機密クライアント アプリケーションを構築する場合、資格情報を効果的に管理することが重要です。 この記事では、Microsoft Entra のアプリ登録にクライアント証明書、フェデレーション ID 資格情報、またはクライアント シークレットを追加する方法について説明します。 これらの資格情報を使用すると、ユーザーの操作なしでアプリケーション自体を安全に認証し、Web API にアクセスできます。
[前提条件]
クイック スタート: Microsoft Entra ID でアプリを登録する。
アプリケーションに資格情報を追加する
機密クライアント アプリケーションの資格情報を作成する場合:
アプリケーションを運用環境に移行する前に、クライアント シークレットの代わりに証明書を使用することをお勧めします。 証明書の使用方法の詳細については、 Microsoft ID プラットフォーム アプリケーション認証証明書の資格情報の手順を参照してください。
テスト目的で、自己署名証明書を作成し、それに対して認証するようにアプリを構成できます。 ただし、 運用環境では、既知の証明機関によって署名された証明書を購入し、 Azure Key Vault を使用して証明書のアクセスと有効期間を管理する必要があります。
クライアント シークレットの脆弱性の詳細については、「シークレット ベースの認証からアプリケーションを移行する」を参照してください。
公開キーと呼ばれることもあります。証明書は、クライアント シークレットよりも安全であると見なされるため、推奨される資格情報の種類です。
Microsoft Entra 管理センターの [アプリの登録] でアプリケーションを選びます。
証明書とシークレット>Certificates>証明書のアップロードを選択します。
アップロードするファイルを選択します。 .cer、.pem、.crt のいずれかのファイル形式である必要があります。
[] を選択し、[] を追加します。
クライアント アプリケーション コードで使用する証明書 の拇印 を記録します。
![Microsoft Entra 管理センターのスクリーンショット。アプリの登録の [証明書とシークレット] ウィンドウに [証明書] タブが表示されています。](media/quickstart-register-app/add-client-certificate.png)
![Microsoft Entra 管理センターのスクリーンショット。アプリの登録の [証明書とシークレット] ウィンドウに [証明書] タブが表示されています。](media/quickstart-register-app/add-client-certificate.png#lightbox)
![Microsoft Entra 管理センターのスクリーンショット。アプリの登録の [証明書とシークレット] ウィンドウの [クライアント シークレット] タブが表示されています。](media/quickstart-register-app/add-client-secret.png#lightbox)
![Microsoft Entra 管理センターのスクリーンショット。[アプリの登録] の [証明書およびシークレット] ペインが表示されています。](media/quickstart-register-app/add-federated-credential.png#lightbox)