 用の Microsoft Authentication Library (MSAL) 間を結び付けることができます。これにより、より明確で堅牢な開発者エクスペリエンスが可能になり、Microsoft ID プラットフォームと Azure AD B2C の機能を活用できます。

ASP.NET Core (appsettings.json) と同じ構成ファイルを使用するため、このファイルがプロジェクトの出力とともにコピーされていることを確認する必要があります (プロパティのコピーは、常に Visual Studio または .csproj のファイルのプロパティにあります)

"Microsoft.Identity.Web.OWIN" は、という名前の拡張メソッドを IAppBuilder に追加します。AddMicrosoftIdentityWebApi これらのメソッドは、OwinTokenAcquirerFactory のインスタンスをパラメーターとして受け取って、OwinTokenAcquirerFactory.GetDefaultInstance<OwinTokenAcquirerFactory>() を呼び出し、IServiceCollection のインスタンスを表示します。このインスタンスに対して、ダウンストリーム API の呼び出しや、トークンキャッシュの構成を行う多くのサービスを追加できます。

Startup.Auth.cs のサンプルコードを次に示します。詳細なコードは tests/DevApps/aspnet-mvc/OwinWebApp から入手できます

using Microsoft.Owin.Security;
using Microsoft.Owin.Security.Cookies;
using Owin;
using Microsoft.Identity.Web;
using Microsoft.Identity.Web.TokenCacheProviders.InMemory;
using Microsoft.Extensions.DependencyInjection;
using Microsoft.Identity.Client;
using Microsoft.Identity.Abstractions;
using Microsoft.Identity.Web.OWIN;
using System.Web.Services.Description;

namespace OwinWebApp
{
    public partial class Startup
    {
        public void ConfigureAuth(IAppBuilder app)
        {
            app.SetDefaultSignInAsAuthenticationType(CookieAuthenticationDefaults.AuthenticationType);
            app.UseCookieAuthentication(new CookieAuthenticationOptions());

            OwinTokenAcquirerFactory factory = TokenAcquirerFactory.GetDefaultInstance<OwinTokenAcquirerFactory>();

            app.AddMicrosoftIdentityWebApp(factory);
            factory.Services
                .Configure<ConfidentialClientApplicationOptions>(options => { options.RedirectUri = "https://localhost:44386/"; })
                .AddMicrosoftGraph()
                .AddDownstreamApi("DownstreamAPI1", factory.Configuration.GetSection("DownstreamAPI"))
                .AddInMemoryTokenCaches();
            factory.Build();
        }
    }
}

トークンの検証

前のスニペットでは、Web アプリの OpenID Connect ミドルウェアと同様に、JwtBearer ミドルウェアによって TokenValidationParameters の値に基づいてトークンが検証されます。トークンは必要に応じて暗号化が解除され、要求が抽出され、署名が検証されます。その後、ミドルウェアでは、このデータを調べてトークンを確認します。

Audience:トークンが Web API のターゲットとなっていること。
サブ:Web API の呼び出しが許可されているアプリに対して発行されたこと。
発行者:信頼できるセキュリティトークンサービス (STS) によって発行されたこと。
有効期限:有効期間が範囲内であること。
署名:改ざんされていないこと。

特別な検証もできます。たとえば、署名キー (トークンに埋め込まれている場合) が信頼されていること、およびトークンが再生されていないことを確認することができます。最後に、一部のプロトコルでは、特定の検証が必要です。

検証コントロール

確認手順は、検証コントロールでキャプチャされます。これらは Microsoft IdentityModel Extensions for .NET のオープンソースライブラリで提供されています。検証コントロールは、ライブラリソースファイル Microsoft.IdentityModel.Tokens/Validators.cs で定義されています。

次の表では、検証コントロールについて説明します。

検証コントロール	説明
ValidateAudienceの	トークンが、自分のトークンを確認するアプリケーション用であることを保証します。
ValidateIssuer (発行者の検証)	トークンが信頼できる STS、つまり自分が信頼する人から発行されたことを保証します。
ValidateIssuerSigningKey の	トークンを確認するアプリケーションで、トークンの署名に使用されたキーが信頼されていることを保証しますキーがトークンに埋め込まれている特殊なケースがあります。ただし、このケースは通常は発生しません。
ValidateLifetimeの	トークンが引き続きまたは既に有効であることを保証します。検証コントロールにより、トークンの有効期間が notbefore 要求と expires 要求で指定された範囲内にあるかどうかが確認されます。
ValidateSignature (署名のバリデーション)	トークンが改ざんされていないことを保証します。
ValidateTokenReplay	トークンが再生されていないことを保証します一部の 1 回限りの使用のプロトコルには特殊なケースがあります。

トークンの検証のカスタマイズ

検証コントロールは、TokenValidationParameters クラスのプロパティに関連付けられています。このプロパティは、ASP.NET と ASP.NET Core の構成から初期化されます。

ほとんどの場合、パラメーターを変更する必要はありません。シングルテナントではないアプリは例外です。これらの Web アプリでは、任意の組織から、または個人用 Microsoft アカウントからのユーザーを受け入れます。この場合、発行者を検証する必要があります。 Microsoft.Identity.Web では発行者の検証も行われます。

ASP.NET Core で、トークン検証パラメーターをカスタマイズする場合は、Startup.cs で次のスニペットを使用します。

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
        .AddMicrosoftIdentityWebApi(Configuration);
services.Configure<JwtBearerOptions>(JwtBearerDefaults.AuthenticationScheme, options =>
{
  options.TokenValidationParameters.ValidAudiences = new[] { /* list of valid audiences */};
});

ASP.NET MVC の場合、次のコードサンプルにカスタムトークンの検証を行う方法が示されています。

https://github.com/azure-samples/active-directory-dotnet-webapi-manual-jwt-validation

Azure Functions でのトークンの検証

Azure Functions では、受信アクセストークンを検証することもできます。このような検証の例については、GitHub の次のコードサンプルを参照してください。

次のステップ

このシナリオの次の記事である「コードでスコープとアプリのロールを検証する」に進みます。

フィードバック

このページはお役に立ちましたか?