私のAzure ADテナントにはいくつのアプリ登録が必要ですか

Question

グラフィックはかなり物語っています。これはすべてシングルテナントです。

私はWeb APIを持っています。これは、同じ場所から提供されている「スワッガー」UI（本当に一種のスパ）によってアクセスされています。また、従来のMVCコントローラーが相互作用しているMVCアプリWeb APIに加えて、Web APIと直接対話するSPAエクスペリエンスもあります。

ADテナント（RBACをサポートするためにマニフェストに宣言されているロールを持っています）にアプリ登録しているWeb APIに加えて、私も別のアプリ登録が必要ですWeb APIにアクセスするためのアクセス権が付与されたスワッガーUI用です。私のMVCアプリが1件のADテナントの登録、または2件の登録（MVCのための1、1 SPAは、MVCからアップ提供のために）

主な質問を...必要とする場合

は私はわからないんだ

1. 私のMVC/SPAは同じAD登録を共有すべきですか、それとも分離する必要がありますか？

2. 私のWeb API登録のマニフェストは"oauth2AllowImplicitFlow": trueである必要がありますか、またはスワッガーとSPAアプリの登録のみで必要ですか？

3. 私のMVC、based on this github sample for SPAsは、現在、このミドルウエア使用しています：app.UseWindowsAzureActiveDirectoryBearerAuthentication ..しかし、私のMVCはそれに選択的に物事を行うために起こっている場合、私はまた、これらのError追加ミドルウェアを使用する必要があり、カミソリですか、それはcontollerロジックだとUseCookieAuthenticationとUseOpenIdConnectAuthenticationas shown in this non-SPA web app sample

Answer 1

1. あなたは、おそらくそれは、同じアプリケーション（アクセストークンサーバー側を取得し、レンダリングされたページでそれを供給）で動作させることができますが、あなたはできませんいくつかのことに遭遇するかもしれませんそのトークンを使用して次のアプリ（WebAPIのもの）に行くトークンを取得します。それはAzure ADへの余分な潜在的な旅行を意味しますが、私はSPAがそれ自身のアプリであると思います。
2. SwaggerとSPAの登録には"oauth2AllowImplicitFlow": trueが必要です。
3. MVCアプリケーションはでなければなりません。はベアラ認証ミドルウェアを使用する必要があります。通常のOpenIdConnectを使用する必要があります。ベアラ認証を使用する必要があるこの設定の唯一のアプリはWebAPIです。

もう1つの注意点は、MVCアプリから提供されたSPAです。 WebAPIアプリケーションに電話をかけているときは、ベアラ認証トークンがコールに含まれていることを確認する必要があります。これはADAL-JSのようなものを使用して取得します。 MVCアプリケーションを呼び出しているときは、ベアラトークンは使用されません。通常、cookie + openid認証になります。