Azure App Service で Azure AD の認証を設定した際に Web 画面でサインインするときに取得するアクセス トークンのスコープを指定する方法をいつも忘れるのでメモっておきます。
認証を構成したあとに、Azure Resource Explorer で subscriptions -> サブスクリプション名 -> resourceGroups -> リソースグループ名 -> providers -> Microsoft Web -> sites -> リソース名 -> config -> authsettingsV2
を選択します。
選択すると JSON で設定項目が表示されるので identityProviders -> azureActiveDirectory -> login -> loginParameters
に配列でログイン URL のパラメーターを設定できます。
例えば別の Azure AD のアプリの API を呼び出したい場合は以下のような雰囲気になります。
"identityProviders": {
"azureActiveDirectory": {
"enabled": true,
...省略...
"login": {
"loginParameters": [
"response_type=code id_token",
"scope=email openid profile api://xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx/user_impersonation"
],
"disableWWWAuthenticate": false
},
...省略...
}
},
Discussion