MetaQuest3でOpenIDConnectの認可コードフローを試す

本日はMetaQuest3の小ネタ枠です。
MetaQuest3でOpenIDConnectの認可コードフローを行う方法を記事にします。

前提条件

本記事のサンプルでの認証先として以下の記事で作成した環境を利用します。
事前に利用するアプリのアプリケーションIDとディレクトリIDをメモしておきます。
bluebirdofoz.hatenablog.com

また認証結果をURIスキームを使って受け取るため、リダイレクトURIを以下の手順で追加しました。

リダイレクトURIの追加

グローバル管理者の権限を持ったアカウントでAzurePortalにサインインし、[アプリの登録]を選択します。
portal.azure.com

[ディレクトリ内のすべてのアプリケーションを表示]をクリックして、今回利用するアプリ設定を選択します。

アプリの登録画面が開くので[認証]タブを開き、リダイレクトURI欄の[URIの追加]を選択します。

入力欄に利用したいリダイレクトURIを入力して[保存]を実行します。
今回は以下のリダイレクトURIを追加しました。

holomontestapp://redirect/

アプリにスキームURIの設定を行う

リダイレクトURIをアプリで受け取るため、Quest3アプリにスキームURIの設定を行います。
プロジェクトのアセットフォルダにあるAndroidManifest.xmlを開きます。

Assets/Plugins/Android/AndroidManifest.xml

AndroidManifest.xmlに以下のようにインテントフィルターを追加しました。
今回の設定では holomontestapp のURIでアプリが起動するようになります。

<?xml version="1.0" encoding="utf-8" standalone="no"?>
<manifest xmlns:android="http://schemas.android.com/apk/res/android" xmlns:tools="http://schemas.android.com/tools" android:installLocation="auto">
  <application android:label="@string/app_name" android:icon="@mipmap/app_icon" android:allowBackup="false">
    <activity android:theme="@android:style/Theme.Black.NoTitleBar.Fullscreen" android:configChanges="locale|fontScale|keyboard|keyboardHidden|mcc|mnc|navigation|orientation|screenLayout|screenSize|smallestScreenSize|touchscreen|uiMode" android:launchMode="singleTask" android:name="com.unity3d.player.UnityPlayerActivity" android:excludeFromRecents="true" android:exported="true">
      <intent-filter>
        <action android:name="android.intent.action.MAIN" />
        <category android:name="android.intent.category.LAUNCHER" />
        <category android:name="com.oculus.intent.category.VR" />
      </intent-filter>

      <!-- カスタムURLスキーム設定 -->
      <intent-filter>
        <action android:name="android.intent.action.VIEW"/>
        <!-- BROWSABLEを指定するとブラウザから起動できる -->
        <category android:name="android.intent.category.BROWSABLE"/>
        <category android:name="android.intent.category.DEFAULT"/>
        <data android:scheme="holomontestapp"/>
      </intent-filter>
      
      <meta-data android:name="com.oculus.vr.focusaware" android:value="true" />
    </activity>
    <meta-data android:name="unityplayer.SkipPermissionsDialog" android:value="false" />
    <meta-data android:name="com.samsung.android.vr.application.mode" android:value="vr_only" />
    <meta-data android:name="com.oculus.ossplash.background" android:value="black" />
    <meta-data android:name="com.oculus.supportedDevices" android:value="quest|quest2|questpro" />
  </application>
  <uses-feature android:name="android.hardware.vr.headtracking" android:version="1" android:required="true" />
</manifest>

developer.android.com

次にボタン押下で認可エンドポイントにアクセスして認証を開始する以下のスクリプトを作成しました。
指定のリダイレクトURIを受け取り、認証に成功していればIDトークンを取得して結果を表示します。
・OpenIDConnectTest.cs

クリックで展開

using System;
using System.Collections;
using System.Collections.Generic;
using System.IO;
using System.Net.Http;
using System.Runtime.Serialization;
using System.Runtime.Serialization.Json;
using System.Web;
using Microsoft.MixedReality.Toolkit.UI;
using TMPro;
using UnityEngine;

// initを使用するために必要
namespace System.Runtime.CompilerServices
{
    internal static class IsExternalInit { }
}

public class OpenIDConnectTest : MonoBehaviour
{
    [SerializeField] private Interactable mrtkButton;

    [SerializeField] private TMP_Text resultText;
    
    /// <summary>
    /// 接続先のディレクトリ(テナント)ID
    /// </summary>
    [SerializeField]
    private string tenantId = string.Empty;

