サーバー間 (S2S) 認証を使用して、Web アプリケーションやサービスと Microsoft Dataverse と安全かつシームレスに通信します。 S2S 認証は Microsoft AppSource に登録されたアプリがサブスクライバーの Dataverse のデータにアクセスする一般的な方法です。
S2S 認証は、Dataverse 環境に接続するときに、有料の Power Apps ユーザー ライセンスを使用する必要がないようにすることを意味します。 S2S 認証で使用する特別な アプリケーション ユーザー アカウントのライセンス料金は発生しません。 ただし、アプリケーション ユーザー アカウントが呼び出すことができる 要求の数には制限 があります。 S2S 認証では、特別なライセンスのないアプリケーション ユーザー アカウントが作成され、Microsoft Entra ID に登録されているアプリケーションに関する情報が含まれます。 アプリケーションは、ユーザー資格情報ではなく、アプリケーション ユーザー レコードに格納されている Microsoft Entra ID オブジェクト ID 値によって識別されるサービス プリンシパルに基づいて認証されます。 アプリケーション ユーザーは、アプリケーションが実行できるデータと操作の種類を制御するカスタム セキュリティ ロールに関連付けられています。
S2S を使用してアプリケーションまたはサービスによって実行されるすべての操作は、アプリケーションにアクセスするユーザーとしてではなく、指定したアプリケーション ユーザーとして実行されます。 アプリケーションを操作しているユーザーなど、特定のユーザーに代わってアプリケーションでデータ操作を実行する場合は、アプリケーション サービス プリンシパルに適用されるカスタム セキュリティ ロールに必要な特権がある場合に偽装を適用できます。 詳細情報: もう一方のユーザーの偽装
S2S 認証を使用する Web アプリケーションまたはサービスは、アクセス権を持つデータへのアクセスを制御する役割を担います。 これは通常、OpenID Connect プロバイダーを使用して行われます。 詳細情報: Open ID Connect。
サーバー間認証シナリオ
S2S 認証を適用できるシナリオは 2 つあります。
| Scenario | Description |
|---|---|
| マルチテナント | これは最も一般的なシナリオであり、Microsoft AppSource を使用して配布されるアプリに使用されます。 各 Dataverse テナントは、Microsoft Entra ID テナントに関連付けられています。 Web アプリケーションまたはサービスが Microsoft Entra ID テナントに登録されている。 このシナリオでは、Dataverse テナントは、テナント内のデータにアクセスするための同意をアプリケーションに付与した後、マルチテナント アプリケーションを使用できる可能性があります。 |
| シングルテナント | 通常、このシナリオは、独自のテナント用にアプリを開発し、他の Dataverse 環境に配布しない Dataverse 環境に適用されます。 企業は、テナントのすべての Dataverse 環境に接続する Web アプリケーションまたはサービスを作成できます。 このシナリオでは、Web アプリケーションまたはサービスは、同じ Microsoft Entra ID テナントを使用して Dataverse 環境にのみ接続できます。 |
どちらのシナリオにも共通の要素がありますが、いくつかの違いがあります。 マルチテナントは最も一般的なシナリオであるため、[ マルチテナント サーバー間認証の使用 ] コンテンツでは、このシナリオで S2S を使用する方法について説明し、シングルテナント構成のオプションが異なるノートを含めます。
Single-Tenant サーバー間認証を使用すると 、このシナリオの概要が示され、マルチテナント S2S 認証コンテンツで説明されている手順を参照できます。