オンプレAD(Active directory)の担当者がAzureAD(Active directory)の担当者に昇格し、クラウド基盤の認証基盤(Identity as a Service)に挑むシリーズ
AzureADをそこそこさわっていると必ずMicrosoft Graphというワードを耳にするようになってきます。
Microsoft Graphは私の解釈ではAzureAD上に存在する色々な情報を取得したり、また、情報を書き込んだりできるAPIです。
これについて理解するにはまず使ってみることが一番ということでGraph Explorerというものが公開されているのでこちらを利用して色々試してみようと思った際の疑問点についてまとめます。
Graph explorerはこちらのURLから
https://developer.microsoft.com/ja-jp/graph/graph-explorer
この記事はGraph APIについて解説するものではありません。どちらかというとOpen ID connectで接続されるアプリケーションに対するAzureADの権限設定の記事になります
サインインできない
以下の画面からサインインします
「管理者の承認が必要」というメッセージが表示されてサインインできません。
この原因はAzureADでユーザにアプリケーションを追加することを許可していないのが原因です。
あなたが管理者でない場合はIT部門の管理者に相談してアプリケーションを追加してもらう必要があるのです。
AzureAD側の設定はこちら
ホーム > テナント名 > エンタープライズ アプリケーション> ユーザ設定
サインインはできて利用できるが、その都度アクセス権がないとメッセージが表示される
サインインするときに以下のメッセージが表示される
「要求されているアクセス許可」…
このメッセージが出る場合は組織はユーザにアプリケーションを追加することを意図しているのか意図していないのかは別として許可しています。
特に迷うことなく「承諾」すればいいと思います。
AzureADの設定は以下
AzureADはデフォルトでユーザにアプリケーションを登録させることを許可(はい)になっています。上記で組織が意図しているかしていないかというのは、デフォルトのままだと追加できてしまうので組織が意図して許可しているかというとそうでない可能性は否めないからです。
403が発生してアクセス許可の修正が表示される
こちらは「アクセス許可の修正」タブでアクセス許可してあげれば解消するものもあります。
ここからが少し複雑なのですが、「管理者の同意が必要」というものが存在します。
Graph explorerは様々なAzureADやMS365の情報にAPIでアクセスすることができます。
一般ユーザがすべての情報にアクセスできてはセキュリティ上問題があります。
なので自分が同意できるものはデフォルトで制限されているのです。
管理者の同意が必要なアクセス許可を要求する場合
こちらも2通りの動作になるようです
- 管理者に同意を要求できるパターン
- 管理者に同意を要求できないパターン
まずは管理者に同意を要求できるパターンからみていきましょう
User.Read.ALLのアクセス許可について、同意ボタンを押下します
「承認が必要です」とメッセージが表示されます
ここで承認要求ができます
ここで要求した承認要求はAzureADで定義した管理者にメール通知されます。
管理者に承認されればアクセス権を取得することができます。
AzureAD側の設定はこちら
管理者の同意要求が許可されており、レビュー担当者が指定されています
管理者に同意が要求できないパターンについてみていきましょう
User.Read.ALLのアクセス許可について、同意ボタンを押下します
以下のメッセージが表示されます。
この画面が表示される場合、管理者に画面からアクセス許可を要求することが許可されていません。
IT部門の管理者に直接連絡をとって相談するしか方法はありません。
AzureAD側の設定はこちら
管理者の同意要求が許可されていません
以上です。
ただし、一般企業のAzureADの管理者がユーザに対してこの権限を与えることはセキュリティーの観点から明確な理由がない限りは許可できないと思います。
色々お試ししたい場合は自分専用の無料環境を作成して勉強することをおすすめします。