    /// <summary>
    /// 接続先のアプリケーション(クライアント)ID
    /// </summary>
    [SerializeField]
    private string clientId = string.Empty;
    
    /// <summary>
    /// EntraIDで設定したリダイレクトURI
    /// </summary>
    private string redirectUri = "holomontestapp://redirect/";
    
    private string state = String.Empty;
    
    [DataContract]
    private record TokenUriResponse(
        [property:DataMember] string token_type,
        [property:DataMember] string scope,
        [property:DataMember] string expires_in,
        [property:DataMember] string ext_expires_in,
        [property:DataMember] string access_token,
        [property:DataMember] string id_token
    );

    public static OpenIDConnectTest Instance { get; private set; }

    private void Awake()
    {
        if (Instance == null)
        {
            Instance = this;                
            Application.deepLinkActivated += onDeepLinkActivated;
            if (!string.IsNullOrEmpty(Application.absoluteURL))
            {
                onDeepLinkActivated(Application.absoluteURL);
            }
            DontDestroyOnLoad(gameObject);
        }
        else
        {
            Destroy(gameObject);
        }
    }

    /// <summary>
    /// 認証を開始する
    /// </summary>
    /// <returns></returns>
    public void AuthorizeRequest()
    {
        resultText.text = "Start Authorize";
        
        // 認可エンドポイントのURLを生成
        var authorizeEndPoint = $"https://login.microsoftonline.com/{tenantId}/oauth2/v2.0/authorize";
                
        // ランダムな3桁の数字の State を生成
        state = "{Random.Next(100, 999)}";

        // 認可エンドポイントに渡すパラメータを生成
        var queryParameter = HttpUtility.ParseQueryString(string.Empty);
        queryParameter["client_id"] = clientId;
        queryParameter["response_type"] = "code";
        queryParameter["redirect_uri"] = redirectUri;
        queryParameter["scope"] = "openid";
        queryParameter["state"] = state;

        // 認可エンドポイントのURLにパラメータを付与
        var authorizeUri = new UriBuilder(authorizeEndPoint){ Query = queryParameter.ToString() }.Uri;

        // 作成したURLにアクセスして認証画面を開く
        Application.OpenURL(authorizeUri.AbsoluteUri);
    }
    
    private async void onDeepLinkActivated(string url)
    {
        resultText.text = $"Received Deep Link: {url}";
        
        // コールバックで受け取ったURLから認可コードを取得する
        var receivedCallbackUri = new Uri(url);
        var query = HttpUtility.ParseQueryString(receivedCallbackUri.Query);

        if (query["error"] != null)
        {
            // エラーが発生していた場合
            Debug.LogError($"Authorize Error : {query.Get("error")}");
            return;
        }

        if (query["state"] != state)
        {
            // リダイレクトのステートが正しくない場合
            resultText.text = "Redirect state not equals.";
            return;
        }

        var authenticationCode = query.Get("code");
        if (string.IsNullOrEmpty(authenticationCode))
        {
            // 認可コードが取得できなかった場合
            resultText.text = "Authentication code not found.";
            return;
        }
        
        // トークンエンドポイントのURLを生成
        var tokenEndPoint = $"https://login.microsoftonline.com/{tenantId}/oauth2/v2.0/token";

        // トークンエンドポイントに渡すHTTPコンテンツを生成
        var httpContent = new FormUrlEncodedContent(
            new Dictionary<string, string>
            {
                { "client_id", clientId },
                { "scope", "openid" },
                { "code", authenticationCode },
                { "redirect_uri", redirectUri },
                { "grant_type", "authorization_code" },
            });
                
        // 認可コードを使ってトークンエンドポイントからIDトークンを取得する
        HttpResponseMessage tokenUriResponse;
        try
        {
            // トークンエンドポイントにPOSTリクエストを送信
            tokenUriResponse = await new HttpClient().PostAsync(tokenEndPoint, httpContent);
        }
        catch (Exception e)
        {
            Console.WriteLine(e);
            throw;
        }
                
        // トークンエンドポイントから受け取ったJSON文字列をデシリアライズ
        var tokenUriResponseJson = await tokenUriResponse.Content.ReadAsStringAsync();
        var serializer = new DataContractJsonSerializer(typeof(TokenUriResponse));
        var tokenUriResponseData = serializer.ReadObject(
            new MemoryStream(
                System.Text.Encoding.UTF8.GetBytes(tokenUriResponseJson)
            )
        ) as TokenUriResponse;
        
        // 成功した場合はIDトークンの一部を表示
        resultText.text = $"Success : {tokenUriResponseData.id_token.Substring(0, 5)}...";
    }
}