Microsoft ID プラットフォームと統合するアプリケーションの開発

既にアプリは開発済みですが、開発・運用中に調べたことを、備忘録的にここに載せていきます

開発

• チュートリアル: Microsoft ID プラットフォームにシングルページ アプリケーションを登録する - Microsoft identity platform | Microsoft Learn

認証の仕組み

• Azure AD が発行するトークンの有効期間と考え方 (2023 年版) | Japan Azure Identity Support Blog

• 開発するクライアント アプリケーションで認証と認可の回復性を向上させる - Microsoft Entra | Microsoft Learn

• Microsoft ID プラットフォームでの OpenID Connect (OIDC) - Microsoft identity platform | Microsoft Learn

• Access Token

  • Microsoft ID プラットフォームのアクセス トークン - Microsoft identity platform | Microsoft Learn

• Refresh Token

  • Microsoft ID プラットフォームの更新トークン - Microsoft identity platform | Microsoft Learn

フェデレーション

• Microsoft Entra ID とのフェデレーションとは - Microsoft Entra ID | Microsoft Learn

問い合わせ

• Microsoft ID プラットフォーム開発者向けのサポートとヘルプのオプション - Microsoft identity platform | Microsoft Learn

TOPIC

サインインが頻発する問題

原因候補(実装起因)

1. msalのエラー

   • microsoft-authentication-library-for-js/lib/msal-browser/docs/errors.md at dev · AzureAD/microsoft-authentication-library-for-js

2. iOS/Safari問題

   • loginRedirect() does not automatically redirect on iOS with Intune · Issue #4822 · AzureAD/microsoft-authentication-library-for-js
   • Hashchange seemingly not getting handled in auth code flow, and thus no access token is requested (Safari) · Issue #4458 · AzureAD/microsoft-authentication-library-for-js
   • [Safari] handleRedirectPromise not called if login request url is the same path as the reply url · Issue #4008 · AzureAD/microsoft-authentication-library-for-js
   • handleRedirectPromise returning null with new sessions on Safari. · Issue #4444 · AzureAD/microsoft-authentication-library-for-js

原因候補(テナント側の設定起因)

1. ユーザ設定(KMSI設定)が正しくない - Microsoft Entra ID で「サインインの状態を維持しますか?」のプロンプトを管理する - Microsoft Entra | Microsoft Learn

   • Keep Me Signed In (KMSI: サインインしたままにする)を有効にする
   • KMSI が有効になっていない場合、非永続的な Cookie が発行され、24 時間、またはブラウザーが閉じられるまで保持されます。
   • 機械学習システムによってリスクの高いサインインまたは共有デバイスからのサインインが検出された場合、[サインインの状態を維持しますか?] オプションは表示されません。

2. ポリシーの設定が正しくない - アダプティブ セッションの有効期間ポリシーを構成する - Microsoft Entra ID | Microsoft Learn

   • 構成可能なトークン有効期間機能を使用している場合、同一のユーザーまたはアプリの組み合わせに対し、異なる 2 つのポリシー (1 つはこの機能で、もう 1 つは構成可能なトークン有効期間機能で使用) を作成することはサポートしていないことに注意してください。
   • [信頼されたデバイスで MFA を記憶する] が有効になっている場合は、[サインインの頻度] を使用する前に必ず無効にしてください。この 2 つの設定を一緒に使用すると、ユーザーに予期せずにメッセージが表示される可能性があります。
   • 以下の設定を確認する
     • サインイン頻度コントロール
     • 永続的ブラウザー セッション
     • 危険なユーザーを毎回サインイン頻度コントロール
   • 注意
     • モバイル デバイスについてサインインの頻度を構成すると、サインイン頻度の間隔後の認証が低速になる場合があります (平均で 30 秒かかる可能性があります)。 また、さまざまなアプリで同時に発生する可能性もあります。
     • iOS デバイスについて: アプリで最初の認証要素として証明書が構成されており、アプリにサインインの頻度と Intune モバイル アプリケーション管理ポリシーの両方が適用されている場合、そのポリシーがトリガーされると、エンド ユーザーがアプリにサインインできなくなります。

3. MFAの設定が正しくない - Microsoft Entra の多要素認証プロンプトとセッションの有効期間 - Microsoft Entra ID | Microsoft Learn

4. 条件付きアクセスのアダプティブ セッションの有効期間ポリシー - Microsoft Entra ID | Microsoft Learn

5. 構成可能なトークンの有効期間 - Microsoft identity platform | Microsoft Learn

6. フェデレーション ユーザーは、サインイン中に資格情報の入力を繰り返し求められます - Microsoft 365 | Microsoft Learn

7. Microsoft Entra IDのフェデレーション ユーザーが頻繁にサインインすることを強制される - Azure | Microsoft Learn