HoloLens2でOpenIDConnectの認可コードフローを試す

本日はHoloLens2の小ネタ枠です。
HoloLens2でOpenIDConnectの認可コードフローを行う方法を記事にします。

Web認証ブローカー

UWPプラットフォームのアプリではOpenIDやOAuthなどの認証プロトコルを扱う場合にWeb認証ブローカーが利用できます。
learn.microsoft.com

Web認証ブローカーのAuthenticateAsyncメソッドはリクエストをオンラインIDプロバイダーに送信し、結果としてアクセストークンを取得することができます。
本メソッドを利用すると例えば以下のようなUIが表示され、ユーザはサインインを行います。

UnityでWeb認証ブローカを利用する場合、以下のようにメインスレッドではなくUIスレッドで実行する必要があります。

// Web認証ブローカはUIスレッドでのみ動作する
UnityEngine.WSA.Application.InvokeOnUIThread(async () =>
{
    // Web認証ブローカを起動して認証画面を開く
    WebAuthenticationResult result =
        await WebAuthenticationBroker.AuthenticateAsync(
            WebAuthenticationOptions.None,
            new Uri("https://login.microsoftonline.com/"),
            new Uri("http://localhost:50000/"));
}, false);

前提条件

本記事のサンプルでの認証先として以下の記事で作成した環境のアプリケーションIDとディレクトリIDを利用します。
bluebirdofoz.hatenablog.com

サンプルコード

HoloLens2アプリでボタンを押下すると、認可コードフローを実行してIDトークンを取得する以下のサンプルコードを作成しました。
・OpenIDConnectTest.cs

クリックで展開

using System;
using System.Collections.Generic;
using System.IO;
using UnityEngine;
using Microsoft.MixedReality.Toolkit.UI;
using TMPro;
using UniRx;
using System.Net.Http;
using System.Runtime.Serialization;
using System.Runtime.Serialization.Json;

#if WINDOWS_UWP
using System.Web;
using Windows.Security.Authentication.Web;
#endif

// initを使用するために必要
namespace System.Runtime.CompilerServices
{
    internal static class IsExternalInit { }
}

public class OpenIDConnectTest : MonoBehaviour
{
    [SerializeField] private Interactable mrtkButton;

    [SerializeField] private TMP_Text resultText;
    
    /// <summary>
    /// 接続先のディレクトリ(テナント)ID
    /// </summary>
    [SerializeField]
    private string tenantId = string.Empty;

    /// <summary>
    /// 接続先のアプリケーション(クライアント)ID
    /// </summary>
    [SerializeField]
    private string clientId = string.Empty;
    
    /// <summary>
    /// EntraIDで設定したリダイレクトURI
    /// </summary>
    private string redirectUri = "http://localhost:50000/";
    
    [DataContract]
    private record TokenUriResponse(
        [property:DataMember] string token_type,
        [property:DataMember] string scope,
        [property:DataMember] string expires_in,
        [property:DataMember] string ext_expires_in,
        [property:DataMember] string access_token,
        [property:DataMember] string id_token
        );

    void Start()
    {
        // 起動と同時にボタン押下イベントを登録
        mrtkButton.OnClick.AsObservable().Subscribe(_ =>
        {
#if WINDOWS_UWP
            // UWPプラットフォームでWeb認証ブローカを起動
            // Web認証ブローカはUIスレッドでのみ動作する
            UnityEngine.WSA.Application.InvokeOnUIThread(async () =>
            {
                // 認可エンドポイントのURLを生成
                var authorizeEndPoint = $"https://login.microsoftonline.com/{tenantId}/oauth2/v2.0/authorize";
                
                // 認可エンドポイントに渡すパラメータを生成
                var queryParameter = HttpUtility.ParseQueryString(string.Empty);
                queryParameter["client_id"] = clientId;
                queryParameter["response_type"] = "code";
                queryParameter["redirect_uri"] = redirectUri;
                queryParameter["scope"] = "openid";
                
                // 認可エンドポイントのURLにパラメータを付与
                var authorizeUri = new UriBuilder(authorizeEndPoint){ Query = queryParameter.ToString() }.Uri;

                Uri receivedCallbackUri;
                try
                {
                    // Web認証ブローカを起動して認証画面を開く
                    WebAuthenticationResult result =
                        await WebAuthenticationBroker.AuthenticateAsync(
                            WebAuthenticationOptions.None,
                            authorizeUri,
                            new Uri(redirectUri));
                    
                    receivedCallbackUri = new Uri(result.ResponseData);
                }
                catch (Exception e)
                {
                    Console.WriteLine(e);
                    throw;
                }
                
                // コールバックで受け取ったURLから認証コードを取得する
                var authenticationCode = HttpUtility.ParseQueryString(receivedCallbackUri.Query).Get("code");
                
                // トークンエンドポイントのURLを生成
                var tokenEndPoint = $"https://login.microsoftonline.com/{tenantId}/oauth2/v2.0/token";

                // トークンエンドポイントに渡すHTTPコンテンツを生成
                var httpContent = new FormUrlEncodedContent(
                    new Dictionary<string, string>
                    {
                        { "client_id", clientId },
                        { "scope", "openid" },
                        { "code", authenticationCode },
                        { "redirect_uri", redirectUri },
                        { "grant_type", "authorization_code" },
                    });
                
                HttpResponseMessage tokenUriResponse;
                try
                {
                    // トークンエンドポイントにPOSTリクエストを送信
                    tokenUriResponse = await new HttpClient().PostAsync(tokenEndPoint, httpContent);
                }
                catch (Exception e)
                {
                    Console.WriteLine(e);
                    throw;
                }
                
                // トークンエンドポイントから受け取ったJSON文字列をデシリアライズ
                var tokenUriResponseJson = await tokenUriResponse.Content.ReadAsStringAsync();
                var serializer = new DataContractJsonSerializer(typeof(TokenUriResponse));
                var tokenUriResponseData = serializer.ReadObject(
                    new MemoryStream(
                        System.Text.Encoding.UTF8.GetBytes(tokenUriResponseJson)
                        )
                    ) as TokenUriResponse;
                
                // 認証の結果受け取ったidトークンをテキストUIに表示する
                //メインスレッドで実行
                UnityEngine.WSA.Application.InvokeOnAppThread(() =>
                {
                    resultText.text = tokenUriResponseData.id_token;
                }, false);
            }, false);
#endif
        })
        // オブジェクト破棄のタイミングでボタン押下時イベントを解除
        .AddTo(this);
    }
}