Spring Security Azure AD: エンタープライズクラスの認証と承認を追加

Article
02/28/2018

執筆者: Yitao Dong (Program Manager, Java on Azure)

このポストは、2018 年 2 月 20 日に投稿された Spring Security Azure AD: Wire up enterprise grade authentication and authorization の翻訳です。

このたび、Azure Active Directory (Azure AD) と Spring Security が統合され、Java Web アプリケーションの保護に利用できるようになりました。わずか数行のコードを構成するだけで、Spring Boot プロジェクトにエンタープライズクラスの認証と承認を追加できます。

Azure AD 用 Spring Boot Starter (英語) を使用すると、Java 開発者は Azure AD と OAuth 2.0 を使用した Web アプリケーションの認証ワークフローを手軽に作成し、バックエンドのセキュリティを強化できます。また、Spring Security の機能を使用して、Azure AD で保護された Web API のロールベースの承認ワークフローを作成できます。

利用を開始するには

ここでは、SpringOne 2017 で Erich Gamma がご紹介した (英語) To-do アプリを例として説明します。このサンプル (英語) は Angular JS クライアントと Spring Boot の RESTful Web サービスという 2 つのレイヤーで構成されており、ログインから Azure AD Graph API を使用してユーザー情報を取得するまでのフローを示します。

承認フローチャート

承認は、以下の 3 段階で実行されます。

1. 資格情報を使用してログインし、Azure AD の検証を受けます。

2. Azure AD Graph API からトークンとメンバーシップ情報を取得します。

3. メンバーシップを評価してロールベースの承認を行います。

spring security aad auth flow chart

Azure AD にアプリケーションを新規登録する

まずは、Azure Active Directory にアプリケーションを新規登録します。アプリケーションの準備が整ったら、クライアントキーを生成してアプリケーションにアクセス許可を付与します。

spring security aad register a new app

Spring Security Azure AD の機能

Spring Initializr (英語) を使用すると、Spring Security および Azure Active Directory への依存関係を持つプロジェクトを手軽に新規作成できます。プロジェクト内で Azure AD 接続を指定し、aadAuthFilter を追加します。その後、以下の機能を使用して、Azure AD の認証とロールベースの承認を簡単にセットアップできます。

@PreAuthorize: Spring の @PreAuthorize アノテーションを実装すると、ログインしているユーザーのロールとアクセス許可に基づいてメソッドレベルのセキュリティが提供されます。
isMemberOf(): 指定した Azure ユーザーグループのロールとアクセス許可に基づいてアクセスを制御します。

spring security features