CRM ドメインの外部からアクセスするときに Web API を認証するために、Azure Active Directory に CRM オンライン インスタンスを常に登録する必要がある理由を知りたいです。
つまり、たとえば、CRM の Web API エンドポイントを使用して別の Web サイトから CRM オンライン インスタンスにアクセスする必要がある場合、CRM インスタンスを Azure Active Directory に登録する必要があります。Azure Active Directory を作成するのはごくわずかな料金であることは承知していますが、Web API を介して CRM 接続に関する一般的な調査を行うだけでも、Azure にサブスクライブする必要があります。
なぜこれが必須なのですか?この背後にセキュリティ上の考慮事項はありますか?
組織サービスで使用していたのと同じ認証メカニズムを使用できないのはなぜですか?
これに関する詳細は大歓迎です。
CRM WebAPI は OAuth2 を使用し、Azure AD はこれを提供するために現在サポートされている唯一の認証プラットフォームです (Windows Server 2016 はオンプレミスで OAuth2 をサポートします)。
組織サービスは WCF サービスであるため、認証と承認に SOAP を使用します。これは、独自の問題をもたらすまったく異なるテクノロジー スタックであり、その多くは OAuth2 プロトコルがこのシナリオで解決しようとしています。
Office 365 ポータルを通じて CRM Online ユーザーを管理しますが、これらのアカウントの基盤となるテクノロジも Azure AD です。別の AD テナントを作成するのではなく、サブスクリプションの一部として作成されたこの既存の AD テナントを使用できるかどうかを確認してください。
CRM オンラインを使用している場合は、既に Azure Active Directory があります。まだ行っていない場合は、Azure サブスクリプションにサインアップし、基になる AAD を Azure サブスクリプションにインポートできます。クレジット カードが必要ですが、私の知る限り、Azure AD の使用は無料です。