Web Apps上のサイトをAzure ADで認証かけるようにしたが、サインイン済みになってしまい認証画面が出てこない

Question

お世話になります。

先日Azure Web Apps上にWebアプリを開発。認証機能としてAzure ADを使う形で構築しましたが、
Windows10のログインユーザーをMicrosoftアカウントで作成していると、
Webアプリにアクセスした際にパスワード入力画面が出ずに自動的にサインインされてしまいました。

Windows7や、Windows10でもローカルユーザーとしてユーザー作成している場合には、
きちんと認証画面が出てきます。

これはＯＳに既にMicrosoftアカウントでサインインしているから、
自動的にそのアカウントが認証に使われているという解釈でよろしいでしょうか。
（ちなみにＯＳに作ったMicrosoftアカウントはAzure ADにも登録しているアカウントでした）

また、そうだとした場合に、
そこをあえて、WebアプリにはOSとは違うMicrosoftアカウントでサインインしたい
と考えているのですが、認証画面が出てくるように設定変更などで対応することは可能でしょうか。

私の会社では、運営している店舗にあるパソコンには
「店舗名@outlook.jp」のようなMicrosoftアカウントを使って、
スタッフは同じユーザー名で利用しています。
ただ、今回のWebアプリに関しては、限られた人間だけのアクセスにしたいため、
「個人名@outlook.jp」のようなMicrosoftアカウントでサインインさせたいのです。

よろしくお願いいたします。

Answer 1

Azure は触ったこともない自分がレスするのもなんですが・・・

質問者さんの言う「Webアプリ」とは ASP.NET Web アプリと想像してレスします。違ったら以下のレスはスルーしてください。

> これはＯＳに既にMicrosoftアカウントでサインインしているから、
> 自動的にそのアカウントが認証に使われているという解釈でよろしいでしょうか。
> （ちなみにＯＳに作ったMicrosoftアカウントはAzure ADにも登録しているアカウントでした）

自分は Azure の環境は分かりませんが、Web などの記事を見るとシングルサインオンが実現できるそうなので、質問者さんの環境もそうなっているのではないでしょうか？

Azure Active Directory のアプリケーション アクセスとシングル サインオンとは
https://azure.microsoft.com/ja-jp/documentation/articles/active-directory-appssoaccess-whatis/

普通のイントラネット内に Active Directory ドメイン環境が構築されていて、Web サーバーがドメインに属しており、全てのクライアントがドメインユーザーで、統合 Windows 認証が有効になっていれば、クライアントは自分の PC を立ち上げる時にログインすれば、その後 Web サーバーにアクセスするときにはログイン不要になります。

それと同じ話だと想像して（クラウド上で実現する仕組みは違うでしょうが）・・・

> そこをあえて、WebアプリにはOSとは違うMicrosoftアカウントでサインインしたい
> と考えているのですが、認証画面が出てくるように設定変更などで対応することは可能でしょうか。

以下の手段があると思います。

(1) Web アプリは Windows 認証ではなくフォーム認証を使う。

ASP.NET フォーム認証の概要
https://msdn.microsoft.com/ja-jp/library/7t6b43z4(v=vs.100).aspx

(2) ドメインユーザーをグループ別に分けることができるなら、ロールによるアクセス制限を行う。

Windows 認証でのロール
http://surferonwww.info/BlogEngine/post/2011/02/05/Role-in-Windows-Authentication.aspx

Answer 2

inohnxさん、SurferOnWwwさん、こんにちは。

SurferOnWwwさんの回答に補足と言うか、追記になりますが、
クライアント側での解決策にInternet ExplorerのInPrivateブラウズモードを使ってブラウザーを起動するという方法があります。この方法は、WindowsのサインインにMicrosoftアカウントや組織アカウントを利用していてもシングルサインオンすることはありません。

参考になれば幸いです。