なにに混乱したのか？

Azure Static Web Apps の Easy Auth では、/.auth/login/aad にアクセスして、Entra ID アカウントでログインできます。まあ、これに首をかしげる人はあまりいないかもしれません。私はいったいなぜ混乱してしまったのでしょうか？

実は、/.auth/login/aad は、そのサイトへのログインではなく、Azure Static Web Apps 全体へのログインです。ちょっとわかりにくいですが、作成したアプリに認証に関するなんのコードも設定もありません。つまり、この一連の認証プロセスに「アプリ」はいっさい登場しません。あくまで、Azure Static Web Apps として認証を取り扱います。実際、ログインユーザーに示されるIDアクセス同意画面にも「アプリ」の名前は登場しません。一方、ログインしたユーザー側にその意識はないでしょう。

そして、そのユーザーのEntraIDアカウントですが、いってみればこれは仮想社員証のようなものです。会社の数だけ社員名簿が存在します。そのIDを使ってアクセスするのはふつうに考えれば所属会社のリソースでしょう。どこかの社員でさえあれば、どんな会社の誰であっても通れるゲートというのもなかなか想像できません。広く公開されているサービスに提示するのは社員証じゃなくてマイナンバーカードですよね。

もちろん、標準プランにしてカスタム認証を構成すれば、ちゃんとした社員用アプリの作成もできるようです。その使い方が普通なのでしょう。ほんの数人しか利用しないアプリであればこれで十分なのでしょうが、不特定多数の誰かを相手にするアプリがこれを使うことはできない気がします。というか、そもそも、Static Web Appsの用途として想定してないサイトがあって、Static Web AppsのEasyAuthとしてはこの仕様で問題ないのかもしれません。

ただ、なんの説明もなく、/.auth/login/aad が公開されていることに足をとられてしまいました。MSさんのドキュメントに限ったことではありませんが、やれることとやり方しか書かかれいない、関係性の説明が一切ないので、そのやれることがそれでいいのか？を判断できないということがあります。現状、世間一般に存在するそうゆう「説明」に、みんなもう少しつっこんでもいいんじゃね？と思うでした。その説明を省いてもいいというのが普通になるとみんなのロスが多くなる気がします。といういつもと同じグチでした。